bherrmann 10 Geschrieben 20. Juli 2011 Melden Teilen Geschrieben 20. Juli 2011 Hallo zusammen, ich suche ein Tool, welches die User nach Art Challenge Response einmal zum Admin seines Windows-System macht. Der Hintergrund ist der, dass wir die Clients ohne Admin-Rechte ausrollen. Nun gibt es aber Entwickler, die ab und zu Admin-Rechte benötigen. Leider sind die meistes nicht da sondern in aller Herren Länder verstreut, wenn das vorkommt. Kennt jemand so ein Tool? Bjoern Herrmann Zitieren Link zu diesem Kommentar
Robi-Wan 10 Geschrieben 20. Juli 2011 Melden Teilen Geschrieben 20. Juli 2011 Hallo, Admin for a day - Administratorrechte kurzzeitig vergeben | it-administrator.de ist vielleicht für Dich interessant. Selbst habe ich es noch nicht getestet, kann also keine Erfahrungsberichte geben. Grüße, Robert Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 20. Juli 2011 Melden Teilen Geschrieben 20. Juli 2011 Hi, einmal Admin, immer Admin. Habe ich erst einmal Zugriff auf ein System, kann man mir die Berechtigungen nicht mehr entziehen. Aus meiner Sicht ist das Vorgehen der falsche Ansatz: Was genau müssen die Entwickler auf den Systemen denn "konfigurieren", so daß sie Admin-Berechtigungen benötigen? Viele Grüße olc Zitieren Link zu diesem Kommentar
bherrmann 10 Geschrieben 21. Juli 2011 Autor Melden Teilen Geschrieben 21. Juli 2011 Hallo zusammen, es gibt mehrere Gründe, warum die Entwickler Admin-Rechte benötigen. Sei es neue Geräte, die installiert werden müssen, neue Entwickler-Tools, die getestet werden müssen u.s.w. Bisher haben wir den Usern einen lokalen User eingerichtet, mit dem sie lokale Admin-Rechte auf dem System haben. Jetzt würden wir das gerne lassen, da doch einige Dinge installiert hatten, was nicht lizenziert oder nicht Standard war. Wenn die User jetzt bei uns im Hause sind, können wir die Software installieren bzw. die User temp. zu Admins machen. Doch was ist, wenn der Entwickler bei einem Kunden sitzt und irgendwas nachinstallieren muss? Da hätte ich gerne so eine Art Challenge Response, die den User für einen Bootvorgang zum Admin macht. Dass sowas dann ausgehebelt werden kann ist mir schon klar, doch hat sowas doch eher Konzequenzen für ihn wie die Installation von einem kleinen Softwarepacket .... Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 21. Juli 2011 Melden Teilen Geschrieben 21. Juli 2011 Wie OLC schrieb: Wenn der User 1x Admin ist, ist er Admin. Er hat in diesem Moment alle Möglichkeiten sich eine dauerhafte Hintertür einzubauen. Zitieren Link zu diesem Kommentar
Robi-Wan 10 Geschrieben 21. Juli 2011 Melden Teilen Geschrieben 21. Juli 2011 Hallo, dann sollten die Systeme so konfiguriert sein, dass sich ein Admin remote aufschalten kann und für diese eine Aktion (Stichwort runas) den notwendigen Vorgang ausführt. BTW: Zum Testen von Software kann man doch eine lokale virtuelle Maschine aufsetzen und dort die User machen lassen, was sie wollen, nur in die Domäne dürfen sie mit der virtuellen Maschine nicht. Wenn die Software produktiv eingesetzt werden soll, dann über die "normale" Softwareverteilung. Zum Thema Hardwareinstallation: ich meine mich erinnern zu können, dass man über Richtlinien steuern kann, welche Hardware installiert werden darf, und falls mich meine Erinnerung nicht ganz im Stich lässt, sogar vom "normalen" User. Grüße, Robert Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 21. Juli 2011 Melden Teilen Geschrieben 21. Juli 2011 Hallo, dann sollten die Systeme so konfiguriert sein, dass sich ein Admin remote aufschalten kann und für diese eine Aktion (Stichwort runas) den notwendigen Vorgang ausführt. [...] Grüße, Robert Das geht manchmal schlecht, wenn man bei einem Kunden ist und kein UMTS / EDGE Empfang gibt. Ggf. kann man das ganze Schriftlich festhalten, wenn man Admin Rechte hat bekommt man weniger Support (für bestimmte Probleme) und darf nichts illegales / unlizenziertes installieren. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 21. Juli 2011 Melden Teilen Geschrieben 21. Juli 2011 ...oder Ihr überdenkt Euer Software Verteilungssystem: So könnte man entweder mittels SCCM oder ähnlichen Lösungen "self-provisioning" Systeme einrichten, die etwa nach einem Neustart eine Software installieren oder aber Ihr könntet gleich auf Virtualisierung setzen (Terminalserver, App-V, Med-V usw.). Fakt ist, daß diese "mach mich Admin, mach mich nicht Admin" Geschichte von Design her nicht funktionieren kann. Das wäre wie "die Hand vor die Augen halten, um nicht gesehen zu werden." :) Viele Grüße olc Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 21. Juli 2011 Melden Teilen Geschrieben 21. Juli 2011 Vielleicht hilft eine virtuelle Maschine, die man Bedarf schnell wiederherstellen kann ? Vielleicht könenn die Entwikcler ja dort "Admin-Rechte" bekommen. Zitieren Link zu diesem Kommentar
bherrmann 10 Geschrieben 21. Juli 2011 Autor Melden Teilen Geschrieben 21. Juli 2011 Hallo zusammen, ich weiß, man kann sich darüber streiten ob es Sinn macht oder nicht, doch irgendwie wollen wir unseren Usern eine Hintertür lassen, ohne dass sie ein Passwort bekommen, mit dem sie immer lokaler Admin sind (wie bei einem zusätzlichen lokalen Benutzer). Wir haben ca. 500 Notebooks im Umlauf und wollen weder jedem Notebook ein eigenes lokales Admin-PW geben noch soll der User die Möglichkeit haben, sich selber mal schnell als Admin anmelden zu können. Und trotzdem sollte es möglich sein, dass der User, wenn er in Saudi Arabien auf nem Öltank sitzt, sich bei uns ggf. Admin-Rechte abholen kann. Grüsse, Bjoern Herrmann Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 21. Juli 2011 Melden Teilen Geschrieben 21. Juli 2011 Vielleicht ja eher so einen Ansatz hier gehen? Eliminate Windows Admin Rights - Security Compliance Software - Elevate Windows Administrator Rights | PowerBroker Desktops 5 for Windows oder Product Overview UK Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.