stan73 10 Geschrieben 14. Juni 2007 Melden Teilen Geschrieben 14. Juni 2007 Hallo Forum-Freunde, habe hier ein sehr ärgerliches Problem. In unserer Firma ist es zwingend erforderlich, daß einige Aussendienstmitarbeiter Software und Treiber installieren können. Ich möchte aber die Domänen - Benutzer auf keinen Fall mit lokalen Admin-Rechten ausstatten. Als Hauptbenutzer ist jedoch die Installation von z.B. Adobe PDF (nicht Reader) oder dem Macromedia Studio (und vielen anderen schlecht durchdachten Programmen) nicht möglich. "Sie müssen über Administratorrechte verfügen, wenn Sie diese Software installieren wollen". Dies könnte aber auch daran liegen, das bei der Installation viel am System verändert wird. Das kann doch nicht sein, daß die ganze Welt jetzt admin sein muß, wofür benötigt man denn dann überhaupt unterschiedliche Berechtigungen?? Wie kann ich einem Mitarbeiter die Möglichkeit bieten, lokal Software und Treiber zu installieren, ohne ihn zum Admin zu machen? Die Netzwerkeinstellungen gehen ja "GottSeiDank" über die lokale Gruppe "Netzwerkkonfigurations-Operatoren". Ihr werdet euch fragen, warum ich meinen Kollegen nicht gleich den Adminzugang lokal ermögliche: Ich möchte einfach auf nummer sicher gehen, denn jede Schadsoftware bedient sich der Berechtigung, die der "CurrentlyLoggedOnUser" hat. Vielleicht bin ein wenig ängstlich, aber wir sind nur 2 Administratoren, die alles können müssen, bei insgesamt 80 Mitarbeitern. Da wollen wir uns soweit es geht absichern, daß unsere Clients möglichst lange und sauber funktionieren. Über jeden Hinweis bin ich dankbar stan73 Zitieren Link zu diesem Kommentar
deubi 10 Geschrieben 14. Juni 2007 Melden Teilen Geschrieben 14. Juni 2007 Hallo Stan willkommen im Club der Betroffenen. Prinzipiell ist es aber schon so: ein normaler Benutzer soll NICHT in der Lage sein, Software zu installieren. Damit soll der Softwarewildwuchs im Unternehmen verhindert werden. Wie würdest Du kontrollieren wollen, wer welche Software wie lizenziert einsetzt, wenn jeder bei sich installieren könnte, was er wollte? Was nun die Hauptbenutzer betrifft: Welche Rechte Du im Einzelnen tatsächlich brauchst- unabhängig von den Behauptungen der Hersteller - kannst Du Dir nur im Feldversuch Klarheit verschaffen. Einfacher dürfte es sein, entsprechende Bedürfnisabklärungen zu starten und die Software dann über GPO, SMS oder ähnliche Softwareverteilungsanwendungen zuzuweisen Zitieren Link zu diesem Kommentar
stan73 10 Geschrieben 14. Juni 2007 Autor Melden Teilen Geschrieben 14. Juni 2007 Hallo deubi, danke für die schnelle Antwort. Ja, natürlich hast du recht. I. d. R. dürfen die Anwender bei uns auch nichts installieren. Es ist halt nur eine Gruppe von Kollegen (unsere Entwicklungsabteilung), die häufig beim Kunden Vorort schnell mal eben einen anderen Treiber installieren muß, weil die Geräte beim Kunden ein älteres Modell als angenommen sind, oder einfach die aktuellste Software sich nicht mit der vorhandenen HW verstehen will. Es handelt sich hierbei um elktronische Messgeräte, die an PCs verbunden werden können, um Simualtionsläufe aufzuzeichnen. Manchmal müssen unsere Kollegen eben so agieren. Ich möchte jedoch, wegen dieser vereinzelt auftretenden Situationen, nichht direkt das große "Scheunentor aufmachen müssen! " Wie sieht es damit aus? Ich lege ein adminkonto an, welcher aber nur zum installieren verwendet werden soll. Wie verhindere ich alle anderen Privilegien dieses Kontos? z.B. anmelden am Computer verweigern, oder als Dienst anmelden verweigern? Hat jmd. schon eine solche Konstellation lauffähig im Einsatz. Vielen Dank stan Zitieren Link zu diesem Kommentar
deubi 10 Geschrieben 14. Juni 2007 Melden Teilen Geschrieben 14. Juni 2007 bei den Geräten, die Du ansprichst handelt es sich nicht um USB- oder sonst automatisch erkannte Geräte? Zitieren Link zu diesem Kommentar
stan73 10 Geschrieben 14. Juni 2007 Autor Melden Teilen Geschrieben 14. Juni 2007 Doch, mitunter sind es solchige :D: Aber bei Adobe wird z.B. ein PDF Druckertreiber mitinstalliert, wobei eigentlich Druckerinstalltionen auch als Hauptbenutzer gehen müssten. Es wird wohl auch daran liegen, dass Adobe sich in Office usw. einnistet. Das ist aber noch nicht mal das Problem, diese Software würden wir zur Not einmal als Image wegsichern. Es sind halt genau diese kleinen Tools, die man installiert und dann ein usb-Gerät anschliesst, damit dieses erkannt wird. stan Zitieren Link zu diesem Kommentar
Cosi 10 Geschrieben 14. Juni 2007 Melden Teilen Geschrieben 14. Juni 2007 Wie wäre eine Lösung mit einer Virtuellen Maschine auf dem Client und diese dann mit Adminrechten zu versehen. Da könnten die User sich dann austoben, aber du könntest trotzdem noch relativ beruhigt schlafen. Ok, wahrscheinlich nicht die billigste Lösung, aber was anderes würde mir da nicht einfallen Zitieren Link zu diesem Kommentar
deubi 10 Geschrieben 14. Juni 2007 Melden Teilen Geschrieben 14. Juni 2007 Die Idee ist mir auch schon gekommen, habe's aber wieder verworfen, weil: die Frage ist, ob das mit den physischen USB-Geräten und den virtuellen Instanzen so auch tatsächlich klappt. Einen Versuch wäre's jedenfalls wert, wenn er Zeit dafür hat. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.