Best Practice NTFS-Share für lokale User

[opendev 0]

Moin zusammen!

 

Aktuell strukturiere ich ein vorhandenes, chaotisches NTFS-Berechtigungssystem nach Best Practice AGDLP. Nun sind ein Teil der Usersysteme in dem AD mit einem lokalen auf das System bezogenen Administrator-Account ausgestattet. Dieser benötigt lesenden Zugriff auf einen Shared Folder auf dem Fileserver, da dort Installationssourcen, die ggf. mit dem administrativen Account genutzt werden sollen, liegen.

Nun kam natürlich der erste Vorschlag, einfach lesende Rechte für Everyone zu geben. Da rollen sich mir aber sprichwörtlich die Fußnägel auf. 

Deshalb die Frage nun, ob jemand eine Idee hat, wie das am einfachsten umzusetzen ist? Bin für jeden Vorschlag offen. Sollten noch Informationen benötigt werden, reiche ich die gern nach.

 

Grüße

[NilsK 2.930]

Moin,

 

eine Gruppe für diese Admin-Accounts?

 

Gruß, Nils

 

[opendev 0]

vor 11 Minuten schrieb NilsK:

Moin,

 

eine Gruppe für diese Admin-Accounts?

 

Gruß, Nils

 

Ok, entweder habe ich mich falsch ausgedrückt oder ich hab da eine Wissenslücke, mit der ich nicht gerechnet habe. Lokale Accounts (lokal auf dem Laptop, Laptopname\Username) in eine Gruppe im AD? Oder ist mein Hirn irgendwo gestolpert und ich hab den Berg vor lauter Schotterpisten nicht gesehen?

 

Grüße

[NorbertFe 2.027]

AGDLP setzt du um, schreibst du. 

 

Also kannst du demzufolge ALP für lokale Accounts bauen. ;) So einfach.

[NilsK 2.930]

Moin,

 

ach so ... das war wirklich missverständlich formuliert. Ich hatte gedacht, es gehe um AD-Accounts pro System, die lokal berechtigt sind.

Genau das wäre auch der Schlüssel zur Lösung: Erzeuge je System einen Admin-Account im AD, der lokaler Admin wird. Dann kannst du solche Berechtigungen gut verteilen. Die lokalen Konten entfernst du von den Systemen. Lokale Konten haben halt nur lokale Rechte und können im Netzwerk nichts.

 

Gruß, Nils

 

[opendev 0]

@NilsK Danke für den Tipp. Soetwas hatte ich befürchtet. Die Idee mit entsprechenden Accounts im AD hatte ich bereits direkt zu Beginn vorgeschlagen, wurde jedoch leider (mir unverständlicherweise) abgeschmettert. Mit den Zugangsadaten des regulären Accounts beim Zugriff auf das Share zuzugreifen wäre noch eine Alternative, aber aus irgendwelchen Gründen springen die Anmeldefenster immer in den Hintergrund, weswegen es für den Durchschnittsuser nicht unbedingt eine gute Lösung wäre.

Ich werde die Idee mit den Accounts im AD noch einmal ansprechen, hab ja nun wieder ein paar Argumente dafür. Danke Dir.

 

Grüße

[testperson 1.674]

Hi,

 

um wieviele User / PCs gehts denn da? Und was wird da wie häufig installiert?

Vielleicht wäre eine Softwareverteilung praktikabler?

 

Gruß

Jan

[opendev 0]

Praktikabler wäre eine Softwareverteilung auf jeden Fall und eigentlich auch ein entsprechender Wunsch von mir. Aber ich bin leider nicht der, der über die Finanzen entscheidet. Noch dazu ist ein sehr großer Teil der Mitarbeiter im reinen Außendienst unterwegs, teils hinter Kundenfirewalls, die eher auf Secrity by Obscurity setzen. Das tut natürlich noch ihr übriges, um mit dem Wunsch nach Verteilung nicht so positiv wie erhofft dazustehen.

 

Grüße

[testperson 1.674]

Unter Umständen ist dir der WSUS mit dem WPP da schon behilflich.

Das Ergebniss dürfte identisch sein, egal ob die Außendienstler hinter der Kunden-Firewall das Share oder die "Softwareverteilung" nicht erreichen.

[NilsK 2.930]

Moin,

 

wieso muss ein "Durchschnittsuser" Software installieren? Wenn so ein User Zugriff auf ein Adminkonto hat, kann man alles Weitere eigentlich auch vergessen.

 

Gruß, Nils

 

[opendev 0]

@testuser Danke für die Stichworte. Ich werde mich damit mal erkundigen/schlau machen. 

@NilsK Nennen wir sie mal "geschulte Keyuser". Durchschnittsuser kriegen gar nichts, die gehen leer aus, gleich ob Aussendienst oder Schreibkraft.

 

Grüße