Jump to content
Sign in to follow this  
Kerstel

Hauptbenutzer oder lokaler Admin?

Recommended Posts

Hallo,

 

ich habe eine Windows 2000 Domäne. Auf den Clients habe ich jedem Benutzer lokale Adminrechte gegeben, da sonst in bestimmte Verzeichnisse nicht geschrieben werden kann. Würde hier auch der Hauptbenutzer reichen, unter der berücksichtigung, dass der PC die Windows Updates runterladen und installieren muss?

 

Danke und Gruß

 

Kerstel

Share this post


Link to post
Share on other sites

wie du schon schreibst, das ist sehr stark abhängig davon was die leutchen auf ihrem PC so alles können dürfen bzw. müssen. manche sachen gehen mit hauptbeutzer manche brauchen adminrechte. windows updates sollten normalerweise auch mit normalen benutzerrechten laufen weil die, wenn mich nich alles täuscht, im kontext des system users installiert werden.

 

was verwendest du denn für windows updates? inet, WUS, SUS?

Share this post


Link to post
Share on other sites

der hauptbenutzer hat im grunde auf fast alle bereiche der platte direkten zugriff. wenn es aber darum geht "wichtige" sachen in die registry einzutragen, ich kann dir jetzt nicht alles einzeln aufzählen, dann scheitert der hauptbenutzer.

 

um updates über WUS zu installieren brauchst du aber weder das eine noch das andere. das passiert wie gesagt im kontext des system kontos das, wenn du es nicht verändert hast soviel darf wie ein admin auch, also im grunde alles.

Share this post


Link to post
Share on other sites
Hallo,

 

ich habe eine Windows 2000 Domäne. Auf den Clients habe ich jedem Benutzer lokale Adminrechte gegeben, da sonst in bestimmte Verzeichnisse nicht geschrieben werden kann. Würde hier auch der Hauptbenutzer reichen, unter der berücksichtigung, dass der PC die Windows Updates runterladen und installieren muss?

 

Danke und Gruß

 

Kerstel

 

hi!

 

wenn die user auf bestimmte verzeichnisse nicht zugreifen könne oder schreiben können solltest du einfach nur die rechte der verzeichnisse anpassen!

 

alles andere ist selbstmord ;)

 

gruss saracs

Share this post


Link to post
Share on other sites

Hi,

 

ich wollte den aufwand gering halten, es sind schließlich 60 User

 

da arbeitest du aber schwer kontraproduktiv :D

 

1. Niemand innerhalb eines Unternehmensnetzwerks darf als User mit Lokalen Adminrechten arbeiten o. Hauptbenutzerrechten arbeiten:

 

http://www.mcseboard.de/showthread.php?t=66853

 

2. Um die passenden lokalen Berechtigungen für bestimmte "veraltete" Applikationen einzurichten kann du die Gruppenrichtlinien Clientside-Extension "Dateisystem" verwenden mit der du wunderbard die Berechtigungen auf Ordnerebene bzw. sogar auf Dateiebene steuern kannst, um z.B. dem User das Schreibrecht auf einzelne INI-Dateien zu erlauben.

 

http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm#Dateisystem

 

LG Gadget

Share this post


Link to post
Share on other sites

ok, nur zum verständnis. In einem Netzwerk mit Domäne gibt es keine User die irgendwelche lokalen Rechte haben. Sei es Admin oder Hauptbenutzer. Falls benötigt werden diese über die GPO gesetzt, und nicht an der Arbeitsstation. z.b. läuft das Lotus Notes nur wenn er in seinen Installationspfad was reinschreiben darf, was als Benutzer aber nicht geht

 

Kannst Du mir ein paar Argumente dafür geben, die ich dem entscheider um die Ohren hauen kann? Der hat übrigens den MCSE und das das so läuft ist auf seinem Mist gewachsen

Share this post


Link to post
Share on other sites
ok, nur zum verständnis. In einem Netzwerk mit Domäne gibt es keine User die irgendwelche lokalen Rechte haben.

 

sollen wir dir helfen o. willst du dir selbst was falschen erzählen => is nämlich Käsekuchen... :D

 

http://www.gruppenrichtlinien.de/Grundlagen/Wer_darf_was.htm

 

u. dein Entscheider MCSE hat oder ned spielt da gar keine Rolle falsch ist falsch u. bleibt es auch egal wers macht:

 

Die Argumente stehen doch übrigens in meinem Artikel bereits drin (das Zitat von Aaron Margosis) hier is der Orginalartikel:

 

http://blogs.msdn.com/aaron_margosis/archive/2004/06/17/157962.aspx

 

u. hier gibts noch ein Schulungsvideo mit detaillierten Argumenten dazu:

 

TechNet Webcast: Understanding and Fighting Malware: Viruses, Spyware and Rootkits (Level 300)

http://www.microsoft.com/events/EventDetails.aspx?CMTYSvcSource=MSCOMMedia&Params=%7eCMTYDataSvcParams%5e%7earg+Name%3d%22ID%22+Value%3d%221032274950%22%2f%5e%7earg+Name%3d%22ProviderID%22+Value%3d%22A6B43178-497C-4225-BA42-DF595171F04C%22%2f%5e%7earg+Name%3d%22lang%22+Value%3d%22en%22%2f%5e%7earg+Name%3d%22cr%22+Value%3d%22US%22%2f%5e%7esParams%5e%7e%2fsParams%5e%7e%2fCMTYDataSvcParams%5e

 

LG Gadget

Share this post


Link to post
Share on other sites
sollen wir dir helfen o. willst du dir selbst was falschen erzählen => is nämlich Käsekuchen... :D

das war keine definition, sondern ich wollte nur sehen ob ich es verstanden habe

 

u. dein Entscheider MCSE hat oder ned spielt da gar keine Rolle falsch ist falsch u. bleibt es auch egal wers macht

Ich sehe ein dass es falsch ist, aber ich muss ja an anweisungen halten. Und wenn ich argumente habe dass es falsch ist fällt es leichter es richtig zu machen

Share this post


Link to post
Share on other sites

@kohn:

....da arbeitest du aber schwer kontraproduktiv :D

 

1. Niemand innerhalb eines Unternehmensnetzwerks darf als User mit Lokalen Adminrechten arbeiten o. Hauptbenutzerrechten arbeiten:

 

http://www.mcseboard.de/showthread.php?t=66853....

 

siehst du das nicht ein wenig durch die rosarote brille? ich will dich nicht kritisieren aber soweit ich weis arbeitest du für einen öffentlichen arbeitgeber und da lassen sich richtlinien ganz anders druchsetzen wie in der freien wirtschaft. es gibt einfach "wichtige" leute die bestehen darauf lokale admin rechte zu haben und sie sind in einer position auch darauf bestehen zu können. wenn dann die adminrechte erst mal ein paar leute haben dann meckern ein paar weniger wichtige rum das sie sie nicht haben und dann ist auch der chef obendrüber dazu geneigt seinen "wichtigen" leuten auch die adminrechte einzuräumen zu lassen weil sie ja sonst unmöglich arbeiten können. das telefonat läuft dann so ab das der chef oder seine tippse anruft und einen satz sagt: sorgen sie sofort dafür das...... und damit ist das gespräch beendet. tja, der ober sticht den unter und was willst du dann sagen? kohn ein moderator und etliche leute von MS und sonst woher haben gesagt das.....? es werden dann 1000 gegenargumente angebracht die du nicht unbedingt entkräften kannst. ich denke da gerade an die sigi von dr.melzer :D. wenn dann der chef der meinung ist das ihm auch nur ein auftrag für 4.50 € entgangen ist, weil sein untergebener dich verantwortlich macht, weil der eben das und das nicht machen konnte weil er keine admin rechte hatte, dann kannst du im grunde deine kündigung noch am selben tag abholen und er hat sogar einen kündigungsgrund für eine fristlose: nichtumsetzen von direkten dienstanweisungen und arbeitsverweigerung.

 

das das vorgehen so wie du es beschreibst absolut richtig ist brauchen wir alle nicht zu diskutieren, ich denke da gibt es keine zwei meinungen, aber.......... es lässt sich nicht immer realisieren.

Share this post


Link to post
Share on other sites

Moin Hirgelzwift,

 

ja du hast recht is manchmal ein bisserl schwierig rüberzubringen, hauptsächlich deswegen, weil sich keiner Traut zu sagen man hats bisher falsch gemacht.

 

Als Argumenationsstützen würde ich in der Privatwirtschaft foglende Dinge verwenden:

 

1. Das BSI Grundschutzhanbbuch (da es sich um eine grundlegende Securityregel handelt)

 

2. U. evtl. auch Basel II wobei ich mit dem kompletten Regelwerk u. deren Auslegung nicht 100 Prozentig vertraut bin, dass können andere besser beantworten.

 

LG Gadget

Share this post


Link to post
Share on other sites

um zum eigentlichen thema zurückzukehren: ich bin mir nicht ganz sicher weil ich es unter W2K nie gemacht haben.

 

@kerstel: beschäftige dich bitte mal mit dem thema "eingeschränkte gruppen". dazu gibt es hier im board ettliche threads. das sollte dir helfen können die benutzergruppen so zu setzen wie du es brauchst.

 

@kohn: ich habe mal für einen konzern gearbeitet die hatten weltweit 250.000 benutzer. ich war nur ein kleiner admin in einer frima in diesem geflecht von firmen aber dort war es konzernpolicy das alle benutzer auf ihren PC's lokale admin rechte haben. da gab es richtige security ausschüsse mit vielen mitgliedern, also den security managern aus allen geschäftsbereichen und und und. ob die das mittlerweile geändert haben weis ich aber auch nicht. nochmal: wie auch immer, ich gebe dir recht und wer recht hat zahlt......, oder? ach was, was trinkst du, ich gebe einen aus ;)

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...