Benutzerrechte in einer Domäne

[jens34 10]

Hallo Leute,

 

mich beschäftigt eine Frage ganz stark. In der Firma in der ich arbeite, sind alle PC und Notebooks an der Domäne angemeldet mit eigenem Benutzernamen. Was mich interessiert:

ist es sinnvoll, das alle Notebooks z.B. Administratorrechte haben? Auch die lokalen Benutzer haben Adminrechte. Auf allen Rechnern und auf dem Server läuft jeweils nur die WinXP Firewall, sonst nichts.

Sicherheit ist doch hier gleich null, oder sehe ich das falsch? Die IT wird hier nur nebenbei von einer Kollegin aus der Buchhaltung gemacht, die aber wenig Zeit dafür hat.

 

Demnächst sollen die Notebooks einen Zugriff von aussen auf das Firmennetzwerk erhalten, damit man auch von zuhause aus arbeiten kann.

 

Nun möchte ich mich ein wenig mit unserer IT beschäftigen und aufzeigen, dass der derzeitige Zustand absolut schlecht ist.

 

Wäre für alle Vorschläge und Infos zu einer Verbesserung dankbar.

 

Jens

[robotto7831a 10]

Hallo,

 

das Notebook selber kann keine Adminrechte haben höchstens die Benutzer. Und sinnvoll ist es nicht. Denn es gibt keinen Grund laufend Adminrechte zu haben als normaler Benutzer.

 

Frank

[lefg 276]

Feld-, Wald- und Wiesenbenutzer sollten keine Adminrechte haben, nicht Mitglied der Administratoren sein. Sowas ist auch nicht nötig. Das Nebenbeimachen der IT durch jemanden aus der Buchhaltung, Vertrieb oder Versand ist wohl eine der bösen Fallen für geizige Unternehmen, beratungsresistenten Geschäftsführer und ähnliches. Solange des Schiefgehende nicht auffällt, solange ist doch alle in bester Ordnung, oder doch nicht?

[tacher 10]

um am einfachsten einen Geschäftleiter auf seine nicht funktionierende IT aufmerksam zu machen geht man am bessten so vor.

 

1. Man zeichnet realistische Szenarien auf wie alles verloren gehen kann

2. Man zeichnet für jedes Szenario Lösungsmöglichkeiten auf

3. Man verkauft die Lösungsmöglichkeiten als 0,0 Euro Jobs

 

Wenn man den Auftrag hat sie auszuführen kramst man nochmals 20 zusätzliche Katastrophenszenarien hervor und lässt es dann richtig Teuer werden :)

 

Und schwubs ist man ernannte IT Abteilung der Firma :)

[lefg 276]

Bei einsichtsfähigen GF ja, aber bei Beratungsresistenten?

 

Es geht dabei auch nicht nur um Katastrphenszenarien, oftmals sind es doch eher die kleinen Dinge des täglichen Geschehens, die nicht professionell angefassten "Lösungen", die Basteleien von Amateuren.

[jens34 10]

Danke für eure Meinungen, haben mir sehr geholfen.

 

Ich bräuchte dennoch mal eure Hilfe. Wie könnte ich den die Geschichte mit den Notebooks ändern. D.h. hier die Sicherheit in der Domäne erhöhen. Den es gibt wohl schon den ersten Trojaner aus dem Internet.

 

Dann noch eine Frage. Wenn ich von zuhause aus arbeite, melde ich mich mit dem Domänenaccount am Notebook an oder lokal am Notebook? Ich muss mich nicht mit dem Firmennetzwerk verbinden.

[IThome 10]

Wenn die User lokale Administratoren auf den Notebooks sind, können die Benutzer jede Sicherheitsstrategie unterwandern. Sinnvoll wäre, dass auf den Clients ein Virenschutzprogramm läuft, dass für den Benutzer nicht abschaltbar und auch zentral verwaltbar ist. Wenn sie einen VPN-Zugang in das interne Netzwerk bekommen, wäre ein strikter Tunnel von Vorteil (dass also sämtlicher Verkehr, auch der Internetverkehr, durch den Tunnel läuft). Weiterhin gibt es ausser den Standardkonten keine weiteren Konten auf dem Notebook und die sind natürlich passwortgeschützt. Also meldet man sich immer (gecached) an dem Firmennotebook mit Domänencredentials an. Erzwungenermassen kann auf dem Notebook durch Domänenrichtlinien die Firewall vorkonfiguriert durch Gruppenrichtlinien anschalten lassen, wenn der Rechner sich nicht in der Domäne befindet (also wenn ein anderer Verbindungssuffix bzw. eine andere IP-Range als in der Domäne gültig ist).

[jens34 10]

Danke IThome,

 

das brachte mich schon ein ganzes Stück weiter. Aber wie ist es denn, wenn Software auf den Notebooks installiert werden muss. Wird das auch über den Domänenanmeldung gemacht

oder muss man sich local am Notebook anmelden. Ich möchte auf den Notebooks noch eine zweite Antivirsoftware installieren.

[IThome 10]

Wenn Du als Admin das machen sollst, meldest Du Dich als Domänenadmin an dem Notebook an. Das klappt im Falle der Abwesenheit aber nur, wenn sich der Domänenadmin schon mal angemeldet hat. Ein Installieren durch Benutzung des lokalen Administrators ist natürlich auch möglich. Oder sollen die Notebookbenutzer selbst Software installieren können ?

2 verschiedene Antivirenprogramme solltest Du auf keinen Fall gleichzeitig auf einem Rechner laufen lassen, die behindern sich gegenseitig und dadurch den Benutzer des Notebooks ...

[Supporteur 10]

Alles wahre Worte. Und wenn Du selbst sagst, ihr hattet schon 'nen Trojaner-Befall, dann ist das ein sehr gutes Argument pro sauber organisierte IT in der Firma, inkl.:

- User OHNE Adminrechte (Ein User als Spielkind genügt für unkontrollierbaren Wildwuchs)

- klarer Politik, was softwaremäßig auf den Geräten erlaubt ist und was nicht

- Anti-Viren-Clients

[PyroTFD 14]

kleine Rechnung für die GF

 

Was kostet ein ITler?

Was kostet die Wiederherstellung von Daten durch schlechte IT-Führung (Zeit, Mannkosten, Resourcen und Ausfallszeit)

Was bedeutet der Verlust von Kunden durch Spionage oder Serverhacks?

 

Auf der anderen Seite: Werbung für stabile und professionelle EDV und deren Wartung

(das sind Argumente die eher bei geldgieren Koffern ziehen)

 

Ansonsten: Arbeiten als Benutzer und Einstellungen und Installationen als Admin vornehmen. Programme die Adminrechte brauchen meiden oder upgraden (oder schlimmstenfalls anpassen) und die Benutzer schulen

 

wie schon oben erwähnt nur 1 Virenscanner nehmen, sonst bekommst probleme

versuch alles auf einen Stand zu halten (Updates und Programmversionen) dann hat man auch einen leichteren Überblick.

 

u.s.w.

 

Wenn sich wer zu 100% damit beschäftigen kann, kommt man eh immer drauf, wo noch was "fehlt" oder was falsch ist ;)

[lefg 276]

Schön und gut, wenn ich das aber in der Form einen GF erzähle, dann wird er nach Zahlen fragen; mich beauftragen, tragfähige Zahlen zu bringen, da kann ich Annahmen aus der Hüfte schneiden.

 

Und beratungsresistente GF werden so auch nicht erreicht, die lernen es nur unter Schmerzen (vieleicht).

[jens34 10]

Hi Leute, noch mal Danke für eure Beiträge, aber ich glaube ich lass die Finger von unserer IT. Hatte die Kollegin um Hilfe gebeten, alles was dabei rauskam war: Ich habe keine Zeit dafür. Hier ist sowieso alles überlastet und ich auch. Das sind doch tolle Einstellungen oder ?

Jetzt hab ich festgestellt dass unser WLAN auch ein Witz ist.

Wir haben hier einen neuen sehr teuren WLan-Router,das Ding ist echt super, Aber nur auf WEP eingestellt. Als ich darauf aufmerksam machte, man solle doch WPA2 verwenden, hieß es, "Dafür habe ich keine Zeit"

 

Ich bin begeistert und kann mich vor lachen nicht mehr halten. Wo gibts denn sowas????

[lefg 276]

Hallo Jens,

 

was machst Du denn in Hauptfunktion?

 

Nun, Du schreibst ja, Du hast für eine Zweitfunktion keine Zeit und die Kenntnis auch nicht, habe ich das richtig verstanden?