tt33tt Geschrieben 5. Februar 2013 Geschrieben 5. Februar 2013 Hallo alle zusammen, wir als IT einer Behörde wollen Admin-Rechte ab sofort nur noch unter bestimmten Voraussetzungen vergeben. Dazu zählt auch, dass ein Zettel unterschrieben wird, auf dem z.B. steht, dass man Programme nur legal installieren darf, die Rechte ordentlich nutzen soll usw. Eventuell wäre es ja sogar sinnvoll etwas wegen der Haftung darauf zu schreiben. Ich habe gehört, dass dieses Werkzeug häufig in Unternehmen und Behörden genutzt wird. Was für Erfahrungen habt ihr damit schon gesammelt und was schreibt man dort üblicherweise hinein? Vielen Dank! Liebe Grüße tt33tt Zitieren
127.0.0.1 Geschrieben 5. Februar 2013 Geschrieben 5. Februar 2013 wer außer den admins bekommt denn adminrechte? so ein zettel ist ja ganz schick, aber er verhindert ja nicht wirkungsvoll eine fehlbenutzung oder missbrauch. außer den admins braucht der normale nutzer doch nur sporadisch oder punktuell sonderrechte. diese lassen sich doch am besten durch gruppenrichtlinien einrichten..... Zitieren
schtebo Geschrieben 5. Februar 2013 Geschrieben 5. Februar 2013 behörden und ihre zettel.... lol ne mal ganz ehrlich, son zettel ist gut und recht, aber wer darf am ende die sch** ausbaden wenn der anwender was verbockt? genau du, oder ein kollege. der andere bekommt nen einlauf, mehr aber auch nicht. schließlich arbeitet er ja bei der behörde. ich würde eher versuchen möglichst alle prgramme über entsprechende berechtigungen unter normalen benutzerberechtigungen laufbar zu machen. Zitieren
Klotzkopp Geschrieben 6. Februar 2013 Geschrieben 6. Februar 2013 Was genau wollt ihr mit diesem Zettel denn erreichen? Soll er bei arbeitsrechtlichen Auseinandersetzungen zum Einsatz kommen? Soll er ein Freibrief für euch sein, dass ihr die Einhaltung der Bedingungen überwachen dürft? Soll er die Benutzer zum Nachdenken bewegen, dass sie ihre Rechte mit Bedacht einsetzen? Oder soll der zusätzliche Aufwand die User einfach nur davon abhalten, überhaupt nach Adminrechten zu fragen? Bevor man sich über den Inhalt Gedanken macht, sollte der Zweck klar sein. Zitieren
Crash2001 Geschrieben 6. Februar 2013 Geschrieben 6. Februar 2013 Für wen soll der Zettel denn eigentlich sein? Für die Admins (Datenschutzbestimmungen etc) oder für die User, die lokale Adminrechte brauchen teils? Zitieren
tt33tt Geschrieben 7. Februar 2013 Autor Geschrieben 7. Februar 2013 Danke für die vielen Antworten :-) Es geht um die User, die lokale Admin-Rechte erhalten. Das versuchen wir auch möglichst zu vermeiden. Nur in ganz wenigen Ausnahmefällen halten wir es für notwendig. Dann möchten wir natürlich die Datenschutzrichtlinien erfüllen und für uns auf der sicheren Seite sein, falls da etwas falsch läuft. Damit können wir uns rechtlich absichern. Ob wir da auch Schadenersatz verlangen würden, weiß ich nicht. Diese Möglichkeit ist natürlich auch gut sich offen zu halten. Zitieren
Klotzkopp Geschrieben 7. Februar 2013 Geschrieben 7. Februar 2013 Ich finde es erschreckend, dass eine Behörde ihre Rechtsfragen in einem Webforum klären lassen muss. Habt ihr keine Rechtsabteilung? Keinen Datenschutzbeauftragten? Zitieren
127.0.0.1 Geschrieben 7. Februar 2013 Geschrieben 7. Februar 2013 Dann möchten wir natürlich die Datenschutzrichtlinien erfüllen und für uns auf der sicheren Seite sein, falls da etwas falsch läuft. Damit können wir uns rechtlich absichern. Ob wir da auch Schadenersatz verlangen würden, weiß ich nicht. Diese Möglichkeit ist natürlich auch gut sich offen zu halten. Deine Frage ist eigentlich ganz falsch gestellt. Du möchtest einen wunschlos-glücklich-rundum-sorglos-Zettel haben. Letztlich weißt Du aber gar nicht, gegen was Du Dich schützen möchtest.... Was sind denn die konkreten "Bedrohungen", die von lokalen Adminrechten ausgehen? Nochmal meine Ausgangsfrage: Warum brauchen die User lokale Adminrechte? Warum baust Du Dir nicht eine Gruppe "lokale Admins" im AD, in die Du einzelne Nutzer bei Bedarf temporär reinschiebst, um Ihnen das benötigte Rechtepaket zu gewähren? Warum baust Du nicht entsprechende Nutzergruppen für Fachanwendungen, die den Nutzern eben nur genau die Rechte einräumen, die Sie benötigen? Zitieren
Thanks-and-Goodbye Geschrieben 7. Februar 2013 Geschrieben 7. Februar 2013 So ein Problem hat meist die Ursache darin, dass Adminrechte für die User nicht technisch benötigt werden, sondern als "Statussymbol" angesehen werden. Somit kann so ein User durchaus einiges an Ehrgeiz erzeugen, lokale Adminrechten zu erreichen. Lösung ist in meinen Augen recht einfach: User hat lokale Adminrechte: Rechner fällt aus dem Support. Sollte der Rechner irgendwelche Zicken machen: Neubetankung ohne Datensicherung. Spätestens nach der dritten Neuinstallation kapiert es auch der stumpfste Anwender. Zitieren
127.0.0.1 Geschrieben 7. Februar 2013 Geschrieben 7. Februar 2013 Ich würde in der abteilung it durchsetzten, dass niemand lokale adminrechte hat. adminrechte werden nur auf anweisung des Abteilungsleiters it vergeben. und der soll schauen, unter welchen voraussetzungen er das an seine untergebenen anweist. ganz klassisch-behördlich geregelt. wozu gibts schließlich hierarchiestufen im öd.... man kann ja rechner nicht ganz aus dem support nehmen. da passieren ja auch ohne adminrechte was, was in den normel support fällt. und bei arbeitssausfällen ist erstmal die it-abteilung die gelackte... Zitieren
Thanks-and-Goodbye Geschrieben 7. Februar 2013 Geschrieben 7. Februar 2013 man kann ja rechner nicht ganz aus dem support nehmen. da passieren ja auch ohne adminrechte was, was in den normel support fällt. und bei arbeitssausfällen ist erstmal die it-abteilung die gelackte... No risk, no fun. (Dazu sollte man allerdings die Rückendeckung vom Chefchef vom IT-Leiter haben) Zitieren
Daij Geschrieben 8. Februar 2013 Geschrieben 8. Februar 2013 Das ist hier bei dem Kunden bei dem ich momentan bin auch so. Hat der User lokale Adminrechte fällt der Rechner komplett aus dem Support - ist irgendwas mit dem Rechner (völlig egal was und wodurch ausgelöst) ist die einzige Möglichkeit: Neuinstallation ohne Datensicherung. Ist wohl bei großen Umgebungen durchaus gang und gäbe - wer lokale Adminrechte braucht geht damit eben ein Risiko ein. Zitieren
tt33tt Geschrieben 8. Februar 2013 Autor Geschrieben 8. Februar 2013 Ich denke, dass das nicht unbedingt mit Behörden zusammenhängt :-) Behörden müssen sich genauso Gedanken machen, wie jede andere IT-Abteilung auch. Ja, wir werden das mit den Adminrechten auch in 99% der Fälle vermeiden. Ich bedanke mich für die rege Beteiligung und ganz besonders bedanke ich mich bei denjenigen, die sich bemüht haben, aktiv eine Lösung zu unterstützen. Wir haben sogar eine Rechtsabteilung und bevor wir uns an sie wenden, sollten wir uns natürlich Gedanken machen, was unser Ziel ist. Deswegen haben mich auch Praxisbeispiele sehr interessiert. Was ich primär herausgehört habe ist, dass bei Usern mit lokalen Admin-Rechten die Supportleistungen gewöhnlich verringert bzw. auf ein Minimum zurückgefahren werden. Gibt es auch Fälle, in denen sich rechtlich abgesichert wurde? Mit rechtlicher Absicherung meine ich, dass die IT-Abteilung geschützt, dem User die Konsequenzen im Vorraus gezeigt werden und er notfalls auch zur Rechenschaft gezogen werden kann. Ich wünsche euch allen noch ein schönes Wochenende! Zitieren
Crash2001 Geschrieben 8. Februar 2013 Geschrieben 8. Februar 2013 Wenn ein User (grob) fahrlässig handelt, kann er im Normalfall laut diesen Verträgen auch entsprechend belangt werden. Meist ist dies jedoch nur bei grob fahrlässiger Handlung, oder aber bei aktivem Einbringen von Schadsoftware, Hacking oder sonstigem anwendbar. Zitieren
127.0.0.1 Geschrieben 8. Februar 2013 Geschrieben 8. Februar 2013 (bearbeitet) alles was crash gesagt hat. Es gibt ja meist ohnehin it-vereinbarungen zum arbeitsvertrag, in denen geregelt ist, dass man keine software benutzen darf, die nicht von der it freigegeben ist, dass man keine usb-sticks benutzen darf usw. völlig unabhängig von den technischen möglichkeiten. eine gefahr bei adminrechten ist, dass der user sich sein system zerschießt. den support einzustellen wird in der praxis nicht möglich sein. das würde ja heißen, dass die öffentliche hand einen mitarbeiter zahlt, der nicht arbeiten kann, weil sein pc nicht funktioniert. letztlich wird die it DOCH den support übernehmen. eine andere gefahr ist allerdings, dass schadsoftware, die man sich ganz nebenbei beim surfen durch einen drive-by "abholen" kann auch lokale adminrecht hat. was soll der nutzer denn bitte unterschreiben? dass ihn per definition so etwas nicht passieren kann? dass er für den schaden haftet? sowas wird rechtlich keinen bestand haben..... User und Mitarbeiter können in der Regel nur bei vorsatz oder grober fahrlässigkeit zur rechenschaft gezogen werden..... nicht wenn man in der mittagspause zu seinem onlinerollenspiel surft und sich dort im forum den neusten wurm fängt.... und selbst wenn: der schaden ist ja erstmal vorhanden.... vorbeugen ist besser als jeder vertrag! Bearbeitet 8. Februar 2013 von 127.0.0.1 Zitieren
Wuwu Geschrieben 9. Februar 2013 Geschrieben 9. Februar 2013 Ich denke, dass das nicht unbedingt mit Behörden zusammenhängt :-) Behörden müssen sich genauso Gedanken machen, wie jede andere IT-Abteilung auch. Ja, wir werden das mit den Adminrechten auch in 99% der Fälle vermeiden. Ich bedanke mich für die rege Beteiligung und ganz besonders bedanke ich mich bei denjenigen, die sich bemüht haben, aktiv eine Lösung zu unterstützen. Wir haben sogar eine Rechtsabteilung und bevor wir uns an sie wenden, sollten wir uns natürlich Gedanken machen, was unser Ziel ist. Deswegen haben mich auch Praxisbeispiele sehr interessiert. Was ich primär herausgehört habe ist, dass bei Usern mit lokalen Admin-Rechten die Supportleistungen gewöhnlich verringert bzw. auf ein Minimum zurückgefahren werden. Gibt es auch Fälle, in denen sich rechtlich abgesichert wurde? Mit rechtlicher Absicherung meine ich, dass die IT-Abteilung geschützt, dem User die Konsequenzen im Vorraus gezeigt werden und er notfalls auch zur Rechenschaft gezogen werden kann. Ich wünsche euch allen noch ein schönes Wochenende! Darfst Du an der Tankstelle tanken und dann einfach wegfahren ohne zu zahlen? Nicht? Musstest Du dafür einen Zettel unterschreiben? Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.