surfacing 32 Geschrieben 31. August 2017 Melden Teilen Geschrieben 31. August 2017 Hallo, ich bin neu in ein Unternehmen gekommen, in der es leider Gang und Gebe ist/war diversen Mitarbeiter lokale Adminrechte zu geben. Aktuell ist es ziemlicher Kampf gegen Windmühlen, da "Das war schon immer so" ziemlich in den Köpfen der User hängt , speziell bei unseren Programmierer und diversen Abteilungsleiter/innen ist es ein Kampf die lokalen Adminrrechte wegzuenehmen. In meiner letzten Firma, haben die Mitarbeiter wirklich nur in Ausnahmefällen lokale Adminrechte erhalten. Bei unseren Programmierer kann ich es verstehen, dass sie lieber mit Adminrechten arbeiten. Ich habe den Versuch gestartet zumindest, ihren Domänenbenutzer die Adminrechte wegzunehmen, und dafür einen lokalen Admin auf ihrem Rechner einzurichten. Das ging Testweise ganz gut, allerdings kamen die Beschwerden dass vieeeel zu oft das Passwort für den Admin eingegeben werden muss. Geht mir persönlich am allerwertesten vorbei, da ich selbst ca. 100 Mal irgendein Passwort eingeben muss. In einem Videovortrag habe ich gesehen, folgenden Vorschlag gesehen. Der User meldet sich mit seinem Adminuser an seinem Rechner an, hat uneingeschränkte Rechte allerdings kein Zugriff auf das Internet, oder auf das Netzwerk. Wenn er das möchte, muss er eine virtuelle Maschine starten meldet sich mit seinem normalen User an für E-Mails, Internet und für die Netzwerkfreigaben usw. Wie sind eure Erfahrungswerte mit lokalen Adminrechten speziell bei Programmierer? Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 31. August 2017 Melden Teilen Geschrieben 31. August 2017 Hat bei uns auch gedauert (ist schon länger her). Jetzt haben sie keine mehr und gelten sogar in gewissen Umfang SRP's. Und sie können tatsächlich immer noch Software entwickeln. Es hängt ganz klar auch davon ab. was sie entwickeln. Man muss manchmal kreative Lösungen schaffen. Bei uns ist es "nur" Java (SE und EE). Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 31. August 2017 Melden Teilen Geschrieben 31. August 2017 Moin, naja, wie sollen die Erfahrungen schon sein - schlecht halt. Für solche Zwecke gibt es virtuelle Maschinen. Dort entwickeln die Developer. Auf ihrem normalen Rechner haben sie keine Adminrechte. Führt auch zu Kämpfen und bedeutet Aufwand, bis man eine passende Konfig hat, dämmt das Risiko aber wenigstens ein. Gruß, Nils Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 31. August 2017 Melden Teilen Geschrieben 31. August 2017 (bearbeitet) Auch wir führen den Kampf, auch bei uns ist es zäh, und auch bei uns haben meiner Meinung nach viel zu viele Leute Admin Rechte. Immerhin haben die meisten User mittlerweile keine Admin Rechte mehr auf ALLE PCs sondern immer nur auf ihren eigenen Arbeitsplatzrechner. Jedes Jahr wird es bisserl besser :D Und wenn die lieben Kollegen in der IT dort zu viel kaputt machen, wird der Rechner halt einfach neu installiert. All die tolle Software die sie vorher brauchten dürfen sie sich dann wieder selber installieren, was sie ja können, da sie ja Admin sind ;) bearbeitet 31. August 2017 von Doso Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 8. September 2017 Melden Teilen Geschrieben 8. September 2017 Ewiger Kampf und Krampf :-) Wer MSI-Pakete mit InstallShield erstellt, braucht Admin-Rechte. Wer mit VS debuggen will, braucht Admin-Rechte (je nach Programm, ok...). SRP/AppLocker hilft dagegen ein Stück weit, da muß der User schon Energie aufwenden, um die zu umgehen. Und das läßt sich dann per Unternehmensvorgabe so handhaben, daß er sich damit eine Abmahnung einfängt. Zum Thema "wer ist wo genau Admin": http://evilgpo.blogspot.de/2015/04/wer-bin-ich-und-was-darf-ich.html (als Idee :-)) Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 11. September 2017 Melden Teilen Geschrieben 11. September 2017 Unsere Entwickler stellen ihr Endprodukt als Thinapp-Paket bereit. Den Builder kann man ohne Adminrechte starten :D Zitieren Link zu diesem Kommentar
Slavefighter 10 Geschrieben 15. September 2017 Melden Teilen Geschrieben 15. September 2017 (bearbeitet) Ein Mitarbeiter installiert ja nicht ständig und jeden Tag irgendwelche Programme. Wenn ich es planen müsste, würde ich eine Auflistung aller bevorzugten Programme etc machen und dann bspw. entsprechend eine WSUS Lösung per MSI erstellen. Dann könnte man ja per GPO übers AD eine Richtlinie erstellen, die ausschließlich die von mir geforderten Pakete zulässt. Wahlweise könnten Mitarbeiter auch Nachhaltig wünsche zukommen lassen, die man dort mit einpflegen könnte. bearbeitet 15. September 2017 von Slavefighter Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 15. September 2017 Melden Teilen Geschrieben 15. September 2017 (bearbeitet) Ein Mitarbeiter installiert ja nicht ständig und jeden Tag irgendwelche Programme. Doch, die Softwareentwickler schon, wahrscheinlich sogar mehrfach am Tage. Man könnte natürlich ....., wollen die aber nicht. Und die werden die GF hinter sich haben. bearbeitet 15. September 2017 von lefg Zitieren Link zu diesem Kommentar
Esta 114 Geschrieben 15. September 2017 Melden Teilen Geschrieben 15. September 2017 Unsere Entwickler benutzen Linux Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 15. September 2017 Melden Teilen Geschrieben 15. September 2017 Als "root" ? ;) Zitieren Link zu diesem Kommentar
Slavefighter 10 Geschrieben 15. September 2017 Melden Teilen Geschrieben 15. September 2017 (bearbeitet) Doch, die Softwareentwickler schon, wahrscheinlich sogar mehrfach am Tage. Man könnte natürlich ....., wollen die aber nicht. Und die werden die GF hinter sich haben. Nun dann könnte man denen eine Autarke Umgebung bereitstellen, welche nur über Diverse Sicherheitsmerkmale eine Verbindung zum Intranet bekommen. Oder ähnliche Verfahren wie bspw bei einer Buchhaltung. bearbeitet 15. September 2017 von Slavefighter Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 15. September 2017 Melden Teilen Geschrieben 15. September 2017 (bearbeitet) Nun dann könnte man denen eine Autarke Umgebung bereitstellen, ..... Ja, natürlich. Ich denke mal, der TO steht vor dem Problem, der Aufgabe, als Neuer alte Strukturen, eingefahrene Verfahren abzuändern, möglichst in Übereinstimmung mit dem Kollegium, ohne einen tiefgreifenden Konflikt vom Zaun zu brechen. Ein Admin ist nicht der Chef vom Haus, er ist ein Mitarbeiter wie andere auch, er kann nicht einfach machen was er will, was er meint machen zu müssen. Er muss wohl Überzeugungsarbeit leisten, die Entwickler überzeugen und die Geschäftsleitung. bearbeitet 15. September 2017 von lefg Zitieren Link zu diesem Kommentar
Esta 114 Geschrieben 15. September 2017 Melden Teilen Geschrieben 15. September 2017 Als "root" ? ;) Die installieren sich ihre PCs sogar selbst, da wir keinen Linux-Admin haben. :wacko: Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 18. September 2017 Melden Teilen Geschrieben 18. September 2017 Die installieren sich ihre PCs sogar selbst, da wir keinen Linux-Admin haben. :wacko: Und das ist dann sicherer? Die Meiste Malware wird von Linux-Servern verteilt. Warum? Weil die meisten Webserver im Internet eben selbiges verwenden. Zitieren Link zu diesem Kommentar
Slavefighter 10 Geschrieben 18. September 2017 Melden Teilen Geschrieben 18. September 2017 Ja, natürlich. Ich denke mal, der TO steht vor dem Problem, der Aufgabe, als Neuer alte Strukturen, eingefahrene Verfahren abzuändern, möglichst in Übereinstimmung mit dem Kollegium, ohne einen tiefgreifenden Konflikt vom Zaun zu brechen. Ein Admin ist nicht der Chef vom Haus, er ist ein Mitarbeiter wie andere auch, er kann nicht einfach machen was er will, was er meint machen zu müssen. Er muss wohl Überzeugungsarbeit leisten, die Entwickler überzeugen und die Geschäftsleitung. Ich würde dem TO raten, setz eine Testumgebung auf und Simuliere den Härte-Fall, so wäre zumindest mein Vorgehen. Wenn man es mal ganz Böse nimmt, ist es der Kopf des TO, der rollt, wenn die Infrastruktur zusammenbricht. Bilder ( VMs) sagen in dem Fall m ehr als 1000 Worte. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.