Zum Inhalt springen

Zettel erstellen: Unterschrift für Admin-Rechte


Empfohlene Beiträge

Geschrieben

Hallo alle zusammen,

wir als IT einer Behörde wollen Admin-Rechte ab sofort nur noch unter bestimmten Voraussetzungen vergeben.

Dazu zählt auch, dass ein Zettel unterschrieben wird, auf dem z.B. steht, dass man Programme nur legal installieren darf, die Rechte ordentlich nutzen soll usw. Eventuell wäre es ja sogar sinnvoll etwas wegen der Haftung darauf zu schreiben.

Ich habe gehört, dass dieses Werkzeug häufig in Unternehmen und Behörden genutzt wird.

Was für Erfahrungen habt ihr damit schon gesammelt und was schreibt man dort üblicherweise hinein?

Vielen Dank!

Liebe Grüße tt33tt

Geschrieben

wer außer den admins bekommt denn adminrechte? so ein zettel ist ja ganz schick, aber er verhindert ja nicht wirkungsvoll eine fehlbenutzung oder missbrauch. außer den admins braucht der normale nutzer doch nur sporadisch oder punktuell sonderrechte. diese lassen sich doch am besten durch gruppenrichtlinien einrichten.....

Geschrieben

behörden und ihre zettel.... lol

ne mal ganz ehrlich, son zettel ist gut und recht, aber wer darf am ende die sch** ausbaden wenn der anwender was verbockt?

genau du, oder ein kollege. der andere bekommt nen einlauf, mehr aber auch nicht. schließlich arbeitet er ja bei der behörde.

ich würde eher versuchen möglichst alle prgramme über entsprechende berechtigungen unter normalen benutzerberechtigungen laufbar zu machen.

Geschrieben

Was genau wollt ihr mit diesem Zettel denn erreichen? Soll er bei arbeitsrechtlichen Auseinandersetzungen zum Einsatz kommen? Soll er ein Freibrief für euch sein, dass ihr die Einhaltung der Bedingungen überwachen dürft? Soll er die Benutzer zum Nachdenken bewegen, dass sie ihre Rechte mit Bedacht einsetzen? Oder soll der zusätzliche Aufwand die User einfach nur davon abhalten, überhaupt nach Adminrechten zu fragen?

Bevor man sich über den Inhalt Gedanken macht, sollte der Zweck klar sein.

Geschrieben

Danke für die vielen Antworten :-)

Es geht um die User, die lokale Admin-Rechte erhalten. Das versuchen wir auch möglichst zu vermeiden. Nur in ganz wenigen Ausnahmefällen halten wir es für notwendig.

Dann möchten wir natürlich die Datenschutzrichtlinien erfüllen und für uns auf der sicheren Seite sein, falls da etwas falsch läuft. Damit können wir uns rechtlich absichern. Ob wir da auch Schadenersatz verlangen würden, weiß ich nicht. Diese Möglichkeit ist natürlich auch gut sich offen zu halten.

Geschrieben

Dann möchten wir natürlich die Datenschutzrichtlinien erfüllen und für uns auf der sicheren Seite sein, falls da etwas falsch läuft. Damit können wir uns rechtlich absichern. Ob wir da auch Schadenersatz verlangen würden, weiß ich nicht. Diese Möglichkeit ist natürlich auch gut sich offen zu halten.

Deine Frage ist eigentlich ganz falsch gestellt. Du möchtest einen wunschlos-glücklich-rundum-sorglos-Zettel haben. Letztlich weißt Du aber gar nicht, gegen was Du Dich schützen möchtest....

Was sind denn die konkreten "Bedrohungen", die von lokalen Adminrechten ausgehen?

Nochmal meine Ausgangsfrage: Warum brauchen die User lokale Adminrechte? Warum baust Du Dir nicht eine Gruppe "lokale Admins" im AD, in die Du einzelne Nutzer bei Bedarf temporär reinschiebst, um Ihnen das benötigte Rechtepaket zu gewähren? Warum baust Du nicht entsprechende Nutzergruppen für Fachanwendungen, die den Nutzern eben nur genau die Rechte einräumen, die Sie benötigen?

Geschrieben

So ein Problem hat meist die Ursache darin, dass Adminrechte für die User nicht technisch benötigt werden, sondern als "Statussymbol" angesehen werden. Somit kann so ein User durchaus einiges an Ehrgeiz erzeugen, lokale Adminrechten zu erreichen.

Lösung ist in meinen Augen recht einfach: User hat lokale Adminrechte: Rechner fällt aus dem Support. Sollte der Rechner irgendwelche Zicken machen: Neubetankung ohne Datensicherung. Spätestens nach der dritten Neuinstallation kapiert es auch der stumpfste Anwender.

Geschrieben

Ich würde in der abteilung it durchsetzten, dass niemand lokale adminrechte hat. adminrechte werden nur auf anweisung des Abteilungsleiters it vergeben. und der soll schauen, unter welchen voraussetzungen er das an seine untergebenen anweist.

ganz klassisch-behördlich geregelt. wozu gibts schließlich hierarchiestufen im öd....

man kann ja rechner nicht ganz aus dem support nehmen. da passieren ja auch ohne adminrechte was, was in den normel support fällt. und bei arbeitssausfällen ist erstmal die it-abteilung die gelackte...

Geschrieben
man kann ja rechner nicht ganz aus dem support nehmen. da passieren ja auch ohne adminrechte was, was in den normel support fällt. und bei arbeitssausfällen ist erstmal die it-abteilung die gelackte...

No risk, no fun.

(Dazu sollte man allerdings die Rückendeckung vom Chefchef vom IT-Leiter haben)

Geschrieben

Das ist hier bei dem Kunden bei dem ich momentan bin auch so.

Hat der User lokale Adminrechte fällt der Rechner komplett aus dem Support - ist irgendwas mit dem Rechner (völlig egal was und wodurch ausgelöst) ist die einzige Möglichkeit: Neuinstallation ohne Datensicherung.

Ist wohl bei großen Umgebungen durchaus gang und gäbe - wer lokale Adminrechte braucht geht damit eben ein Risiko ein.

Geschrieben

Ich denke, dass das nicht unbedingt mit Behörden zusammenhängt :-) Behörden müssen sich genauso Gedanken machen, wie jede andere IT-Abteilung auch.

Ja, wir werden das mit den Adminrechten auch in 99% der Fälle vermeiden.

Ich bedanke mich für die rege Beteiligung und ganz besonders bedanke ich mich bei denjenigen, die sich bemüht haben, aktiv eine Lösung zu unterstützen.

Wir haben sogar eine Rechtsabteilung und bevor wir uns an sie wenden, sollten wir uns natürlich Gedanken machen, was unser Ziel ist. Deswegen haben mich auch Praxisbeispiele sehr interessiert.

Was ich primär herausgehört habe ist, dass bei Usern mit lokalen Admin-Rechten die Supportleistungen gewöhnlich verringert bzw. auf ein Minimum zurückgefahren werden. Gibt es auch Fälle, in denen sich rechtlich abgesichert wurde? Mit rechtlicher Absicherung meine ich, dass die IT-Abteilung geschützt, dem User die Konsequenzen im Vorraus gezeigt werden und er notfalls auch zur Rechenschaft gezogen werden kann.

Ich wünsche euch allen noch ein schönes Wochenende!

Geschrieben

Wenn ein User (grob) fahrlässig handelt, kann er im Normalfall laut diesen Verträgen auch entsprechend belangt werden.

Meist ist dies jedoch nur bei grob fahrlässiger Handlung, oder aber bei aktivem Einbringen von Schadsoftware, Hacking oder sonstigem anwendbar.

Geschrieben (bearbeitet)

alles was crash gesagt hat. Es gibt ja meist ohnehin it-vereinbarungen zum arbeitsvertrag, in denen geregelt ist, dass man keine software benutzen darf, die nicht von der it freigegeben ist, dass man keine usb-sticks benutzen darf usw. völlig unabhängig von den technischen möglichkeiten. eine gefahr bei adminrechten ist, dass der user sich sein system zerschießt. den support einzustellen wird in der praxis nicht möglich sein. das würde ja heißen, dass die öffentliche hand einen mitarbeiter zahlt, der nicht arbeiten kann, weil sein pc nicht funktioniert. letztlich wird die it DOCH den support übernehmen. eine andere gefahr ist allerdings, dass schadsoftware, die man sich ganz nebenbei beim surfen durch einen drive-by "abholen" kann auch lokale adminrecht hat. was soll der nutzer denn bitte unterschreiben? dass ihn per definition so etwas nicht passieren kann? dass er für den schaden haftet? sowas wird rechtlich keinen bestand haben..... User und Mitarbeiter können in der Regel nur bei vorsatz oder grober fahrlässigkeit zur rechenschaft gezogen werden..... nicht wenn man in der mittagspause zu seinem onlinerollenspiel surft und sich dort im forum den neusten wurm fängt....

und selbst wenn: der schaden ist ja erstmal vorhanden.... vorbeugen ist besser als jeder vertrag!

Bearbeitet von 127.0.0.1
Geschrieben
Ich denke, dass das nicht unbedingt mit Behörden zusammenhängt :-) Behörden müssen sich genauso Gedanken machen, wie jede andere IT-Abteilung auch.

Ja, wir werden das mit den Adminrechten auch in 99% der Fälle vermeiden.

Ich bedanke mich für die rege Beteiligung und ganz besonders bedanke ich mich bei denjenigen, die sich bemüht haben, aktiv eine Lösung zu unterstützen.

Wir haben sogar eine Rechtsabteilung und bevor wir uns an sie wenden, sollten wir uns natürlich Gedanken machen, was unser Ziel ist. Deswegen haben mich auch Praxisbeispiele sehr interessiert.

Was ich primär herausgehört habe ist, dass bei Usern mit lokalen Admin-Rechten die Supportleistungen gewöhnlich verringert bzw. auf ein Minimum zurückgefahren werden. Gibt es auch Fälle, in denen sich rechtlich abgesichert wurde? Mit rechtlicher Absicherung meine ich, dass die IT-Abteilung geschützt, dem User die Konsequenzen im Vorraus gezeigt werden und er notfalls auch zur Rechenschaft gezogen werden kann.

Ich wünsche euch allen noch ein schönes Wochenende!

Darfst Du an der Tankstelle tanken und dann einfach wegfahren ohne zu zahlen?

Nicht? Musstest Du dafür einen Zettel unterschreiben?

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...