Fresh0razoR 10 Geschrieben 6. Januar 2012 Melden Teilen Geschrieben 6. Januar 2012 Hallo zusammen, ich habe ein kleines Problem in unserem Netz. Wir haben ein paar Entwickler die für Ihre Entwicklung Admin-Rechte brauchen auf ihrem Rechner. Dagegen habe ich ja nichts, aber mir kam folgender Gedanke: Durch die Admin-Rechte kann die IP-Adresse ja manuell gesetzt werden. Was mache ich jetzt, wenn einer der schlauen Entwickler seinem Rechner einfach mal die IP-Adresse vom Domain-Controller gibt? Dann kann sich ja kein User mehr dort anmelden und das Chaos bricht aus. Wir haben momentan Server 2003, planen auf 2008 R2 umzusteigen (sehr bald). Gibt es eine Möglichkeit das evtl. zu verhindern? Danke! Grüße Fresh Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 6. Januar 2012 Melden Teilen Geschrieben 6. Januar 2012 Wie willst du einen Admin an irgendetwas hindern? Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 6. Januar 2012 Melden Teilen Geschrieben 6. Januar 2012 Moin, du hast gerade einen der Gründe benannt, warum man ein Entwickler-Netz vom Produktionsnetz trennen sollte. Gruß, Nils Zitieren Link zu diesem Kommentar
Fresh0razoR 10 Geschrieben 6. Januar 2012 Autor Melden Teilen Geschrieben 6. Januar 2012 hmm. problem ist, dass die geschäftsführung möchte, dass die entwickler auf unsere systeme zugreifen können. das wird aber schwierig im subnetz. d.h. es ist faktisch unmöglich, die ip-adresse im netz zu blocken und dafür zu sorgen, dass in jedem fall der pdc die wichtigste ip-adresse behält? Zitieren Link zu diesem Kommentar
testperson 1.711 Geschrieben 6. Januar 2012 Melden Teilen Geschrieben 6. Januar 2012 Hey, lass dir doch vom Geschäftsführer absegnen, dass die Entwickler sich nur der IPs im Bereich 192.168.x.y - 192.168.x.z bedienen dürfen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 6. Januar 2012 Melden Teilen Geschrieben 6. Januar 2012 Ich sehe keine einfache, sicher getestete Möglichkeit, den Entwicklern den Zugriff zu verweigern auf die Netzwerkeinstellungen; das wäre aber ein Gedankenansatz. Ich sage es mal so, es gibt keine "Admin-Rechte". Ein Admin hat nur die Berechtigung auf so ziemlich alle Objekte Aufgrund seiner Zugehörigkeit zur Gruppe der Administratoren und/oder zusätzlich einzeln erteilter oder genommener Berchtiguung auf Objekte. Die Berchtigungen stehen in den Access Contol Lists der Objekte. Nach Installation eines Buchhaltungsprogramms zu Schulungszwecken kam der Dozent, er und die Studenten bräuchten Admin-Rechte, sonst funktionie das nicht. "Admin-Rechte", sowas kam von einem EDV-Dozenten. Nun, was wurde benötigt, ganz einfach Vollzugriff auf das Installationsverzeichnis und gut war es. Ich frage mal so, wozu brauchen die Entwickler "Admin-Rechte"? Worauf brauchen Entwickler Berechtigung zum Zugriff, auf Verzeichnisse, auf Registries? Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 6. Januar 2012 Melden Teilen Geschrieben 6. Januar 2012 Moin, Ich sage es mal so, es gibt keine "Admin-Rechte".[...] Ich frage mal so, wozu brauchen die Entwickler "Admin-Rechte"? Worauf brauchen Entwickler Berechtigung zum Zugriff, auf Verzeichnisse, auf Registries? fast alle Entwickler brauchen Admin-Rechte, weil die meisten Windows-IDEs nicht ohne laufen. Das hängt u.a. mit dem Debug-Recht zusammen, aber natürlich auch mit der Notwendigkeit, im System DLLs, COM-Vernüpfungen usw. zu verankern. Gruß, Nils Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 6. Januar 2012 Melden Teilen Geschrieben 6. Januar 2012 Ein anderer Ansatz wäre, eine Sicherheitsgruppe zu schaffen, der die Berechtigung auf die benötigten Objekte zu erteilen. Ist es überhaupt zwingend notwendig, dass der Rechner eine feste IP hat? Ein weiterer Ansatz wäre eine organisatoriche Lösung, eine aktenkundige Belehrung. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 6. Januar 2012 Melden Teilen Geschrieben 6. Januar 2012 Hi, Ein lokaler Admin kann auf vielfältige Art ein Netzwerk lahmlegen. Die IP-Adresse des PDCs lokal fest zu verdrahten, ist nur eine davon, noch dazu eine relativ unwahrscheinliche und durch getrennte Netze leicht vermeidbare. Entwicklungsumgebung und Produktionsumgebung solltet ihr daher -wie schon beschrieben - voneinander trennen. blub PS: @Fresh0razoR, bitte benutze weiterhin die Groß- und Kleinschreibung! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.