Berechtigungen für Administratoren: Handhabung in der Praxis?

[tt33tt]

Hallo alle zusammen,

wir sind dabei, das mit den Adminrechten zu verändern. Die IT-Abteilung besteht aus 12 Mitarbeitern + 3 Azubis + 1 Jahrespraktikant und immer wieder andere Kurzpraktikanten.

Die momentan schlechtere Lösung ist: Jeder hat alle Rechte und an Servern und User-PCs wird sich mit globalem Admin angemeldet. Praktikanten wissen nicht den globalen Admin, haben aber trotzdem Admin-Rechte.

Praktikanten, die nur kurz da sind, benötigen ja keine Admin-Rechte.

Azubis werden bei uns gewöhnlich wie Angestellte eingesetzt und benötigen daher auch vergleichbare Rechte.

Eine Überlegung wäre, komplette Admin-Rechte entziehen und Angestellte + evtl. Azubis erhalten zusätzliches Admin-Konto.

Hm, aber was macht man mit dem globalen Admin? 4-Augen-Prinzip oder so etwas?

Was habt ihr für Erfahrungen gemacht und wie handhabt ihr es?

Vielen Dank!

Liebe Grüße tt33tt

[Chief Wiggum]

Verstehe ich das richtig: ihr habt in der IT keine Trennung zwischen Admin-Account und Benutzeraccount, das heisst, dass euer Benutzeraccount Domain-Admin ist?

Mein Vorschlag:

- Trennung zwischen Admin- und Useraccount! Als allererstes! Man arbeitet nicht mit lokalen oder Domainadminrechten.

- Der personalisierte Admin-Account bekommt gestaffelt die Funktionsrechte, die der Anwender braucht (zum Beispiel User auf dem Inventoryserver, aber Admin auf dem Exchange)

- "Der" Administrator (also jetzt wirklich der Windows-Domainaccount "Administrator") wird nicht mehr verwendet... oder ein neuer Superadmin wird erstellt, der alle Rechte auf allen Serversystemen hat, während der alte Administrator zurückgebaut wird.

[127.0.0.1]

:beagolisc:beagolisc:beagolisc Superadmin-accounts...?!

genau so, wie der chief es sagt: den "admin" abschaffen und jedem administrator die rechte per richtlinie geben, die er braucht. auf allen clients sollten auch noch lokale administartoren mit dem gleichen passwort vorhanden sein, so dass die azubis und praktikanten auch mal per turnschuh oder vnc software installieren können.

[tt33tt]

Danke für eure Tipps :-)

1. Mit Rechte per Richtlinie sind sicherlich die Gruppen im AD gemeint oder?

2. Hat die Gruppe Organisations-Admins automatisch "Super-Admin-Rechte"?

3. Wir führen auch revionssicheren Archiven, DMS, PKI etc. momentan ein. Dementsprechend ist es sicherlich notwendig, dass man nicht einfach auf den Super-Admin Zugriff hat. Ich denke aber, dass es für den Notfall durchaus notwendig sein könnte. Arbeitet man dann gewöhnlich mit Aufteilung des Passworts auf mehrere Mitarbeiter?

4. Wenn wir lokal Tools zur AD-Verwaltung installieren, könnten wir ja mit dem normalen User-Account nicht mehr auf das AD zugreifen?

[127.0.0.1]

es gibt bei uns für jeden dienst/Anwendung/server/what ever verschiedene rechterollen (die gruppen im ad). und dann gibt es die mitarbeiter-accounts nach folgendem schema: vorname.nachname. Diesen Accounts werden rechte zugeteilt: der meier aus der buchhaltung ist in der gruppe buchhaltung_user, alle_mitarbeiter, SAP_admin. Der Müller aus der Buchhaltung ist in buchhaltung_user, alle_Mitarbeiter und SAP_user. ich bin in der gruppe alle_mitarbeiter, SAP_Admin, Buchhaltung_Admin, IT_Kontenadmin, lokal_Admin... usw. damit habe ich zugriff auf anwendungen oder festplattenbereiche, die ich für meine tagtägliche arbeit benötige

ich logge mich morgens ein mit meinem account ein und kann arbeiten. Rechte, die ich selten brauche oder von sehr kritischen anwendungen hole ich mir über ein adminportal temporär unter angabe des grundes.

[pr0gg3r]

Bei Rechten gilt immer Folgende Regel:

Sie viel wie nötig, aber so wenig wie möglich

[127.0.0.1]

ganz genau! viele rechte sind nur auf den ersten blick cool. spätestens, wenn man mal ne datenbank gelöscht hat oder nen anderen wichtigen dienst gekillt hat, weil man mit zu vielen rechten unterwegs war findet man das nicht mehr cool...

[tt33tt]

Ja, das mit den Rechten ist wirklich wahr. Da wird es Zeit etwas zu verändern :-)

ich logge mich morgens ein mit meinem account ein und kann arbeiten. Rechte, die ich selten brauche oder von sehr kritischen anwendungen hole ich mir über ein adminportal temporär unter angabe des grundes.

Was für ein Adminportal nutzt ihr denn dafür?

//edit: Die Sicherheitsbedenken werden doch durch die Benutzerkontensteuerung soweit zerstreut, dass man keine zusätzlichen Konten erstellen muss oder?

Bearbeitet 19. März 2013 von tt33tt
Ergänzung

[Chief Wiggum]

Hrmpfffff... ist man Admin auf dem System kann man die Benutzerkontensteuerung auch runterdrehen.

Strikte Trennung zwischen Alltagsuseraccount, man loggt sich als WiggumC ein. Braucht man Adminrechte lokal, reicht ein einfacher rechtsklick - ausführen als Admin und schnell die Credentials von Wiggum_Admin einklickern. Kein Admin braucht permanent und immer Domainadminrechte - Oder kannst du mir erklären, warum du für Mailempfang, Tickettool und telefonischen Usersupport als Admin auf dem Arbeitsrechner angemeldet sein musst?

[tt33tt]

Hm, zumindest für den Support benötigt man die Berechtigung, sich auf den anderen Computer draufzuschalten.

[tt33tt]

Dann ist da noch die Überlegung wegen den Azubis. Ist das möglich, dass man auf jedem Computer standardmäßig eine AD-Gruppe zu der lokalen Gruppe Hauptbenutzer hinzufügt? So ist das ja auch bei der lokalen Administratoren-Gruppe.

[tt33tt]

//edit (ich habe kein Edit-Funktion gesehen):

Das Hinzufügen zu lokalen Gruppen geht ganz einfach per Gruppenrichtlinie: Computerrichtlinien/Windowseinstellungen/Sicherheitseinstellungen/Eingeschränkte Gruppen

Windows Server How-To Guides: Lokale Gruppenmitgliedschaften in der Domäne (Restricted Groups) - ServerHowTo.de

[robotto7831a]

Unser IT Sicherheitsbeauftragter würde direkt drei Herzkasper bekommen.

Domänenadministrator ist niemand. Es gibt vielleicht eine Hand voll Funktionsaccounts die Domänenadministratoren sind um arbeiten an der Domäne durchzuführen. Die Passwörter werden im Safe gelagert und die Passwörter werden nur herausgegeben, wenn die Firma brennt. Du verstehst was ich meine. Es gibt nur sehr wenige Arbeiten wo man Domänenadministrator sein muss.

Für die täglichen Arbeiten wie User anlegen, Gruppen bearbeiten usw. hat der normale User die entsprechenden Rechte delegiert bekommen. Nein, ich meine nicht Adminrechte.

Des weiteren ist der normale Domänenuser niemals Administrator am lokalen PC. Die Viren und Trojaner freuen sich über einen Rechner wo man als Admin alles machen kann. Jeder Benutzer hat an seiner Workstation einen zweiten lokalen User mit Adminrechten. Wenn er Adminrechte benötigt, dann kann er sich mit diesem User anmelden bzw. über die rechte Maustaste ausführen.

Was versteht Du unter auf andere Rechner schalten?

Meinst Du Remotedesktop?

Auch dafür benötigt man weder Domänenadministratorrechte noch Adminrechte auf dem lokalen Client. Dafür gibt es eine Gruppe am Client wo die Administratoren mit ihren normalen Useraccounts eingetragen werden. Und schon kann man sich verbinden. Und wenn man dort arbeiten als Admin ausführen muss, dann gilt das gleiche wie zuvor schon gesagt. Die rechte Maustaste hilft einem da weiter.

Warum benötigen Praktikanten Adminrechte?