Adminrechte

[Kossner 10]

Kurze Schilderung:

 

In unserer Firma gibt es eine Kollegin, die mit Ihrem Laptop auch öfters mal unterwegs ist (Schulungen etc.). Leider lässt es sich nicht vermeiden, dass sie auch Software zum Testen installieren muß.

 

Ihr Benutzerprofil mit Administrator-Rechten auszustatten, kommt für mich nicht in Frage. Jetzt habe ich ihr vorgeschlagen, dass wir eine Remotesoftware (z.B. PC Anywhere) installieren, damit ich Sie auch unterstützen kann, wenn sie nicht in der Firma ist. Damit ist sie nicht einverstanden, da sie mich bei einem Problem (oder Installation) jedesmal vorher konsultieren muß.

 

Mich würde interessieren ob dieser Lösungsvorschlag so "exotisch" ist und wie das in euren Unternehmen abgewickelt wird.

 

Man muß dazu sagen das vor meiner Zeit es keinen Administrator für die Clients gab. So hatten viele in der Firma Administratoren-Rechte und die Kollegen konnten tun und lassen was sie wollen. Jetzt nehmen das natürlich einige Personen auch persönlich und fühlen sich "eingeschränkt".

[tgmaster 10]

Original geschrieben von Kossner

Kurze Schilderung:

 

In unserer Firma gibt es eine Kollegin, die mit Ihrem Laptop auch öfters mal unterwegs ist ...

 

... wenn das Notebook "Eigentum" der Kollegin ist, sollte es doch

kein Problem sein auf ihrem Laptop ein Admin-Account anzulegen.

Software kann sie dann immer noch mit ihrem eingeschänkten Benutzerprofil installieren und "admin-abhängige" Software ausführen mit <ausführen als...>

 

Auf das Firmenetzwerk hat sie auch dann den gleichen Zugriff als eingeschränkter Benutzer, wenn Sie als Admin auf ihrem Laptop angemeldet wäre.

Die Zugriffskontrolle und -vergabe hat allein der "Netzwerkadmin"

 

 

 

OK, das hilft natürlich nur, wenn sich nicht meherer Kollegen einen Laptop teilen müssen...

Beschreib doch mal den Verwendungszweck des Laptop.

 

 

 

Greetz

[Kossner 10]

Laut meiner Definition ist das Notebook Eigentum des Unternehmens und somit ein Betriebsmittel. Und für die Verwaltung dieser Betriebsmittel ist nun mal der Administrator zuständig. Nur leider gibt es bei uns keine Richtlinien für so etwas.

 

Bei uns gibt es keinen Netzwerkadmin und auch nur eine Arbeitsgruppe, falls Du das meinst. Eine Domäne lohnt sich ja auch bei 120 Clients nicht... :-)

[edv-olaf 10]

Original geschrieben von Kossner

Eine Domäne lohnt sich ja auch bei 120 Clients nicht... :-)

:confused:

 

Wenn ich für den Laptop als Verwalter zuständig wäre, gäbe es alleine aus Sicherheitsgründen keinen lokalen Admin-Account für User.

 

Wenn doch so gewünscht, unbedingt schriftlich vom Chef absegnen lassen und alle Verantwortung durch Netzwerk- und PC-Fehler, die durch eingeschleppte Viren und Würmer und Trojaner des Laptops entstehen, ablehnen. Und schriftlich formulieren!

 

Alternativ eine Richtlinie für die Netzwerk- und Datensicherheit erstellen und abnicken lassen, dann darfst du solche Vorhaben ablehnen. Sonst bist du nachher der dumme, der angeblich das Netz versaut hat.

 

Grüße

Olaf

[edv-olaf 10]

Original geschrieben von tgmaster

Auf das Firmenetzwerk hat sie auch dann den gleichen Zugriff als eingeschränkter Benutzer, wenn Sie als Admin auf ihrem Laptop angemeldet wäre.

Wenn sie Würmer/Viren als lokaler Admin einschleppt, dann verbreiten die sich im Netz auch, egal ob sie dann als normaler User im Netz arbeitet oder nicht.

 

Grüße

Olaf

[Kossner 10]

Das mit der Domäne war ironisch gemeint! ;) Wir haben nur eine Arbeitsgruppe und kein Client-Server-Modell.

 

Ich geb Dir völlig Recht, dass jemand aus sicherheitsrelevanten Gründen nur sowenig Rechte wie möglich bekommt.

 

Nur gibt es ein generelles Problem: bei uns gibt es für gar nichts Richtlinien, an die sich jemand halten muß. Das wird sich auch nicht ändern, da ich nur ein kleiner Sachbearbeiter in dieser Firma bin und unser IT-Leiter keinerlei (Fach-)kentnisse besitzt. Somit habe ich also keinerlei Unterstützung und stehe auf verlorenem Posten...

 

Und die Durchsetzung von Richtlinien birgt immer Konfliktpotential mit anderen Kollegen mit sich. Und daran hat unser IT-Leiter kein Interesse!

 

Unser IT-Leiter und Abteilungsleiter sind übrigens auch der Meinung das eine Hardwarefirewall das ganze Netzwerk absichert! So etwas wie Patchmanagement oder Richtlinien sind hier nicht von nöten. Wundert mich nur das ich schon ein paar Clients mit Dialern vorgefunden habe... :p

 

Hauptsache die Kollegen können jede Menge Bildschirmschoner und Hintergrundbilder installieren.... :D

[pentium 10]

HiHo,

 

wenn du nur ein kleiner SB bist, und du einen IT Leiter hast,wrum bewegt dich dann das Problem so??

 

Nur ne dumme Frage, weil wenn du verantwortlich bist für das System, dann würde ich den Leiter (der offensichtlich nichs taugt), (in Zeiten wie diesen) links liegen lassen, ein ordentliches Konzept entwerfen (was bei 12o Clients mehr als notwendig ist) entwerfen und unter berücksichtigung aller edrohungen (haben ja keine aus dem Netz) der GL vorlegen. Somit hast dudokumentiert und gewarnt und keiner kann dir einen Strick drehen, daß du unachtsam bist.

 

lg

mödritscher

[Severinas 10]

Also bei dem, was du da über euer "Netzwerk" (wenn man das überhaupt als solches bezeichnen darf) beschreibst, spielt es imho keine Rolle ob die Kollegin ein Admin Pw besitzt oder nicht...

 

ihr dürfted andere schwerwiegendere Probleme haben :suspect:

[kadel 10]

Hatte schon mal ein ähnliches Problem geschildert. Bei uns haben sehr viele Laptopuser zeitweise Adminrechte (für Meßfahrten). Eigentlich müssten die Kisten zuerst in Quarantäne und entwanzt werden, bevor sie wieder ans Firmennetz dürften.

[Kossner 10]

Ich habe schonmal ein Konzept entworfen und meinem IT-Leiter vorgelegt. Er war davon überhaupt nicht begeistert (vielleicht auch weil ich der einzige in der Firma bin, der davon Ahnung hat).

 

Unabhängig davon würde ich niemals ein Konzept der GL vorlegen, weil ich damit unseren IT-Leiter (auch mein Vorgesetzter) übergehen würde!

 

Übrigens zur Tauglichkeit der IT-Leitung: die Firma ist vor 3,5 Jahren in einen eigenen Neubau umgezogen! Damals wurde auch keine neue Netzwerkstruktur aufgebaut, sondern die alte Token-Ring-Topologie übernommen. Nach mehreren Diskussionen und Erfahrungen am eigenen Leib, bezüglich der zu geringen Netzwerkbandbreite, haben sich die zwei Verantwortlichen in der IT dazu gerungen endlich auf Fast-Ethernet zu migrieren. (Ich hätte schon damals auf Fast-Ethernet mitgriert!). Denn wenn unser IT-Leiter schon so auf Kosten schaut: eine Token-Ring-Karte kostet ca. 160,- €, während man Fast-Ethernet schon ab 8,- € bekommt! (Und die Zahl der Arbeitsplätze ist in den letzten 3,5 Jahren schon deutlich gestiegen).

 

Nur gibt es in der Firma keinen sonst (zumindest der eine höhere Position einnimmt), der auch nur annährend mitreden kann. Somit braucht sich also unser (untauglicher) IT-Leiter keine Sorgen um seinen Job machen. Aber das ist in der Firma sowieso so ne Sache (weswegen auch nie Richtlinien funktionieren würden, weil keiner Konsequenzen befürchten müsste).

[blub 115]

wer hat denn die Migration von TR auf Ethernet durchgezogen? PS: TR-Karten kann ich glaub ich zum Cent-Preis besorgen :cool:

 

cu

blub

[edv-olaf 10]

@blub

Zum Cent-Preis? Welche denn, die 4-er, 16-er oder noch höher?

Hätte vielleicht Interesse.

Grüße

Olaf

[Kossner 10]

Die Migration der Fast-Ethernet-Switches werden von einer externen Firma gemacht.

 

Wäre es nicht sinnvoll gewesen gleich auf Gigabit zu migrieren?

[lefg 276]

Welcher Aufwand zu welchem Zweck zu welchen Kosten in welchem Zeithorizont?

Fiber to the desktop?

[Kossner 10]

Fibre to the desk war den Verantwortlichen bei uns zu teuer. Leider haben auch diese Verantwortlichen vor 3,5 Jahren beim Neubau nur Kat-5-Kabel gelegt, d.h. das bei Gigabit auch neue Kabel hätten verlegt werden müssen (Kosten).

 

Ich dachte mir nur das wenn man migriert, wenigstens Switches mit Gigabit-Ports kauft, sodass man mittelfristig eine Option hat, falls die Bandbreite wieder nicht ausreicht! Oder liege ich da falsch?