Kossner 10 Geschrieben 5. April 2005 Melden Teilen Geschrieben 5. April 2005 Hi, ich bin momentan am Anfang der Planungsphase für eine Domäne. Leider lässt es sich nicht vermeiden, dass einige Anwender Mitglied der lokalen Administratoren sind und bleiben. Diese User müssen Software und Treiber installieren und eine Mitgliedschaft in der Gruppe Hauptbenutzer ist für einige Softwareapplikationen und HW-Geräte nicht ausreichend. Ich habe bei uns die Geschäftsführung und einige andere verantwortliche Personen über die Sicherheitsproblematik in Kenntniss gesetzt und ihnen einen Auszug aus der c't 15/04 gegeben, in der die ganze Sache ausführlich beschrieben ist. Auch nach dem Auszug der c't habe ich keinerlei Unterstützung in der Thematik. Vor der Einführung der Domäne will ich mich natürlich schriftlich gegenüber der Geschäftsführung/Vorgesetzten absichern, dass ich auf das Sicherheitsproblem hingewiesen habe. Denn was passiert, wenn ein DC oder mehrere kompromittiert werden und die Domäne ausfällt? Dafür kann und will ich nicht die Verantwortung übernehmen. Dann heißt es ja: "Was der Kollege da aus der IT-Abteilung eingeführt hat ist ja der totale Mist!". Hierzu muß man sagen das ich der einzige in der Firma bin, der an dem Thema dran ist (also auch in meiner IT-Abteilung) und es eine sehr konservative Branche ist. Es hat alleine über 2 Jahre gedauert, das Unternehmen davon zu überzeugen eine Domäne einzuführen.... Was meint ihr? Es gibt sicherlich auch andere Domänen, wo User mit lokalen Administratorenrechten arbeiten..... Zitieren Link zu diesem Kommentar
FLOST 10 Geschrieben 5. April 2005 Melden Teilen Geschrieben 5. April 2005 Hi Kossner, wie du dich aus der Affäre ziehen kannst weis ich nicht und wenn, dürfte ich es dir gar nicht sagen. Da musst du sich an einen Rechtsanwalt der auf diesem Gebiet sich auskenne befragen. Zu dem Problem lokale Admins: Du kannst per GPO User auf den Clients in eine "Eingeschränkte Gruppen" stecken. Dann haben die nur auf ihren Maschienen Adminrechte und könne sonst nix rumpfuschen. Schau mal bei http://www.gruppenrichtlinien.de nach, da ist es erklärt. fg fLOST Zitieren Link zu diesem Kommentar
overlord 10 Geschrieben 5. April 2005 Melden Teilen Geschrieben 5. April 2005 Hi Kossner, über die Richtlinien kannst du ziemlich viel beschneiden! Auch die Zugriffe von lokalen Admins. Die globalen Richtlinien deines ADS haben dann Vorrang vor irgendwelchen lokalen Richtlinien. :-) Sehr sinnvoll in dem Zusammenhang: -Laufwerke X aus Explorer ausblenden -Computerverwaltung sperren -Laufwerkszugriff auf X sperren -Registrierung sperren -Eingabeaufforderung sperren ;-) ...trotz lokaler Admin-Rechte! Aber davon mal abgesehen, lokale Admins haben NUR Zugriff auf ihren lokalen Rechner. Das hat ja nix mit dem Domain-Admin (also DIR) zu tun. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 5. April 2005 Melden Teilen Geschrieben 5. April 2005 Hallo Kossner, gebe dem Administrator des lokalen Rechners ein anderes Passwort als das der Domäne. Es ist eigentlich eine Selbstverständlichkeit das so zu handhaben. Der Vorschlag mit den Eingeschränkte Gruppen ist auch ein sehr schöner und praktikabler zugleich. Gruß Edgar Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 5. April 2005 Melden Teilen Geschrieben 5. April 2005 Hi Kossner,über die Richtlinien kannst du ziemlich viel beschneiden! Auch die Zugriffe von lokalen Admins. Die globalen Richtlinien deines ADS haben dann Vorrang vor irgendwelchen lokalen Richtlinien. :-) Sehr sinnvoll in dem Zusammenhang: -Laufwerke X aus Explorer ausblenden -Computerverwaltung sperren -Laufwerkszugriff auf X sperren -Registrierung sperren -Eingabeaufforderung sperren ;-) ...trotz lokaler Admin-Rechte! Aber davon mal abgesehen, lokale Admins haben NUR Zugriff auf ihren lokalen Rechner. Das hat ja nix mit dem Domain-Admin (also DIR) zu tun. Einen lokalen Admin kann man nicht sinnvoll, meine dauerhaft, in seinen lokalen Rechten beschneiden. Nicht wenn er ein wenig Ahnung hat. Wie schon angesprochen, Kennwörter trennen, wenn der Zugriff auf nur DIESEN Rechner sein soll, dann auch die einzelnen lokalen Kenwörter unterschiedlich vergeben, mehr ist da nicht an Sicherheit zu machen. grizzly999 Zitieren Link zu diesem Kommentar
deadcandance 10 Geschrieben 9. April 2005 Melden Teilen Geschrieben 9. April 2005 hallo, ich bin ebenfalls der alleinige admin in der firma. bei uns haben die meisten user lokale adminrechte. auch wenn schlaue PC zeitschriften immer wieder etwas anderes behaupten, es ist unmöglich ohne adminrechte zuarbeiten, besonders wenn man spezielle software verwendet. da es tausende von softwareprodukten gibt können die schlauen ratschläge die in den zeitschriften gegeben werden,wie man ohne admin rechte arbeiten kann, witzlos. vollkommen realitätsfremd......aber da werden jetzt einige hier im forum sturmlaufen :D naja was soll's. viel wichtiger für mich sind bestimmte sicherheitslücken zu schliessen. internet explorer --> Sicherheitszonen richtig konfigurieren, bzw.am besten einen anderen browser verwenden. virenscanner, etc. und nur weil ein user auf seiner kiste adminrechte hat,heißt das noch lange nicht, das er auf einem server etwas machen kann. und das der lokale admin ein anderes passwort als der dom-admin hat, muss man wohl nicht erwähnen. ich weiß ja nicht wie groß dein unternehmen ist bzw. für wieviele user du dann zuständig bist. aber alles halbso dramatisch. gruss dcd Zitieren Link zu diesem Kommentar
Verräter 10 Geschrieben 9. April 2005 Melden Teilen Geschrieben 9. April 2005 Ich kann nur bestätigen, dass ein DomäneAccount, solange er nur in der Administratorengruppe des Rechners aufgenommen ist, keinen Unfug auf anderen Rechnern und den Domänecontrollern anstellen kann. Das schlimmste was er anstellen könnte, wäre den eigenen Rechner zu schrotten. Zitieren Link zu diesem Kommentar
cloney 10 Geschrieben 9. April 2005 Melden Teilen Geschrieben 9. April 2005 Hi allerseits, nett hier ;) Zum Thema: Meine User arbeiten fast alle als NICHT-Admins. Dennoch muß ich Kossner recht geben, das viele Anwendungen nur mit ausreichend Rechte verwendet werden können. Wenn allerdings, so wie hier schon erwähnt, div. User lokale Admins sind, können sie nbichts in deiner Domäne anstellen. Vorausgesetzt die Domäne ist nicht offen wie ein Scheunentor. Um dich evt. ein bischen besser abzusichern gegenüber der GF, würde ich Vereinbarungen mit den Usern treffen, die als lokale Admins arbeiten, um im Fall der Fälle klar die "Schuldigen" bestimmen zu können. Desweiteren werden "größere" Änderungen, die an der Domäne vorgenommen werden sowieso über das EreignisLog protokolliert, wo die Aktionen auch wieder den Benutzern zugeordnet werden können. Cloney Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 9. April 2005 Melden Teilen Geschrieben 9. April 2005 Hierzu muß man sagen das ich der einzige in der Firma bin, der an dem Thema dran ist (also auch in meiner IT-Abteilung) und es eine sehr konservative Branche ist. Es hat alleine über 2 Jahre gedauert, das Unternehmen davon zu überzeugen eine Domäne einzuführen.... Hallo Kossner, welche Position bekleidest Du in dem Unternehmen? Bist Du der IT-Verantwortliche oder stehst Du innerhalb der IT in untergeordneter Position? Gruß Edgar Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 9. April 2005 Melden Teilen Geschrieben 9. April 2005 Um dich evt. ein bischen besser abzusichern gegenüber der GF, würde ich Vereinbarungen mit den Usern treffen, die als lokale Admins arbeiten, um im Fall der Fälle klar die "Schuldigen" bestimmen zu können. Hallo, in einem Unternehmen werden Vereinbarungen zwischen Arbeitnehmervertretung und Unternehmensleitung im gesetzlichen Rahmen getroffen. Private Vereinbarungen zwischen einem IT-Mitarbeiter/Leiter und Benutzern, die den gesetzlichen Bereich tangieren, sind da wohl nicht zulässig. Gruß Edgar Zitieren Link zu diesem Kommentar
cloney 10 Geschrieben 9. April 2005 Melden Teilen Geschrieben 9. April 2005 Hi, ich meine auch keine Stammtischvereinbarung zwischen Admin und User, sondern schon was geregeltes zwischen Arbeitnehmer und Arbeitgeber, wie z.B. das keine priv. Mails im Unternehmen versendet werden dürfen. Cloney Zitieren Link zu diesem Kommentar
Kossner 10 Geschrieben 9. April 2005 Autor Melden Teilen Geschrieben 9. April 2005 @ deadcandance: Unser Unternehmen beschäftigt ca. 140 Arbeitnehmer. Wir haben etwa genausoviele Clients, für die auch ich alleine verantwortlich bin. @ lefg: Ich bin der einzige Systemadministrator in unserem Unternehmen und habe als direkten Vorgesetzten unseren IT-Bereichsleiter. Er ist also das Bindeglied zwischen der Abteilung und der GF. Auch hier sei erwähnt das er eigentlich ein Kaufmann ist und ich so ziemlich der einzige bin, der sich in der IT mit Technik auskennt (was oft zum Nachteil bei Diskussionen ist). Es ist klar das es eine schriftliche Regelung geben muß, dass von der GF abgesegnet und abgezeichnet ist. Ich habe diesen Punkt erstmal innerhalb der Abteilung angesprochen. Eingangs habe ich schon erwähnt das es bisher nicht möglich war eine PC-Richtlinie mangels Unterstützung durchzusetzen. Also wird es in dem Punkt auch sehr schwer werden... @cloney: :suspect: Keine privaten Mails ist gut....mittlerweilen habe ich etwas Humor und kann über so etwas nur noch lachen. Derartige Regelungen sind bei uns unmöglich durchzusetzen, da anscheinend sich keiner traut so ein "heißes Eisen" anzupacken. Übrigens ist das ganze sehr widersprüchlich, weil auf der anderen Seite seit kurzem wg. zu langen Raucherpausen (bin Nichtraucher) wieder die Zeitstempelung eingeführt wurde. Ich bekomme so einiges mit und es wird sicherlich mehr Zeit mit privatem Internetsurfen verschwendet. Was ich sagen will: selbst wenn es eine schriftliche Regelung gibt, hat sie nur Sinn, wenn sie auch "gelebt" wird und nicht nur ein Schriftstück ist. @Verräter: damit habe ich überhaupt keine Probleme, solange sie nur ihren eigenen Rechner schrotten. :D :D Aber auf der anderen Seite ist es mir nicht ganz so egal, weil ich als einziger Admin die Kisten wieder zum laufen bringen darf. @ overlord: Danke für die Tipps, wenn es soweit ist, werde ich sie beherzigen. :) @FLOST: Auch dir danke für den Link, kenne schon die Seite. :) @alle: Ich bin immer wieder über die schnelle und kompetente Reaktion der Boardmitglieder begeistert. Hier muß man sich einfach wohlfühlen... :cool: Wenn ich mir dagegen so anderen Foren, wie das von Heise anschaue... :D Zitieren Link zu diesem Kommentar
varnik 10 Geschrieben 10. April 2005 Melden Teilen Geschrieben 10. April 2005 Hi kossner, du kannst deine Benutzer nicht in die lokalen Administratoren-Gruppen eintragen sondern einfach die notwendige Software mit einer Verknüpfung und mit dem Befehl runas /user:administrator blablabla starten lassen. Dann wird das Program mit den Administratorrechten ausgeführt ohne dass die angemeldeten Benutzer alle Rechte auf dem Rechner haben können. Zitieren Link zu diesem Kommentar
cloney 10 Geschrieben 10. April 2005 Melden Teilen Geschrieben 10. April 2005 Moin, @Kossner Biste im Betriebsrat?? Ich werde unseren Mitarbeitern auch nicht das private eMailen verbieten. Hatte allerdings früher deswegen n paar Virenprobleme. Doch ein vernünftiges F-Secure hält nun alles in Schach. Also kein Problem. Zeitlich gesehen wegen Raucherpausen und so, wenn ein Mitarbeiter täglich 5 Ziggos á 5 Minuten raucht, sind das im Monat 500 Minuten Ausfall des Mitarbeiters. Wenn allerdings auf Grund einer eMail irgendwas an Server & Co den Bach runtergeht, kann der Ausfall doch etwas teurer werden als die 500 Manpower...... Wir sind hier allerdings mächtig vom Thema abgekommen, deshalb laß ich es hier mal gut sein. Gruß Cloney Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 10. April 2005 Melden Teilen Geschrieben 10. April 2005 @ lefg: Ich bin der einzige Systemadministrator in unserem Unternehmen und habe als direkten Vorgesetzten unseren IT-Bereichsleiter. Er ist also das Bindeglied zwischen der Abteilung und der GF. Auch hier sei erwähnt das er eigentlich ein Kaufmann ist und ich so ziemlich der einzige bin, der sich in der IT mit Technik auskennt (was oft zum Nachteil bei Diskussionen ist). Hallo Kossner, ich denke mal, erzwingen kannst Du gegenüber dem IT-Leiter und der GF wohl nichts. Du kannst sie nicht mal zum Unterschreiben einer für dich entlastenden Aktennotiz bewegen, wenn die sich stur stellen. Schon der Versuch könnte gefährlich sein. Ich habe manchmal heisse Eisen angefasst, manchmal fast die Finger verbrannt. Einmal wurde ich von höherer Stelle fast ultmativ aufgefordert, nie wieder ein Schriftstück/EMail derartigen Inhalts zu verfassen und mich um die mir zugewiesenen Aufgaben zu kümmern. Es war eigentlich ein fast freundschaftliches Gespräch, es fiel kein böses Wort, ich wurde um etwas gebeten. Die Botschaft im Hintergrund war aber ganz klar: Spiele nach den von uns(Vorstand, Bereichsleitung, Niederlassungsleitung) gegebenen Regeln! Diese Regeln sind nicht irgendwo festgehalten. Erkennen muss ich sie selbet. Das waren Leute, die meine Leistungsbeurteilung schreiben(NLL), die über deren Akzeptanz befinden(BL) und über meine Kohle und meinen Job entscheiden(Vorstand). Ich fühle mir Dir. Edgar Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.