Zugriff auf Clientfreigaben für Domain/Enterprise-Admins verhinden ?

[H@K@N 10]

Hallo Zusammen,

 

In meinem Unternehmen bin ich Domain Admin und wir haben noch 3 Enterprise Admins.

Wir haben vor kurzem von Novell > W2K3 migriert.

 

Der Betriebsrat hat eine Info bekommen, das es möglich wäre, dass die Domain und Enterprise Admins auf sensible Daten(Personalabteilung) von lokalen Rechnern zuzugreifen.

Es ja in der tat so, das man sich als Admin per //RECHNERNAME/c$ alles mappen kann.

 

Wie ist eure Erfahrung hierzu und was habt ihr eingestellt, damit der Betriebsrat sich wieder beruhigt ? Wie ist das rechtlich geregelt ? Zumal ich im Tochterunternehmen arbeite und eine Mutter ( 50% ) den Forest administriert.

 

Wie und wo kann ich Einstellen, ob man auf lokale Ressourcen zugreifen kann/darf ?

 

 

thx 4 help

[BuzzeR 10]

Hier werden rein rechtliche Bestandteile Deiner Stellenbeschreibung berührt und ich

denke nicht, daß diese Problematik innerhalb dieses zugegebenermaßen guten Forums

gelöst werden können.

 

Hier solltest Du Dich mit der Rechtsabteilung Deines Unternehmens kurzschließen, um

etwaige Lösungswege aufgezeigt zu bekommen, oder Möglichkeiten abzuklopfen, um bei

gegebener Rechtevergabe eine weitere Ausführung Deiner Tätigkeit im Rahmen der

gesetzlichen Richtlinien sicherzustellen.

 

Ich lege mich ohnehin nicht weit aus dem Fenster, wenn ich behaupte, dass 98 % der

deutschen Firmen entgegen der geforderten Handlungsweisen agieren und somit nicht

konform zum deutschen Recht ihre Daten speichern und im Netzwerk zur Verfügung

stellen / bzw. verarbeiten.

 

 

LG

Marco Koslowski

[H@K@N 10]

Hier werden rein rechtliche Bestandteile Deiner Stellenbeschreibung berührt

 

Es sind nicht nur meine Eigenen. Dadurch das noch andere Admins von der Muttergesellschaft darauf Zugriff haben und könnten, muss ich mir gedanken machen, wie man dieses Problem löst und das eventuell gar kein Admin auf lokale Ressourcen von sensiblen Rechnern Zugriff hat.

 

Das Problem lässt sich m.E. nach nur mit Löschung der DomainAdmins aus der lokalen Administratoren-Gruppe der sensiblen PC's bewerkstelligen. Ich weiss leider nicht welche Auswirkungen dies auf eventuell auszuführende GPO's o.ä. bewirken kann.

 

Oder anders gefragt, warum wird der DomainAdmin standardmässig in die Gruppe der lokalen Administratoren hinzugefügt ? Gibt es hierzu ein Knowledge ?

 

LG

Hakan

[BuzzeR 10]

... rechtliches Problem. Gut, man kann sagen, daß die Admins aus den

Tochtergesellschaften nur abgestimte Rechte haben, aber damit wird das

eigentliche Problem nur verschoben. Fakt ist doch, daß Du als Admin immer

irgendwie Einblick in lokale Prozesse Deines Unternehmens hast und womöglich

sogar in Handlungen, die sich weitab dieser Grenzen abspielen.

 

Angenommen Du bist der Administrator eines Mailservers, wie willst Du dann

die rein rechtlichen Grenzen einhalten, sofern Dir von Deinem Arbeitgeber

keine gestellt wurden?! Ist schon ein wenig undurchsichtig ...

 

Es gibt diverse Foren, die sich mit dieser Problematik beschäftigen und einem

Admin das Rüstzeug an die Hand geben, um den gesetzlichen Richtlinien gerecht

zu werden. Darauf solltest Du Dich konzentrieren - mal völlig abgesehen davon,

daß es in Eurem Unternehmen eine Rechtsbelehrung und ein zu unterschreibendes

IT - Sicherheitskonzept geben solte.

 

Es ist ja toll, daß sich der Betriebsrat beschwert - was Weiß-Gott nicht überall der

Fall ist, aber der Datensicherheit innerhalb eines Firmennetzes sind zwar seitens

des Gesetzgebers klare Richtlinien vorgegeben worden, doch zur Umsetzung dieser

Richtlinien ist der Arbeitgeber als solches in der Verantwortung - daher mein Einwand,

daß 98% aller Arbeitgeber kein den Richlinien entsprechendes Netzwerk betreiben.

 

LG

Marco