Hallo zusammen,
kurz vorab: die Artikel über die AdminTiers und den AdminHost sind echt super. Das werde ich so auf jeden Fall umsetzen! ?
Nun zu meiner eigentlichen Frage...
Na toll, aus Versehen STRG+Enter gedrückt und dann ist der Timeout für das Editieren abgelaufen ?
... wir haben bei uns eine Entwicklungsabteilung, bei der die User lokale Adminrechte benötigen um immer wieder diverse Sachen auf ihren PC´s installieren zu können.
Bei allen anderen Usern kommt das Windows Anmeldefenster, wenn etwas installiert oder mit Adminrechten gestartet werden soll, da diese keine lokalen Adminrechte besitzen. Wie kann man dies bei den Entwicklern umsetzen, damit diese PC´s auch etwas sicherer sind, sollte sich mal jemand etwas einfangen?
Müsste man dann für jeden User noch einen Adminuser erstellen, der auf dem jeweiligen PC Adminrechte besitzt?
Oder wie lässt sich so etwas am besten umsetzen?
Danke schon mal für eure Hilfe.
Hi Patrick!
Bei uns machen wir das wie folgt:
- Die normalen Benutzerkonten haben bei uns NIE Admin-Rechte
- Computer haben allgemein einen lokalen Admin, den aber nur die Admins kennen
- "Besondere" Computer haben einen extra lokalen Admin-User (z.B. für die von dir genannten Entwickler)
- Laptops haben alle einen extra lokalen Admin-User, der den Usern auch bekannt ist (z.B. wenn die unterwegs irgendwas machen müssen)
Wir stellen Software aber über einen Software-Kiosk bereit, von daher gibt es nur sehr selten den Fall, das jemand lokale Admin-Rechte benötigt (von den Entwicklern mal abgesehen).
Viele Grüße,
Chris
Servus,
der sicherste Weg wäre es wenn die Kollegen einen dedizierten Adminbenutzer für sowas bekommen.
Der darf dann aber keine weiteren Rechte im System haben, also z.B. kein Exchange-Postfach und sowas. Auch sollte der Adminbenutzer keine Rechte auf Netzwerkressourcen haben sondern wirklich nur auf die lokale Umgebung.
Ist nicht die komfortabelste Lösung, aber in meinen Augen die einzige die Sinn macht.
Gruß,
Michael
Die Entwickler könnten ins eigene Benutzerprofil installieren, wie es wohl Firefox mittlerweile tut (habe ich letztens mal bei einem User gesehen).
Wenn dann nicht gerade nach HKLM in der Registry geschrieben wird, bedarf es dazu keine lokalen Administrationsrechte.
Die Alternative wäre möglicherweise, C:\Program Files bzw. \Program Files (x86) sowie HKLM so zu berechtigen, das der User (oder eine AD-Gruppe, um es zu vereinfachen) RWX-berechtigt ist.
Guten Tag zusammen,
alternativ könnte man den Gedanken verfolgen den Entwicklern lokal die HyperV Rolle zu installieren ( Dann delegierte Rechte bzgl. HyperV an dem User), da diese Maschinen meistens performant genug sind sollte das kein Problem sein. Hier könnte der Entwickler seine eigenen VMs kreaieren und wegschmeißen wie er will. Zumal "flüchtige" Software dort auch funktioniert. Eventuell ein anderer Ansatz....Und muss je nach Einzelfall betrachtet werden.
Ansonsten schließe ich mich Chris an, sollte die Masse an Software über ein Kiosk / Appstore dem Benutzer bereitgestellt werden.
Viele Grüße
Steffen
Never walk alone to the Cloud - Take the cloud journey and start the digital transformation
Hallo zusammen,
ich habe das bei uns so gelöst, dass diese Benutzer einen extra Funktionsbenutzer bekommen"f.vorname.nachname", diesen Benutzer schiebe ich dann per Gruppenrichtlinie und der "Zielgruppenadressierung" auf den gewünschten Rechner. Es gibt dazu auf Gruppenrichtlinien.de einen schönen Artikel.
Auch habe ich das bei unserem Admin Team mit einer weiteren Gruppe gemacht "Funktions-Admins", diese wird dann aber grundsätzlich auf allen Client und Servern verteilt. Damit haben wir als Admins dann mit unserem Funktionsbenutzer immer die Rechte um Software zu installieren oder Einstellungen zu verändern.
https://www.gruppenrichtlinien.de/artikel/verwaltung-der-lokalen-administratoren/
Lieben Gruß
Hi,
wir können es bei uns zu großen Teilen per SCCM umsetzen über bestimmte Rollen, die dann per Softwarecenter die Sachen zur Verfügung gestellt bekommen.
Ist in kleiner Umgebung natürlich mit Kanonen auf Spatzen :).
Ansonsten auch hier sehe ich sicherheitstechnisch wie meine Vorredner am liebsten mit einem dezidierten Adminuser (personalisiert) für solche Abteilungen.
Gruß,
Monthy
Weil ich gerade SCCM und kleine Umgebung lese, ist das SCCM nicht richtig teuer? Ich hab’s verworfen weil ich einen 4stelligen Preis gefunden habe...
Hey Vendetta,
SCCM ist schon sehr hochpreisig. Es kommt natürlich hier immer auf die Menge an, und welche Lizenzen genau. Die Lizenzierung spaltet sich hier wieder in Teilbereiche auf. Aber das gute ist,geht man den Weg in die Cloud und entdeckt Intune für sich, gibt es gewisse inkludierte Nutzungsrechte auf den lokalen SCCM.
Aber das führt denke ich nun zu weit. Aber ja, du bist schnell 4..5...oder 6 Stellig je nach Anzahl.
Grüße
Steffen
Never walk alone to the Cloud - Take the cloud journey and start the digital transformation
Danke Steffen...
Ich löse das wie schon andere hier mit einem "lokalen" Admin Benutzer für dedizierte Benutzer, da ich keine lust habe dauernd irgend welche Support Tickets zu lösen bei dem man nur ein Update oder weiteres Dev Tool installieren muss...
Grüsse
ManDal
Hallo zusammen,
danke für eure Antworten. Ich werde es wohl dann auch mit einem dedizierten lokalen Admin Benutzer lösen.