Sunny61 807 Geschrieben 24. Februar 2008 Melden Teilen Geschrieben 24. Februar 2008 Von der Seite habe ich das noch nie betrachtet. Ich auch nur, weil ich mich selbst schon mal ausgesperrt hatte. ;) Wäre das aber wirklich geeignet zum Lösen des Problems des Treadowners? Was ist dessen eigentliches Problem, die unberechtigte, ungewollte Deinstallation des AV oder das Umsetzen eines Projektes per Gruppenrichtlinie? Die unberechtigte/ungewollte Deinstallation sollte man damit schon in den Griff bekommen. Einfach an einem Testclient ausprobieren um die genauen Auswirkungen zu sehen. Der Rest wird schon etwas aufwändiger, prüfen ob Datei/Verzeichnis/Dienst existiert, wenn nein, festlegen, was genau in welcher Reihenfolge zu tun ist. Welche EXE oder welches MSI Paket mit welchen Parametern aufrufen? Protokollierung nicht vergessen. Es gibt ja genügend Tools, mit dessen Hilfe man das Adminpasswort verändern kann, das geht aber auch nur, wenn der Benutzer im BIOS die Bootreihenfolge umstellen kann. Damit man auch sieht, welcher User sich hier andauernd den Vorgaben vom Arbeitgeber versucht zu widersetzen. Wollen mal abwarten, was der TO antwortet. Jupp, könnte ein interessante Diskussion werden. ;) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 24. Februar 2008 Melden Teilen Geschrieben 24. Februar 2008 Ich mag den Begriff Adminrechte nicht, vermeide dessen Benutzung im Unternehmen, halte ihn für eine missverständliche Verkürzung. Gebe dem Benutzer einfach Adminrechte für ...., solche vereinfachten Anweisungen habe ich schon vernommen, erhalten, jemand erzählt, er habe anderen die Adminrechte genommen. Natürlich eignet es sich als vereinfachende Beschreibung des Änderns der Gruppenzughörigkeit. Schon öfters habe ich gelesen und selbst erlebt, da versuchen "Administratoren" oder "IT-Beauftragte" durch Gewähren oder Entziehen von "Adminrechten" ein oder mehrere Probleme zu lösen. Meinem Eindruck und Erfahrung nach entstehen dabei meist weitere, nicht erkannte Probleme oder deren Beseitigung soll später erfolgen, oft wird das der Sankt Nimmerleinstag. Da funktioniert ein Programm auf einem Einzelrechner, nicht aber auf einem Domänenclient, auf letzterem aber mit "Adminrechten", als Mitglied derGruppe der Domänen-Admins zum Beispiel. Einige Admins kommen darauf, das Problem über Eingschränkte Gruppen, Hauptbenutzer zu lösen, gehen aber am eigentlichen Problem vorbei. Die eigentliche Lösung wäre, ein auf dem Domänenclient lauffähiges Programm zu verwenden. Eine etwas aufwendigere Ersatzlösung ist manchmal die Anpassung der Zugriffsrechte auf Verzeichnisse und Registryschlüssel. Ich habe das so schon mehrfach erlebt und auch gemacht. Für einen Virenscanner in einem Unternehmensnetzwerk ist zentrale Verwaltung, Überwachung etc. geboten, Basteleien sind zu vermeiden! Basteleien beinhalten einen grossen Unsicherheitsfaktor, benötigen einen höhern administrativen Aufwand und Kosten als das richtig Produkt. Ich musste jahrelang mit Bastellösungen arbeiten. Ich meine, professionelle Lösungen sind Klimmzügen vorzuziehen. Zitieren Link zu diesem Kommentar
huwsig 10 Geschrieben 24. Februar 2008 Autor Melden Teilen Geschrieben 24. Februar 2008 Also, ich will ein Projekt machen, indem ich eine ActiveDirectory Testumgebung installiere zum üben und sonstiges, da dies dem Projektanspruch für meinen Abschluss aber wohl nicht genügen wird will ich es unter anderem auch nutzen um Gruppen und Sicherheitrichtlinien auszuprobieren. Dazu muss ich dann aber auch einen Test mit solchen Richtlinien machen, der Test soll dann das beschriebene Problem darstellen, wie zum Beispiel: CLient meldet sich am AD an, es wird geprüft ob er Adminrechte hat, wenn ja sollen diese entzogen werden. Hat er einen Virenscanner, wenn nein soll er den installiert bekommen. Klar wäre das mit manchen Dingen einfacher, aber so wird das Ding halt anspruchsvoller. Zitieren Link zu diesem Kommentar
huwsig 10 Geschrieben 24. Februar 2008 Autor Melden Teilen Geschrieben 24. Februar 2008 Hoffe das kann man irgendwie mit den Richtlinien umsetzen, wie gesagt es soll halt einfach in ner Testumgebung gemacht werden. Evtl habt ihr ja auch noch Ideen was ich ansonsten aus der Sicherheitspespektive testen könnte. Muss den Projektantrag allerdings morgen schreiben. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 24. Februar 2008 Melden Teilen Geschrieben 24. Februar 2008 Ich meine, was Dir da vorschwebt, das ist vom Grundsatz her nicht wirklich mit Gruppemrichtlinien zu machen. Die Plausibilitätsprüfungen müssen wohl per Skript/Batch erfolgen, Startskript per GPO. Als eine Projektarbeit für den Ausbildungsabschluss halte ich das für sehr dünn, die Vorgehensweise für unprofessionell. Falls das Thema genehmigt werden sollte (Zweifel bei mir), vor dem Ausschuß musst Du es verteidigen. Warum begibst Du Dich auf ein so dünnes Eis, fällt Dir nichts Besseres ein? Aus dem Eingangsposting muss ich bei Dir Kenntniss der Sache bezweifeln. Warum machst Du nicht etwas, von dem Du Ahnung hast und auf der sicheren Seite bist? Off-Topic:Verstehe mich bitte nicht falsch, ich will Dir nicht ans Bein pinkeln. Ich schildere meine Sicht und Erfahrung. Zitieren Link zu diesem Kommentar
huwsig 10 Geschrieben 24. Februar 2008 Autor Melden Teilen Geschrieben 24. Februar 2008 Also, mein erstes Thema wurde abgelehnt, weil der Ausschuss das nicht verstanden hat. Jetzt muss da eben etwas neues her und das Projekt darf max 35 Stunden haben. Der aufbau der Testumgebung zählt natürlich dabei, 2 befragte Lehrer halten das für ne gute Idee, ich müsse eben nur noch Tests rein bringen, und deswegen wollte ich das realisieren. Testumgebung soll einen Domäncontroller mit AD, DHCP, DNS, BackupDC, evtl noch 3 Server für ne Unterdomäne und noch 2 XP Pro Clients. Warum sollte das nicht genehmigt werden, normalerweise wird sogar ein popeliger WSUS genehmigt, und das ist wohl wirklich nicht viel. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 24. Februar 2008 Melden Teilen Geschrieben 24. Februar 2008 Nun, nehmen wir mal an, das Projekt wird genehmigt. Was hätten dann der Zweite DC, die Server und die Unterdomäne damit zu tun? Sind die notwendig dafür oder spielen sie nur Füllmaterial? Wenn da ein WSUS als Projekt genehmigt wird, warum nimmst Du es nicht? Oder warum nimmst Du nicht eine Domäne, ein oder zwei DCs, zwei Clients, DHCP, DNS, zwei Clients? Kannst ja noch WSUS dazunehmen und einen Virenscanner mit zentraler Verwaltung z.B. von GDATA. Wärst Du damit nicht auf der sicheren Seite? Wozu solch ein exotischer Kram? Ich bin mal gespannt, wie meine Kollegen Moderatoren und Experts das beurteilen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 24. Februar 2008 Melden Teilen Geschrieben 24. Februar 2008 Also, mein erstes Thema wurde abgelehnt, weil der Ausschuss das nicht verstanden hat.Dazu einen Satz: Es wurde abgelehnt, weil es Mangelhaft oder Ungenügend war, es wohl nicht den Richtlinien/Anforderungen entsprach. Zitieren Link zu diesem Kommentar
huwsig 10 Geschrieben 24. Februar 2008 Autor Melden Teilen Geschrieben 24. Februar 2008 Nein es wurde abgelehnt weil es nicht verstanden wurde. Hat mir ein Mitglied des Prüfungsausschusses am Telefon selbst gesagt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.