Jump to content

Lokale Adminrrechte - Softwareentwickler etc


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich bin neu in ein Unternehmen gekommen, in der es leider Gang und Gebe ist/war diversen Mitarbeiter lokale Adminrechte zu geben. Aktuell ist es ziemlicher Kampf gegen Windmühlen, da "Das war schon immer so" ziemlich in den Köpfen der User hängt , speziell bei unseren Programmierer und diversen Abteilungsleiter/innen ist es ein Kampf die lokalen Adminrrechte wegzuenehmen. In meiner letzten Firma, haben die Mitarbeiter wirklich nur in Ausnahmefällen lokale Adminrechte erhalten.

 

Bei unseren Programmierer kann ich es verstehen, dass sie lieber mit Adminrechten arbeiten. Ich habe den Versuch gestartet zumindest, ihren Domänenbenutzer die Adminrechte wegzunehmen, und dafür einen lokalen Admin auf ihrem Rechner einzurichten. Das ging Testweise ganz gut, allerdings kamen die Beschwerden dass vieeeel zu oft das Passwort für den Admin eingegeben werden muss. Geht mir persönlich am allerwertesten vorbei, da ich selbst ca. 100 Mal irgendein Passwort eingeben muss.

 

In einem Videovortrag habe ich gesehen, folgenden Vorschlag gesehen. Der User meldet sich mit seinem Adminuser an seinem Rechner an, hat uneingeschränkte Rechte allerdings kein Zugriff auf das Internet, oder auf das Netzwerk. Wenn er das möchte, muss er eine virtuelle Maschine starten meldet sich mit seinem normalen User an für E-Mails, Internet und für die Netzwerkfreigaben usw.

 

Wie sind eure Erfahrungswerte mit lokalen Adminrechten speziell bei Programmierer?

 

 

Link zu diesem Kommentar

Moin,

 

naja, wie sollen die Erfahrungen schon sein - schlecht halt.

 

Für solche Zwecke gibt es virtuelle Maschinen. Dort entwickeln die Developer. Auf ihrem normalen Rechner haben sie keine Adminrechte. Führt auch zu Kämpfen und bedeutet Aufwand, bis man eine passende Konfig hat, dämmt das Risiko aber wenigstens ein.

 

Gruß, Nils

Link zu diesem Kommentar

Auch wir führen den Kampf, auch bei uns ist es zäh, und auch bei uns haben meiner Meinung nach viel zu viele Leute Admin Rechte. Immerhin haben die meisten User mittlerweile keine Admin Rechte mehr auf ALLE PCs sondern immer nur auf ihren eigenen Arbeitsplatzrechner. Jedes Jahr wird es bisserl besser :D

 

Und wenn die lieben Kollegen in der IT dort zu viel kaputt machen, wird der Rechner halt einfach neu installiert. All die tolle Software die sie vorher brauchten dürfen sie sich dann wieder selber installieren, was sie ja können, da sie ja Admin sind ;)

bearbeitet von Doso
Link zu diesem Kommentar
  • 2 Wochen später...

Ewiger Kampf und Krampf :-)

Wer MSI-Pakete mit InstallShield erstellt, braucht Admin-Rechte. Wer mit VS debuggen will, braucht Admin-Rechte (je nach Programm, ok...).

 

SRP/AppLocker hilft dagegen ein Stück weit, da muß der User schon Energie aufwenden, um die zu umgehen. Und das läßt sich dann per Unternehmensvorgabe so handhaben, daß er sich damit eine Abmahnung einfängt.

 

Zum Thema "wer ist wo genau Admin": http://evilgpo.blogspot.de/2015/04/wer-bin-ich-und-was-darf-ich.html (als Idee :-))

Link zu diesem Kommentar

Ein Mitarbeiter installiert ja nicht ständig und jeden Tag irgendwelche Programme.

 

Wenn ich es planen müsste, würde ich eine Auflistung aller bevorzugten Programme etc machen und dann bspw. entsprechend eine WSUS Lösung per MSI erstellen.

Dann könnte man ja per GPO übers AD eine Richtlinie erstellen, die ausschließlich die von mir geforderten Pakete zulässt.

 

Wahlweise könnten Mitarbeiter auch Nachhaltig wünsche zukommen lassen, die man dort mit einpflegen könnte.

bearbeitet von Slavefighter
Link zu diesem Kommentar

Doch, die Softwareentwickler schon, wahrscheinlich sogar mehrfach am Tage. Man könnte natürlich ....., wollen die aber nicht. Und die werden die GF hinter sich haben.

Nun dann könnte man denen eine Autarke Umgebung bereitstellen, welche nur über Diverse Sicherheitsmerkmale eine Verbindung zum Intranet bekommen.

Oder ähnliche Verfahren wie bspw bei einer Buchhaltung.

bearbeitet von Slavefighter
Link zu diesem Kommentar

Nun dann könnte man denen eine Autarke Umgebung bereitstellen, .....

 

Ja, natürlich. Ich denke mal, der TO steht vor dem Problem, der Aufgabe, als Neuer alte Strukturen, eingefahrene Verfahren abzuändern, möglichst in Übereinstimmung mit dem Kollegium, ohne einen tiefgreifenden Konflikt vom Zaun zu brechen. Ein Admin ist nicht der Chef vom Haus, er ist ein Mitarbeiter wie andere auch, er kann nicht einfach machen was er will, was er meint machen zu müssen. Er muss wohl Überzeugungsarbeit leisten, die Entwickler überzeugen und die Geschäftsleitung.

bearbeitet von lefg
Link zu diesem Kommentar

Ja, natürlich. Ich denke mal, der TO steht vor dem Problem, der Aufgabe, als Neuer alte Strukturen, eingefahrene Verfahren abzuändern, möglichst in Übereinstimmung mit dem Kollegium, ohne einen tiefgreifenden Konflikt vom Zaun zu brechen. Ein Admin ist nicht der Chef vom Haus, er ist ein Mitarbeiter wie andere auch, er kann nicht einfach machen was er will, was er meint machen zu müssen. Er muss wohl Überzeugungsarbeit leisten, die Entwickler überzeugen und die Geschäftsleitung.

Ich würde dem TO raten, setz eine Testumgebung auf und Simuliere den Härte-Fall, so wäre zumindest mein Vorgehen. Wenn man es mal ganz Böse nimmt, ist es der Kopf des TO, der rollt, wenn die Infrastruktur zusammenbricht.

 

Bilder ( VMs) sagen in dem Fall m ehr als 1000 Worte.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...