Canni 11 Geschrieben 25. Juli 2007 Melden Teilen Geschrieben 25. Juli 2007 Hallo zusammen, wir setzen hier derzeit (!) nur einen Server (2003 R2) als DC und TS ein, Clients sind keine angebunden. Ich habe alle User (mich eingeschlossen) in eine OU gepackt, für die Gruppenrichtlinien gelten. Loopbackverarbeitungsmodus brauche ich nicht, wir haben ja nur dieses eine Gerät in der Domäne :-(. Alle User dieser Gruppe sind Domänenbenutzer. Nur der User "Administrator" ist Domänen-Admin und lokaler Administrator. Jetzt möchte mein Chef gerne die Systemsteuerung sehen, die ich via GPO ausgeblendet habe. Ich habe ihm gesagt, er solle sich als Administrator einloggen (es ist seine Firma!) und dort eventuelle Änderungen (mit Info an mich!) vornehmen. Wird er sowieso nicht tun, er will nur "theoretisch" die Möglichkeit dazu haben. Wie würdet ihr vorgehen? Eine neue OU "Chef" erzeugen, in die er gelegt wird, die dann z.B. nur noch gewisse Einschränkungen (kein Internet etc. - Sicherheit auf TS!) hat ... ? Dazu müsste ich den Chef aber der Gruppe Administratoren zufügen, damit er dort auch Änderungen vornehmen kann, korrekt? Da habe ich mich selbst nichtmal eingefügt. Danke! Canni Zitieren Link zu diesem Kommentar
owen 10 Geschrieben 25. Juli 2007 Melden Teilen Geschrieben 25. Juli 2007 Ach ne der Canni wieder mit seiner Domäne ohne Clients :p Hast du dir schon mal: Gruppenrichtlinien - Übersicht, FAQ und Tutorials angeguckt? Also generell würde ich dem Chef absolut keine Adminrechte geben. Schieb ihn am besten in eine neue OU rein, erstell eine neue Gruppenrichtlinie mit den gleichen Einschränkungen die du schon gemacht hast, nur dass er halt die Systemsteuerung sehen darf. Aber macht das wirklich sinn, dass dein Chef da rum fummeln darf? :suspect: Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 25. Juli 2007 Autor Melden Teilen Geschrieben 25. Juli 2007 Natürlich macht es das nicht. Aber das ist hier leichter geschrieben, als getan. Wie soll ich ihm das sagen? Wie Du in meinen anderen Beiträgen sehen kannst, sieht er es ja nichtmal ein, dass wir einen 2. Server brauchen. Oder mal ne andere Frage: wenn der Chef fragt: wie lautet das Admin-Passwort? (er weiss es - muss ja außer mir auch noch jemand wissen!) - was würdest Du antworten? Sag ich Dir nicht? Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 25. Juli 2007 Autor Melden Teilen Geschrieben 25. Juli 2007 Keine Antwort? :-) Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 25. Juli 2007 Melden Teilen Geschrieben 25. Juli 2007 Oder mal ne andere Frage: wenn der Chef fragt: wie lautet das Admin-Passwort? (er weiss es - muss ja außer mir auch noch jemand wissen!) - was würdest Du antworten? Sag ich Dir nicht? Mit verlaub: Fragen Sie den Betriebsrat! (Betriebsvereinbahrung?) Zitieren Link zu diesem Kommentar
owen 10 Geschrieben 25. Juli 2007 Melden Teilen Geschrieben 25. Juli 2007 Keine Antwort? :-) Doch sorry, ich war nur unterwegs ;-) Ich kann dich schon verstehen und vor allem dein Problem. Mit dem Chef ist das schon so eine Sache, meiner ist so ungefähr wie deiner, nur das sich meiner dafür nicht so interessiert und nicht danach fragt ;-) Es hat mich auch 4 Jahre arbeit gekostet, bis ich meinen Chef soweit hatte, das er mal was in die EDV investiert und mittlerweile würde ich sagen sind wir recht gut ausgestattet. Naja klingt zwar ****e, aber ich würde dem Chef schon versuchen irgendwie zu erklären, dass der Admin dein Job ist und wenn verschiedene Leute dran rum fummeln kann es tierisch zu Problemen kommen. Sichere ihm auch zu, dass er mit seinem "Benutzer" Account an alle Daten kommt, die er gerne zugänglich hätte (also Dateien etc.) Wünsche dir auf jedenfall viel erfolg. Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 25. Juli 2007 Autor Melden Teilen Geschrieben 25. Juli 2007 Mit seinem Benutzeraccount kommt er sowieso an alle Daten, einschl. eMailkonten der anderen User. Betriebsrat gibt es bei uns nicht. Und ich bin mir sicher, dass es das bei uns auch niemals geben wird. Soll er doch seine Admin-Rechte haben, wie früher. Mir inzwischen alles egal, sorry, is so. Jeder Mitarbeiter musste auch seine Passwörter nennen, also, wie er will. Zitieren Link zu diesem Kommentar
owen 10 Geschrieben 25. Juli 2007 Melden Teilen Geschrieben 25. Juli 2007 Soll er doch seine Admin-Rechte haben, wie früher. Mir inzwischen alles egal, sorry, is so. Jeder Mitarbeiter musste auch seine Passwörter nennen, also, wie er will. War hier früher auch, das gibt es nicht mehr!!! Jeder ist für seinen Login selbst verantwortlich! Ich habe noch ein paar andere Beiträge von dir verfolgt, du hast es echt nicht leicht, dazu kann ich deinen Frust verstehen. Aber nicht entmutigen lassen, lieber auf die Kernsachen konzentrieren (die dich persönlich angehen). :cool: Zitieren Link zu diesem Kommentar
Kafuhn 10 Geschrieben 25. Juli 2007 Melden Teilen Geschrieben 25. Juli 2007 /edit\ falscher thread :) Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 26. Juli 2007 Autor Melden Teilen Geschrieben 26. Juli 2007 Hallo Owen und die anderen Antworter, erstmal vielen Dank an Euch alle. Ich weiß, dass Euch das ganze ggf. hier nervt, weil "handeln" angesagt wäre. Das ist aber in meiner Position, als Auszubildender eines ganz anderen Bereiches, nicht ganz einfach. Trage ich meinem Chef Vorschläge vor, die Geld kosten (=Investition), dann bin ich immer persönlich der "Buh-Mann". Eine "gewisse" Sicherheit habe ich ja schon reingebracht: ^^ früher hatten wir einen Uralt-Telekom-Router, ohne jeglichen Schutz. Hat uns ein "EDV-Spezialist" hier angeschlossen. Daher ausgetauscht gegen den Netgear FVG318. Mit ca. 500 Euro-Geräten muss ich da garnicht ankommen, auch wenn es mir selbst von der persönlichen Einstellung her "weh" tut. Oder eine Absicherung des Servers mit Gruppenrichtlinien. Oder Anpassung der Berechtigungen auf die Datenbanken etc., Abbilden der Unternehmensstrukturen auf das AD ... aber AD auf dem TS ... da könnt ich wieder heulen. Leute, mir macht die EDV-Administration extrem viel Spaß, ich engagiere mich sehr, das bestreitet auch hier im Betrieb niemand. Viele - fachkundige - Bekannte und mir bekannte Systemadministratoren bezeugen meine Kentnisse in der Serververwaltung, v.a. im Bereich der Terminaldienste. Aber ich habe hier mit einem Chef zu kämpfen (mit dem ich mich eigentlich gut verstehe und den auch auch mag!), der es als Optimallösung ansieht, ausgeleierte Privat-Notebooks seiner Familie hier im Produktivbetrieb einzusetzen. Argumentieren hilft da nichts. Deshalb lege ich den Fokus so auf die Serverabsicherung, die Anschaffung eines neuen Servers als DC, Auslagerung der Daten und Datenbanken etc. - und weniger auf die Notebooks. Denn da wird es keine Änderung geben, da bin ich mir sehr sicher. Zitieren Link zu diesem Kommentar
Klauth 10 Geschrieben 26. Juli 2007 Melden Teilen Geschrieben 26. Juli 2007 Mit seinem Benutzeraccount kommt er sowieso an alle Daten, einschl. eMailkonten der anderen User. Betriebsrat gibt es bei uns nicht. Und ich bin mir sicher, dass es das bei uns auch niemals geben wird. Soll er doch seine Admin-Rechte haben, wie früher. Mir inzwischen alles egal, sorry, is so. Jeder Mitarbeiter musste auch seine Passwörter nennen, also, wie er will. Falls er sich nicht entsprechend abgesichert hat, bewegt er sich imho rechtlich damit auf sehr dünnem Eis. Zitieren Link zu diesem Kommentar
owen 10 Geschrieben 26. Juli 2007 Melden Teilen Geschrieben 26. Juli 2007 Also ich denke auch mal, was die Rechsebene angeht, hat er wirklich schlechte Karten, manchmal müssen auch Chefs umdenken. Aber aber als "kleiner" Mitarbeiter sowas einem Chef bei zu bringen ist echt sch.... By the way, eine super interessante Seite (hier im Forum gefunden) und auf jedenfall einen Blick wert (auch für den Chef): https://www.sicher-im-netz.de/default.aspx?sicherheit/ihre/mittelstand/geschaeftsfuehrer/default und https://www.sicher-im-netz.de/default.aspx?sicherheit/ihre/mittelstand/itverantwortliche/default Ich weiß ja nicht, als was du deine Ausbildung machst, aber hast du schon mal überlegt auf Fachinformatiker oder verglb. umzusteigen? Zitieren Link zu diesem Kommentar
a_hempelt 10 Geschrieben 26. Juli 2007 Melden Teilen Geschrieben 26. Juli 2007 Mit seinem Benutzeraccount kommt er sowieso an alle Daten, einschl. eMailkonten der anderen User. Betriebsrat gibt es bei uns nicht. Und ich bin mir sicher, dass es das bei uns auch niemals geben wird. Soll er doch seine Admin-Rechte haben, wie früher. Mir inzwischen alles egal, sorry, is so. Jeder Mitarbeiter musste auch seine Passwörter nennen, also, wie er will. Gleiches Thema habe ich bei uns auch durch. NUR habe ich, bzw. der Datenchutz, gewonnen. Ein Abteilungsleiter wollte ALLES! - egal was - von seinen "Untertahnen" wissen. Emails, Daten, Internetverkehr, ... einfach alles. Seine Berechtigungen wollte er für ALLES haben. Als erstes habe ich den Datenschützer von beauftragt. Als zweites ist der Betriebsrat informiert wurden. Der Leiter wurde mit so vielen Auflagen belegt, das er es bis heute (ein halbes Jahr später) noch nicht geschafft hat, alle Auflagen zu erfüllen, welche Ihm diese "Sonderrechte" zubilligen. Ein gutes Argument was bei uns auch immer zieht: Ich bin für die Verfügbarkeit im Netz zuständig, wenn was nicht funktioniert werde ich auch als erstes gerufen. Die Sicherheit kann nicht mehr gewährleistet werden, sobald ein unerfahrener über die Berechtigung ernannter "Administrator" im Netz sein Unwesen treibt. Wer etwas wissen will, kann über mich direkt an die Informationen rankommen - unter Bedingung des Datenschutzes! Hinweis noch von meinem Datenschützer: Schau Dir mal das Betriebsverfassungsgesetzt an. Dieses gilt auch, wenn es keinen Betriebsrat gibt. Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 26. Juli 2007 Autor Melden Teilen Geschrieben 26. Juli 2007 Danke für die flotten Antworten! Für Fachinformatiker hatten meine Noten in Mathematik leider nicht gereicht. Leider macht sich kein Unternehmen anscheinend die Mühe, die praktischen Kenntnisse zu prüfen. Und da hätte ich alle Mitbewerber sicher haushoch geschlagen. Ich kenne die rechtlichen Bedingungen. Zu dem Chaoten, der das damals hier eingerichtet hatte hat er gesagt, dass er Zugriff auf alle eMailkonten möchte. Denkst Du, jetzt kann ich hergehen und ihm diesen Zugriff einfach wieder nehmen? Leider sind wir kein Unternehmen, in dem man einen Datenschutzbeauftragten vor Ort hat. Das wird hier wohl auch nie kommen. Noch einmal: mein Chef ist geschäftsführender Gesellschafter. Wir sind kein Unternehmen, in dem man schon fast von einer "Gewaltenteilung" sprechen kann. Zitieren Link zu diesem Kommentar
owen 10 Geschrieben 26. Juli 2007 Melden Teilen Geschrieben 26. Juli 2007 Noch einmal: mein Chef ist geschäftsführender Gesellschafter. Wir sind kein Unternehmen, in dem man schon fast von einer "Gewaltenteilung" sprechen kann. Hi, echt mal interessant zu sehen, wie es auch so anderen Leuten ergeht ;-) Es brauch nur mal ein Mitarbeiter zu klagen, den er raus geschmissen hat oder ein Angestellter fühlt sich in seinen Rechten verletzt, dann kann dein Chef sich warm anziehen. Meine Noten waren auch keine glanz Leistung nach der Schule, aber in der Ausbildung habe ich mich richtig ins Zeug gelegt :-) Tipp, wenn die Noten nicht soooo gut sind, IT-System-Elektroniker hat nicht so "hohe" Anforderungen in den Unternehmen und man kann mitten drin noch den Ausbildungszweig switchen :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.