opendev 0 Geschrieben 16. August 2018 Melden Teilen Geschrieben 16. August 2018 Moin zusammen! Aktuell strukturiere ich ein vorhandenes, chaotisches NTFS-Berechtigungssystem nach Best Practice AGDLP. Nun sind ein Teil der Usersysteme in dem AD mit einem lokalen auf das System bezogenen Administrator-Account ausgestattet. Dieser benötigt lesenden Zugriff auf einen Shared Folder auf dem Fileserver, da dort Installationssourcen, die ggf. mit dem administrativen Account genutzt werden sollen, liegen. Nun kam natürlich der erste Vorschlag, einfach lesende Rechte für Everyone zu geben. Da rollen sich mir aber sprichwörtlich die Fußnägel auf. Deshalb die Frage nun, ob jemand eine Idee hat, wie das am einfachsten umzusetzen ist? Bin für jeden Vorschlag offen. Sollten noch Informationen benötigt werden, reiche ich die gern nach. Grüße Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 16. August 2018 Melden Teilen Geschrieben 16. August 2018 Moin, eine Gruppe für diese Admin-Accounts? Gruß, Nils Zitieren Link zu diesem Kommentar
opendev 0 Geschrieben 16. August 2018 Autor Melden Teilen Geschrieben 16. August 2018 vor 11 Minuten schrieb NilsK: Moin, eine Gruppe für diese Admin-Accounts? Gruß, Nils Ok, entweder habe ich mich falsch ausgedrückt oder ich hab da eine Wissenslücke, mit der ich nicht gerechnet habe. Lokale Accounts (lokal auf dem Laptop, Laptopname\Username) in eine Gruppe im AD? Oder ist mein Hirn irgendwo gestolpert und ich hab den Berg vor lauter Schotterpisten nicht gesehen? Grüße Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. August 2018 Melden Teilen Geschrieben 16. August 2018 AGDLP setzt du um, schreibst du. Also kannst du demzufolge ALP für lokale Accounts bauen. ;) So einfach. Zitieren Link zu diesem Kommentar
Beste Lösung NilsK 2.957 Geschrieben 16. August 2018 Beste Lösung Melden Teilen Geschrieben 16. August 2018 Moin, ach so ... das war wirklich missverständlich formuliert. Ich hatte gedacht, es gehe um AD-Accounts pro System, die lokal berechtigt sind. Genau das wäre auch der Schlüssel zur Lösung: Erzeuge je System einen Admin-Account im AD, der lokaler Admin wird. Dann kannst du solche Berechtigungen gut verteilen. Die lokalen Konten entfernst du von den Systemen. Lokale Konten haben halt nur lokale Rechte und können im Netzwerk nichts. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
opendev 0 Geschrieben 16. August 2018 Autor Melden Teilen Geschrieben 16. August 2018 @NilsK Danke für den Tipp. Soetwas hatte ich befürchtet. Die Idee mit entsprechenden Accounts im AD hatte ich bereits direkt zu Beginn vorgeschlagen, wurde jedoch leider (mir unverständlicherweise) abgeschmettert. Mit den Zugangsadaten des regulären Accounts beim Zugriff auf das Share zuzugreifen wäre noch eine Alternative, aber aus irgendwelchen Gründen springen die Anmeldefenster immer in den Hintergrund, weswegen es für den Durchschnittsuser nicht unbedingt eine gute Lösung wäre. Ich werde die Idee mit den Accounts im AD noch einmal ansprechen, hab ja nun wieder ein paar Argumente dafür. Danke Dir. Grüße Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 16. August 2018 Melden Teilen Geschrieben 16. August 2018 Hi, um wieviele User / PCs gehts denn da? Und was wird da wie häufig installiert? Vielleicht wäre eine Softwareverteilung praktikabler? Gruß Jan Zitieren Link zu diesem Kommentar
opendev 0 Geschrieben 16. August 2018 Autor Melden Teilen Geschrieben 16. August 2018 Praktikabler wäre eine Softwareverteilung auf jeden Fall und eigentlich auch ein entsprechender Wunsch von mir. Aber ich bin leider nicht der, der über die Finanzen entscheidet. Noch dazu ist ein sehr großer Teil der Mitarbeiter im reinen Außendienst unterwegs, teils hinter Kundenfirewalls, die eher auf Secrity by Obscurity setzen. Das tut natürlich noch ihr übriges, um mit dem Wunsch nach Verteilung nicht so positiv wie erhofft dazustehen. Grüße Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 16. August 2018 Melden Teilen Geschrieben 16. August 2018 Unter Umständen ist dir der WSUS mit dem WPP da schon behilflich. Das Ergebniss dürfte identisch sein, egal ob die Außendienstler hinter der Kunden-Firewall das Share oder die "Softwareverteilung" nicht erreichen. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 16. August 2018 Melden Teilen Geschrieben 16. August 2018 Moin, wieso muss ein "Durchschnittsuser" Software installieren? Wenn so ein User Zugriff auf ein Adminkonto hat, kann man alles Weitere eigentlich auch vergessen. Gruß, Nils Zitieren Link zu diesem Kommentar
opendev 0 Geschrieben 16. August 2018 Autor Melden Teilen Geschrieben 16. August 2018 @testuser Danke für die Stichworte. Ich werde mich damit mal erkundigen/schlau machen. @NilsK Nennen wir sie mal "geschulte Keyuser". Durchschnittsuser kriegen gar nichts, die gehen leer aus, gleich ob Aussendienst oder Schreibkraft. Grüße Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.