Zum Inhalt springen

Berechtigungen für Administratoren: Handhabung in der Praxis?


Empfohlene Beiträge

Geschrieben

Hallo alle zusammen,

wir sind dabei, das mit den Adminrechten zu verändern. Die IT-Abteilung besteht aus 12 Mitarbeitern + 3 Azubis + 1 Jahrespraktikant und immer wieder andere Kurzpraktikanten.

Die momentan schlechtere Lösung ist: Jeder hat alle Rechte und an Servern und User-PCs wird sich mit globalem Admin angemeldet. Praktikanten wissen nicht den globalen Admin, haben aber trotzdem Admin-Rechte.

Praktikanten, die nur kurz da sind, benötigen ja keine Admin-Rechte.

Azubis werden bei uns gewöhnlich wie Angestellte eingesetzt und benötigen daher auch vergleichbare Rechte.

Eine Überlegung wäre, komplette Admin-Rechte entziehen und Angestellte + evtl. Azubis erhalten zusätzliches Admin-Konto.

Hm, aber was macht man mit dem globalen Admin? 4-Augen-Prinzip oder so etwas?

Was habt ihr für Erfahrungen gemacht und wie handhabt ihr es?

Vielen Dank!

Liebe Grüße tt33tt

Geschrieben

Verstehe ich das richtig: ihr habt in der IT keine Trennung zwischen Admin-Account und Benutzeraccount, das heisst, dass euer Benutzeraccount Domain-Admin ist?

Mein Vorschlag:

- Trennung zwischen Admin- und Useraccount! Als allererstes! Man arbeitet nicht mit lokalen oder Domainadminrechten.

- Der personalisierte Admin-Account bekommt gestaffelt die Funktionsrechte, die der Anwender braucht (zum Beispiel User auf dem Inventoryserver, aber Admin auf dem Exchange)

- "Der" Administrator (also jetzt wirklich der Windows-Domainaccount "Administrator") wird nicht mehr verwendet... oder ein neuer Superadmin wird erstellt, der alle Rechte auf allen Serversystemen hat, während der alte Administrator zurückgebaut wird.

Geschrieben

:beagolisc:beagolisc:beagolisc Superadmin-accounts...?!

genau so, wie der chief es sagt: den "admin" abschaffen und jedem administrator die rechte per richtlinie geben, die er braucht. auf allen clients sollten auch noch lokale administartoren mit dem gleichen passwort vorhanden sein, so dass die azubis und praktikanten auch mal per turnschuh oder vnc software installieren können.

Geschrieben

Danke für eure Tipps :-)

1. Mit Rechte per Richtlinie sind sicherlich die Gruppen im AD gemeint oder?

2. Hat die Gruppe Organisations-Admins automatisch "Super-Admin-Rechte"?

3. Wir führen auch revionssicheren Archiven, DMS, PKI etc. momentan ein. Dementsprechend ist es sicherlich notwendig, dass man nicht einfach auf den Super-Admin Zugriff hat. Ich denke aber, dass es für den Notfall durchaus notwendig sein könnte. Arbeitet man dann gewöhnlich mit Aufteilung des Passworts auf mehrere Mitarbeiter?

4. Wenn wir lokal Tools zur AD-Verwaltung installieren, könnten wir ja mit dem normalen User-Account nicht mehr auf das AD zugreifen?

Geschrieben

es gibt bei uns für jeden dienst/Anwendung/server/what ever verschiedene rechterollen (die gruppen im ad). und dann gibt es die mitarbeiter-accounts nach folgendem schema: vorname.nachname. Diesen Accounts werden rechte zugeteilt: der meier aus der buchhaltung ist in der gruppe buchhaltung_user, alle_mitarbeiter, SAP_admin. Der Müller aus der Buchhaltung ist in buchhaltung_user, alle_Mitarbeiter und SAP_user. ich bin in der gruppe alle_mitarbeiter, SAP_Admin, Buchhaltung_Admin, IT_Kontenadmin, lokal_Admin... usw. damit habe ich zugriff auf anwendungen oder festplattenbereiche, die ich für meine tagtägliche arbeit benötige

ich logge mich morgens ein mit meinem account ein und kann arbeiten. Rechte, die ich selten brauche oder von sehr kritischen anwendungen hole ich mir über ein adminportal temporär unter angabe des grundes.

Geschrieben

ganz genau! viele rechte sind nur auf den ersten blick cool. spätestens, wenn man mal ne datenbank gelöscht hat oder nen anderen wichtigen dienst gekillt hat, weil man mit zu vielen rechten unterwegs war findet man das nicht mehr cool... :)

Geschrieben (bearbeitet)

Ja, das mit den Rechten ist wirklich wahr. Da wird es Zeit etwas zu verändern :-)

ich logge mich morgens ein mit meinem account ein und kann arbeiten. Rechte, die ich selten brauche oder von sehr kritischen anwendungen hole ich mir über ein adminportal temporär unter angabe des grundes.

Was für ein Adminportal nutzt ihr denn dafür?

//edit: Die Sicherheitsbedenken werden doch durch die Benutzerkontensteuerung soweit zerstreut, dass man keine zusätzlichen Konten erstellen muss oder?

Bearbeitet von tt33tt
Ergänzung
Geschrieben

Hrmpfffff... ist man Admin auf dem System kann man die Benutzerkontensteuerung auch runterdrehen.

Strikte Trennung zwischen Alltagsuseraccount, man loggt sich als WiggumC ein. Braucht man Adminrechte lokal, reicht ein einfacher rechtsklick - ausführen als Admin und schnell die Credentials von Wiggum_Admin einklickern. Kein Admin braucht permanent und immer Domainadminrechte - Oder kannst du mir erklären, warum du für Mailempfang, Tickettool und telefonischen Usersupport als Admin auf dem Arbeitsrechner angemeldet sein musst?

Geschrieben

Dann ist da noch die Überlegung wegen den Azubis. Ist das möglich, dass man auf jedem Computer standardmäßig eine AD-Gruppe zu der lokalen Gruppe Hauptbenutzer hinzufügt? So ist das ja auch bei der lokalen Administratoren-Gruppe.

Geschrieben

Unser IT Sicherheitsbeauftragter würde direkt drei Herzkasper bekommen.

Domänenadministrator ist niemand. Es gibt vielleicht eine Hand voll Funktionsaccounts die Domänenadministratoren sind um arbeiten an der Domäne durchzuführen. Die Passwörter werden im Safe gelagert und die Passwörter werden nur herausgegeben, wenn die Firma brennt. Du verstehst was ich meine. Es gibt nur sehr wenige Arbeiten wo man Domänenadministrator sein muss.

Für die täglichen Arbeiten wie User anlegen, Gruppen bearbeiten usw. hat der normale User die entsprechenden Rechte delegiert bekommen. Nein, ich meine nicht Adminrechte.

Des weiteren ist der normale Domänenuser niemals Administrator am lokalen PC. Die Viren und Trojaner freuen sich über einen Rechner wo man als Admin alles machen kann. Jeder Benutzer hat an seiner Workstation einen zweiten lokalen User mit Adminrechten. Wenn er Adminrechte benötigt, dann kann er sich mit diesem User anmelden bzw. über die rechte Maustaste ausführen.

Was versteht Du unter auf andere Rechner schalten?

Meinst Du Remotedesktop?

Auch dafür benötigt man weder Domänenadministratorrechte noch Adminrechte auf dem lokalen Client. Dafür gibt es eine Gruppe am Client wo die Administratoren mit ihren normalen Useraccounts eingetragen werden. Und schon kann man sich verbinden. Und wenn man dort arbeiten als Admin ausführen muss, dann gilt das gleiche wie zuvor schon gesagt. Die rechte Maustaste hilft einem da weiter.

Warum benötigen Praktikanten Adminrechte?

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...