Lokale Adminrechte nur wenn nicht mit der Domäne verbunden

[da4id 2]

Hallo Forum,
 

gibt es eine Möglichkeit, Adminrechte auf einem lokalen PC nur zu besitzen, solange der PC nicht mit der Firmendomäne verbunden ist?

 

Ziel wäre, einen bestimmten User seinen PC weitgehend selbst verwalten zu lassen, aber nur dann, wenn dieser PC nicht aufs Firmennetzwerk zugreift.

[testperson 1.761]

Hi,

 

in der Theorie ja. In der Praxis "sinnfrei", da der Admin sich dann einfach außerhalb der dauerhaft zum Admin macht bzw. alle Einschränkungen deaktiviert.

 

Gruß

Jan

[da4id 2]

Danke für die schnelle Antwort! Gibt es vielleicht einen anderen Ansatz, wie dies gelöst werden kann?

 

Hier scheint dasselbe Problem diskutiert zu werden?

[testperson 1.761]

• Ein Clientmanagement / Endpointmanagement, mit dem sich der PC über das Internet / per VPN verbindet und verwaltet wird.
• Ein dauerhaft verbundenes VPN (Always On / DirectAccess), worüber der PC immer im Firmennetz ist

Wäre meine ersten beiden Ideen.

[da4id 2]

OK danke.

Kann der User in einem solchen Fall seinen PC noch selber verwalten (Software installieren etc.)?

[testperson 1.761]

vor 24 Minuten schrieb da4id:

Kann der User in einem solchen Fall seinen PC noch selber verwalten (Software installieren etc.)?

Vermutlich nein, sofern es um "wildfremde" Software geht. Es gibt Lösungen, die bieten ein Self Service Portal an, wo entsprechend vorgefertigte Softwarepakete dann auf Bedürfnis des Users installiert werden kann. Oder die IT rollt die Software dann einfach aus, da das System ja eine Verbindung zur Verwaltung hat.

[da4id 2]

Danke für die Info. Angenommen der PC des Users würde im aktuellen Zustand "eingefroren", ihm die lokalen Adminrechte entzogen und der PC so in die Domain gebracht.

 

Der User müsste dann bei jeder zukünftigen Software-Installation oder bei jedem Update seiner speziellen Software sich mit der IT in Verbindung setzen, richtig?

bearbeitet 6. Mai 2021 von da4id

[daabm 1.391]

vor einer Stunde schrieb da4id:

Gibt es vielleicht einen anderen Ansatz, wie dies gelöst werden kann?

Was genau denn eigentlich ? Entweder Du hast ein zentrales Management (dann verwaltet ein User seinen PC _nicht_ selbst), oder Du hast Anarchie und "Domain Admin für alle"

Was genau willst Du erreichen?

[da4id 2]

Der vorhandene PC soll möglichst unverändert in die Domain gebracht werden, ohne dass dieser vorher plattgemacht werden muss.

Regelmäßige zukünftige Änderungen an dem PC sollen nicht allzu aufwändig ausfallen.

[XP-Fan 224]

Hallo,

 

mal direkt gefragt: Gehts hier um Homeoffice und privater PC soll genutzt werden?

[da4id 2]

Das trifft es ziemlich genau. Zugriff aufs Firmennetzwerk via VPN.

 

Teilweise soll dieser PC aber auch vor Ort in der Firma genutzt werden.

 

Wesentlich ist dabei, dass die gesamte Hardware- und Software-Konfiguration dieses PCs unverändert erhalten bleiben soll.

[NorbertFe 2.175]

Und Gedanken darüber gab’s auch, dass byod selten sinnvoll ist und im Rest der Fälle entweder teure Lösungen nach sich zieht oder wie schon erwähnt jeder ist Admin und die Domäne besteht nur weil noch keiner den Versuch unternommen hat das zu ändern? ;)

bearbeitet 6. Mai 2021 von NorbertFe

[da4id 2]

In diesem speziellen Fall ist BYOD die zentrale Randbedingung aufgrund des speziell konfigurierten PCs.

[Nobbyaushb 1.511]

vor 1 Stunde schrieb da4id:

In diesem speziellen Fall ist BYOD die zentrale Randbedingung aufgrund des speziell konfigurierten PCs.

BYOD ist mein Alptraum und bei uns per Firmen-Richlinie untersagt. Was bin ich froh…. 

[Dukel 461]

vor 2 Stunden schrieb da4id:

In diesem speziellen Fall ist BYOD die zentrale Randbedingung aufgrund des speziell konfigurierten PCs.

Jemand konfiguriert private PC's ganze speziell, damit diese in der Firma genutzt werden?