viele viele Admins aber nur ein Admin Acc

[der-wally 10]

Hallo zusammen,

 

ich bin gerade in ein neues "gewachsenes" Netzwerk gekommen. Wie das immer so ist wird nach einem fehler im System der neue Verantwortlich gemacht, auch wenn er keine Einstellungen am Server vorgenommen hat.

 

Deswegen wäre es mir lieb das alle 5 Administratoren die im Haus rummirren einen eigenen AdminAcc bekommen. So sollte immer nachweißbar sein wer als letztes eingelogt war, und niemand sollte sich unter dem Standard Admin verstecken können.

 

In einem Gespräch mit den admins wurde mir allerdings gesagt, das würde nicht gehen! Einstellungen würden in den lokalen Profilen gespeichert.

 

Mir stellt sich nun die Frage dies Überhaupt stimmt, da ich noch neu in der Materie bin.

wir haben hier eine kleine Domaine mit einem globalen Admin den alle benutzen.

 

Was meint Ihr dazu.

 

 

LG Wally

[overlord 10]

WIllkommen im Board Wally!

Natürlich geht das (tze) und das sollte man auch machen, genau aus dem aktuellen Beispiel, das du ja geschildert hast! ;-)

 

Ist es denn nebenbei nötig dass 5 (!) Domain-Admins in einer "kleinen Domäne" vorhanden sein müssen?

[TL-511 10]

hi Wally,

grundsätzlich ist es der beste Weg jedem Admin einen Dom-Admin-Acc zu geben.

 

Wir handhaben seit kurzem so: Jeder Admin hat einen normalen Useraccount der auf seinem Rechner lokaler Admin ist. Weiter hat jeder Admin nen Admin-Account, den er für TS, Mappings, usw benutzt.

 

Hintergrund für dies ist: ein Mitarbeiter im Adminteam kam eines morgens mit nem lustigen Virus oder Trojaner auf seiner "Möhre" ins Büro (wir benutzen alle Laptops). Genau dieses Ding konnte sich auf Grund der administrativen Freigaben (C$) auf jeden Server/Workstation verteilen. War ganz schön ärgerlich und mit extrem viel Arbeit verbunden.

 

Das neue Verfahren ist zwar manchmal etwas umständlich und war anfangs gewöhnungsbedürftig, aber es ist sicher.

[overlord 10]

Jeder Admin hat einen normalen Useraccount .

das ist ja sowieso PFLICHT!

[der-wally 10]

Erst mal danke für eure schnellen Antworten ;)

 

Da hat sich meine Vermutung doch bestätigt. ich glaube ich sollte mich da doch mal etwas näher in die REchte-Materie einarbeiten, damit ich den Uhrgesteinen auch Kontra geben kann.

 

Es ist zwar persöhnlich für mich nicht nötig Adminrechte auf meinem PC zu haben aber manchmal auch erleichternd.

 

Ich gebs ja zu 5 Admins ist zwar fast zu viel, aber es sollen für jeden Mitarbeiter klar geregelt sein was er darf und was nicht. Ich galub das schimpft sich Policys o.ä.

 

 

So jetzt hab ich noch eine kleine Frage. Ist es möglich das Passwort des Lokalen Administrators der einzelnen PC´s, zentral zu steuern?

 

 

Ich glaub hier gefällt es mir.

 

 

 

LG Wally

[TL-511 10]

Jaaaaaa, Policies, was ganz leckeres :-P

 

Aber leider ist es nicht möglich lokale Passwörter per GPO's zu ändern, da die GPO's keinen Zugriff auf die lokale SAM haben.

 

Bei http://www.danish-company.com/dcpc gibts, glaub ich, mit dem man die Passworter auf lokalen Admin Konten verändern kann.

[overlord 10]

oder: -> Computerverwaltung -> RemotePC verbinden -> basta!

[der-wally 10]

danke für die Info ;)

[PAT 10]

In einem Gespräch mit den admins wurde mir allerdings gesagt, das würde nicht gehen! Einstellungen würden in den lokalen Profilen gespeichert.

Ist irgendwie klar, dass die anderen Admins sagen, dass es nicht geht. Könnt ja sonst jemand darauf kommen, dass sie Mist bauen. Oder sie wissen es einfach nicht besser.

[TL-511 10]

nochmal zu den lokalen Profilen auf Servern.

 

ich denke ein Admin sollte so flexibel sein mit einem sich ständig ändernden oder nem Standard Userprofil zu arbeiten.

 

Obwohl man immer wieder lustig angepasste Admin Konten auf Servern findet (WindowsBlinds, usw)

[der-wally 10]

Ist irgendwie klar, dass die anderen Admins sagen, dass es nicht geht. Könnt ja sonst jemand darauf kommen, dass sie Mist bauen. Oder sie wissen es einfach nicht besser.

 

evtl. beides ;) oder auch genau das Gegenteil

 

 

dafür bin ich erst zu kurz hier, aber ich stell erst mal alles in Frage was mir von dieser Seite angetragen wird