12
Ausscheiden eines Administrators
Hallo,
ich wollte mich erkundigen wie Ihr es handhabt wenn ein Kollege aus eurer Abteilung ausscheidet. Besonderer Fall er verlässt nur die Abteilung und nicht die Firma.
Falls ihr eine Art Checkliste habt wäre ich sehr dankbar falls ihr diese mir senden könntet.
Gruß Thomas
ich wollte mich erkundigen wie Ihr es handhabt wenn ein Kollege aus eurer Abteilung ausscheidet. Besonderer Fall er verlässt nur die Abteilung und nicht die Firma.
Falls ihr eine Art Checkliste habt wäre ich sehr dankbar falls ihr diese mir senden könntet.
Gruß Thomas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 275965
Url: https://administrator.de/contentid/275965
Ausgedruckt am: 19.11.2024 um 17:11 Uhr
12 Kommentare
Neuester Kommentar
Hi Thomas,
einen solchen Fall mit einem lediglichen Abteilungswechsel hatten wir bis jetzt ehrlich gesagt noch nicht, aber ich denke den ersten Schritt, den ihr unternehmen solltet ist das Ändern sämtlicher Admin-Kennwörter (Server, Firewall,...)
Ich nehme an, er bekommt über den DC andere Rechte zugewiesen, deshalb sollte er mit seinem "normalen User-Account" nicht allzuviel anstellen können
Gruß André
einen solchen Fall mit einem lediglichen Abteilungswechsel hatten wir bis jetzt ehrlich gesagt noch nicht, aber ich denke den ersten Schritt, den ihr unternehmen solltet ist das Ändern sämtlicher Admin-Kennwörter (Server, Firewall,...)
Ich nehme an, er bekommt über den DC andere Rechte zugewiesen, deshalb sollte er mit seinem "normalen User-Account" nicht allzuviel anstellen können
Gruß André
Zitat von @Thomas91:
Hallo,
ich wollte mich erkundigen wie Ihr es handhabt wenn ein Kollege aus eurer Abteilung ausscheidet. Besonderer Fall er verlässt
nur die Abteilung und nicht die Firma.
Falls ihr eine Art Checkliste habt wäre ich sehr dankbar falls ihr diese mir senden könntet.
Hallo,
ich wollte mich erkundigen wie Ihr es handhabt wenn ein Kollege aus eurer Abteilung ausscheidet. Besonderer Fall er verlässt
nur die Abteilung und nicht die Firma.
Falls ihr eine Art Checkliste habt wäre ich sehr dankbar falls ihr diese mir senden könntet.
Abhängig davon, ob Ihr gkmeinsame Admin-Accounts hattet oder personalisierte Adminaccounts ist das unetrschiedlich.
Bei gemeinsamen Admin-Accoutn steht euch viel Arbeit bevor. bei personalisierten Admin-Accounts reicht es, seinen Admin-Account zu deaktivieren und ihm einen regulären benutzeraccoutn zu machen.
Im wesentlichen höngt es also davon ab, wie Ihr eure benutezr udn Admins verwaltet.
lks
PS. Alternativ könntet Ihr ihn natürlich auch "blitzdingsen"
Der Mitarbeiter kennt alle Kennwörter von FW, SW, Routern, Domänenadmin, Lokaleadmin´s. Sein User hat auch administrative rechte. Also es ist ziemlich kompliziert...
@Lochkartenstanzer: Wo kann ich das blitzdings kaufen? :D
@Lochkartenstanzer: Wo kann ich das blitzdings kaufen? :D
Zitat von @Thomas91:
Der Mitarbeiter kennt alle Kennwörter von FW, SW, Routern, Domänenadmin, Lokaleadmin´s. Sein User hat auch
administrative rechte. Also es ist ziemlich kompliziert...
Der Mitarbeiter kennt alle Kennwörter von FW, SW, Routern, Domänenadmin, Lokaleadmin´s. Sein User hat auch
administrative rechte. Also es ist ziemlich kompliziert...
UPS, da hat jemand schlecht geplant würde ich sagen.
Die frage ist, wie weit vertraut Ihr ihm? Auf jeden Fall solltet Ihr ihn zumidest inen Wisch unterschreiben lassen, daß er keinerlei Zugriffe mehr auf die Geräte vornimmt und Ihr soltlet dann Fleisig alles ändern.
Das schützt Euch natürlich ncih tvor Ostereiern, aber wenn Ihr ihm soweit mißtraut, daß das ein problem wäre, soltlet Ihr eure ganze UIT austauschen.
@Lochkartenstanzer: Wo kann ich das blitzdings kaufen? :D
Angeblich in einem Elektronikmarkt in Mannheim. Aber immer wenn ich da hingehe, komme ich da mit einem ganzen Haufen elektronsicher Gimmicks heraus, den ich eigentlich gar nicht vorhatte zu kaufen und habe hinterher immer noch kein Blitzdingens.
lks
Mahlzeit,
dann bleibt Euch nur folgendes:
1. Alle Passwörter ändern.
2. Die administrativen Berechtigungen entziehen
Oder benötigt der Mitarbeiter in der neuen Abteilung administrative Berechtigungen?
Wenn ja, alle NICHT benötigten administrativen Berechtigungen entziehen.
Was sagt denn Eure Revision, wie solche Fälle zu behandeln sind?
Gruss Penny.
dann bleibt Euch nur folgendes:
1. Alle Passwörter ändern.
2. Die administrativen Berechtigungen entziehen
Oder benötigt der Mitarbeiter in der neuen Abteilung administrative Berechtigungen?
Wenn ja, alle NICHT benötigten administrativen Berechtigungen entziehen.
Was sagt denn Eure Revision, wie solche Fälle zu behandeln sind?
Gruss Penny.
Zitat von @Lochkartenstanzer:
UPS, da hat jemand schlecht geplant würde ich sagen.
Die frage ist, wie weit vertraut Ihr ihm? Auf jeden Fall solltet Ihr ihn zumidest inen Wisch unterschreiben lassen, daß er
keinerlei Zugriffe mehr auf die Geräte vornimmt und Ihr soltlet dann Fleisig alles ändern.
Das schützt Euch natürlich ncih tvor Ostereiern, aber wenn Ihr ihm soweit mißtraut, daß das ein problem
wäre, soltlet Ihr eure ganze UIT austauschen.
UPS, da hat jemand schlecht geplant würde ich sagen.
Die frage ist, wie weit vertraut Ihr ihm? Auf jeden Fall solltet Ihr ihn zumidest inen Wisch unterschreiben lassen, daß er
keinerlei Zugriffe mehr auf die Geräte vornimmt und Ihr soltlet dann Fleisig alles ändern.
Das schützt Euch natürlich ncih tvor Ostereiern, aber wenn Ihr ihm soweit mißtraut, daß das ein problem
wäre, soltlet Ihr eure ganze UIT austauschen.
So bald er die Abteilung verlässt soll/darf er nicht mehr an die Systeme ran und ist ganz normaler Mitarbeiter.
Zitat von @Penny.Cilin:
Mahlzeit,
dann bleibt Euch nur folgendes:
1. Alle Passwörter ändern.
2. Die administrativen Berechtigungen entziehen
Oder benötigt der Mitarbeiter in der neuen Abteilung administrative Berechtigungen?
Wenn ja, alle NICHT benötigten administrativen Berechtigungen entziehen.
Was sagt denn Eure Revision, wie solche Fälle zu behandeln sind?
Gruss Penny.
Mahlzeit,
dann bleibt Euch nur folgendes:
1. Alle Passwörter ändern.
2. Die administrativen Berechtigungen entziehen
Oder benötigt der Mitarbeiter in der neuen Abteilung administrative Berechtigungen?
Wenn ja, alle NICHT benötigten administrativen Berechtigungen entziehen.
Was sagt denn Eure Revision, wie solche Fälle zu behandeln sind?
Gruss Penny.
So richtig gibt es keine Revision und die Führungsetage hat keine Ahnung was alles dahintersteckt
Zitat von @Thomas91:
So bald er die Abteilung verlässt soll/darf er nicht mehr an die Systeme ran und ist ganz normaler Mitarbeiter.
So bald er die Abteilung verlässt soll/darf er nicht mehr an die Systeme ran und ist ganz normaler Mitarbeiter.
Mein Vorschlag:
- Ihr setzt einen Wisch auf, indem der Mitarbeitzer darauf hingewiesen wird, daß er ab sofort keinen administrativen Zugänge nurtzen darf, auch wenn er die Zugänge noch kennt udn laßt das vom Mitarbeiter unterzeichnen. Das gibt euch zumindest die Möglichkeit, es zu sanktionieren, wenn er es trotzdem tut.
- Ihr macht Euch die Sisyphos-Arbeit und ändert erstmal alle Paßwörter o.ä. der administrativen Zugänge. Macht Euch eine (Check-)Liste, damit Ihr auch ja nichts vergeßt.
- Ihr stuft sein Konte wieder auf regulären Benutzer zurück, wenn Ihr ihm nicht gleich ein neues Standard-benutzerkonto verpassen wollt.
Wenn Ihr diese krise gemeistert habt, macht Ihr euch mal einen Plan, wie Ihr das in Zukunft gestalten könnt.
man kann das z.B. über Zertifikate und Tolkens abwickeln, daß z.B. die Administrativen Zugänge an Tokens gebunden sind. Wenn token weg, kein Administratver Zugang mehr. Dan beschrönkt sich die arbeit in zukunft einfach auf einen Austausch des Tokens.
lks
Zitat von @Thomas91:
So richtig gibt es keine Revision und die Führungsetage hat keine Ahnung was alles dahintersteckt
So richtig gibt es keine Revision und die Führungsetage hat keine Ahnung was alles dahintersteckt
Dann sollte sich Eure Führungsetage mal damit bschäftigen. Denn gegebenenfalls werden diese dafür haftbar gemacht.
Was ich empfehlen würde ist:
Wie @lks bereits angemerkt hat, macht einen Plan für die Zukunft. Und lasst Euch diese Vorgehensweise von der Führungsetage schriftlich absegnen.
Dann seid Ihr auf der sicheren Seite. Gegebenenfalls zieht einen Betriebsrat hinzu, falls ihr einen habt.
Gruss Penny.
Moin!
Das kommt auch drauf an wie "kritisch" bei euch sämtliche Berechtigungen zu sehen sind.
In einem Tante-Emma-Laden wo der Router nur das Kartenzahlungsterminal nach draußen lässt und durch (un)beabsichtigte "Spielerei" für einen halben Tag keine Kartenzahlungen durchgehen ist das ärgerlich. Wenn dadurch aber ein Warenwirtschaftssystem für 200 Mitarbeiter nicht mehr auf die zentral gelagerte Datenbank zugreifen kann ist das schon ganz anders zu bewerten. Und dann heißt es "Warum durfte der das noch?".
Im ersten Fall gilt:
Ihr SOLLTET sämtliche Passwörter ändern und unnötige Berechtigungen entziehen und ggfs. dokumentieren
Im zweiten Fall gilt:
Ihr MÜSST sämtliche Passwörter ändern und unnötige Berechtigungen entziehen, alles dokumentieren und ggfs. schriftlich absegnen lassen. Das hat nichts mit bösem Willen zu tun, sondern ist verpflichtend und auch ganz besonders in eurem eigenen Interesse.
Bei uns sind sämtliche Berechtigungen sehr restriktiv gehalten, jeder darf nur das was er für seine Arbeit auch können muss. Sonst nix.
Das kommt auch drauf an wie "kritisch" bei euch sämtliche Berechtigungen zu sehen sind.
In einem Tante-Emma-Laden wo der Router nur das Kartenzahlungsterminal nach draußen lässt und durch (un)beabsichtigte "Spielerei" für einen halben Tag keine Kartenzahlungen durchgehen ist das ärgerlich. Wenn dadurch aber ein Warenwirtschaftssystem für 200 Mitarbeiter nicht mehr auf die zentral gelagerte Datenbank zugreifen kann ist das schon ganz anders zu bewerten. Und dann heißt es "Warum durfte der das noch?".
Im ersten Fall gilt:
Ihr SOLLTET sämtliche Passwörter ändern und unnötige Berechtigungen entziehen und ggfs. dokumentieren
Im zweiten Fall gilt:
Ihr MÜSST sämtliche Passwörter ändern und unnötige Berechtigungen entziehen, alles dokumentieren und ggfs. schriftlich absegnen lassen. Das hat nichts mit bösem Willen zu tun, sondern ist verpflichtend und auch ganz besonders in eurem eigenen Interesse.
Bei uns sind sämtliche Berechtigungen sehr restriktiv gehalten, jeder darf nur das was er für seine Arbeit auch können muss. Sonst nix.
Hallo,
danke schon einmal für die zahlreichen Antworten!!!
Bei uns sollen die User auch nur Berechtigung auf die benötigten Programme und Funktionen haben. Alles in allem ist mir bewusst das ich alle Kennworter ändern muss. Jetzt hab ich aber noch eine Frage. Der Useraccount ist momentan unter Administratoren im AD. Wenn ich diese Mitgleidscahft entfernen reicht das schon oder muss ich das Kontolöschen und neuanlegen damit hier alles im grünen bereich ist?
danke schon einmal für die zahlreichen Antworten!!!
Bei uns sollen die User auch nur Berechtigung auf die benötigten Programme und Funktionen haben. Alles in allem ist mir bewusst das ich alle Kennworter ändern muss. Jetzt hab ich aber noch eine Frage. Der Useraccount ist momentan unter Administratoren im AD. Wenn ich diese Mitgleidscahft entfernen reicht das schon oder muss ich das Kontolöschen und neuanlegen damit hier alles im grünen bereich ist?
Hallo
Neuanlegen kann nie Schaden, damit erschlägst du im Zweifel irgendwelche Einzelberechtigungen, die irgendwo auf den Share-Ordnern liegen könnten.
Allerndings würde ich statt Löschen zunächst das Konto nur deaktivieren (haben beruhigt).
Ansonsten etwaige Berechtigungen nur über Gruppen verteilen, anstatt Einzelberechtigungen zu verteilen.
Grüße,
Tiberius
Jetzt hab ich aber noch eine Frage. Der Useraccount ist momentan unter
Administratoren im AD. Wenn ich diese Mitgleidscahft entfernen reicht das schon oder muss ich das Kontolöschen und neuanlegen
damit hier alles im grünen bereich ist?
Administratoren im AD. Wenn ich diese Mitgleidscahft entfernen reicht das schon oder muss ich das Kontolöschen und neuanlegen
damit hier alles im grünen bereich ist?
Neuanlegen kann nie Schaden, damit erschlägst du im Zweifel irgendwelche Einzelberechtigungen, die irgendwo auf den Share-Ordnern liegen könnten.
Allerndings würde ich statt Löschen zunächst das Konto nur deaktivieren (haben beruhigt).
Ansonsten etwaige Berechtigungen nur über Gruppen verteilen, anstatt Einzelberechtigungen zu verteilen.
Grüße,
Tiberius
Zitat von @TlBERlUS:
Ansonsten etwaige Berechtigungen nur über Gruppen verteilen, anstatt Einzelberechtigungen zu verteilen.
Gruppen werden schon eingesetzt Ansonsten etwaige Berechtigungen nur über Gruppen verteilen, anstatt Einzelberechtigungen zu verteilen.
