20
Entwickler benötigt immer wieder Berechtigungen zum Installieren
Hallo zusammen,
im Unternehmen haben wir einen Softwareentwickler, welcher mich immer wieder um Adminberechtigungen fragen muss.
Es läuft immer so ab, dass wir gemeinsame Termine für die Installation vereinbaren und ich mich via TV auf seine Clients verbinde.
Diese Clients benötigen immer Adminberechtigungen zum Installieren.
Ich bin sehr eingebundne und habe wenig Zeit zu unterstützen. Der Entwickler ist natürlich auch daran gehindert weiter zu arbeiten und ist deswegen sehr abhängig von mir.
Adminberechtigungen soll er jedoch nicht kriegen.
Wie könnte man hier verfahren, so dass er zumindest seine Programme installieren kann, ohne dass er gleich einen Adminuser von mir bekommt.
Danke und LG
im Unternehmen haben wir einen Softwareentwickler, welcher mich immer wieder um Adminberechtigungen fragen muss.
Es läuft immer so ab, dass wir gemeinsame Termine für die Installation vereinbaren und ich mich via TV auf seine Clients verbinde.
Diese Clients benötigen immer Adminberechtigungen zum Installieren.
Ich bin sehr eingebundne und habe wenig Zeit zu unterstützen. Der Entwickler ist natürlich auch daran gehindert weiter zu arbeiten und ist deswegen sehr abhängig von mir.
Adminberechtigungen soll er jedoch nicht kriegen.
Wie könnte man hier verfahren, so dass er zumindest seine Programme installieren kann, ohne dass er gleich einen Adminuser von mir bekommt.
Danke und LG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1003252645
Url: https://administrator.de/contentid/1003252645
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
20 Kommentare
Neuester Kommentar
Schau mal hier: Domänenbenutzern die Installation von Software per GPO erlauben
Ist zwar älter und ich hab es nur überflogen aber evtl. hilft dir das weiter.
Gruß
Ist zwar älter und ich hab es nur überflogen aber evtl. hilft dir das weiter.
Gruß
Wir haben 2018 bis Dez 2020 einem für ein Projekt eingestellten Entwickler ein Notebook im abgekapselten Netzwerk gegeben und dort konnte er schalten und walten wie er wollte. War ein entspanntes Leben auf beiden Seiten.
Moin,
ich würde dem Kollegen eine VM installieren, auf der er machen kann, was er will. Wenn er sie dann kaputt gespielt hat, wird das Backup eingespielt und gut ist. Bei einem Softwareentwickler kann man sogar erwarten, dass er das alleine kann. Außerdem hat er dann den Vorteil, dass er immer in einer definierten Umgebung testen kann.
Liebe Grüße
Erik
ich würde dem Kollegen eine VM installieren, auf der er machen kann, was er will. Wenn er sie dann kaputt gespielt hat, wird das Backup eingespielt und gut ist. Bei einem Softwareentwickler kann man sogar erwarten, dass er das alleine kann. Außerdem hat er dann den Vorteil, dass er immer in einer definierten Umgebung testen kann.
Liebe Grüße
Erik
Hi
ist das immer eine neue Software oder eher immer das gleiche, was z.B upgedated werden muss?
Die allermeisten "Ich brauch Admin" Dialoge kommen, weil der Prozess unter c:\Programme schreiben will und der User da halt keine Rechte hat.
Gib dem user Schreibrechte auf die Verzeichnisse der Programme die er da halt so braucht, dann geht das auch ohne adminrechte. "Elevation" fordert dann der Installer trotzdem an, das ist aber nicht das gleiche wie Adminrechte.
Wenn es ständig was neues ist, würde ich einen Lokalen User erstellen der Adminrechte hat. Damit kann er sich dann die Software installieren die er braucht. Damit darf er aber nicht den ganzen Tag rumspringen und im Netz sufen oder sowas. Grundsätzlich kann man den interaktiven Logon ja auch unterbinden.
Und dann kommts auf die Umstände an. Auf jeden fall ein eigenes Entwickler-Netz schaffen, das isoliert ist. Falls praktikabel, kann der Rechner dann ja auch nicht in der Domäne sein. Wenn sein Rechner kaputt geht ist mir als Admin das ja egal, solange er die Viren nicht in mein Netzwerk schmuggeln kann.
Wir haben bei uns einen Entwicklerstandort mit ein paar Teams dort.
Die haben alle 2 Rechner. Den Domänenrechner, wo sie ihre Emails etc haben und damit am normalen Firmenleben teilhaben.
Und dann ist jedes Team mit seinen Dev-Workstations in einem eigenen, vollständig isoliertem Netz mit eigenem Internetanschluss. Die Rechner sind in einer Workgroup und jeder Teamleiter kann seinen Leuten maximal 7 Tage lang lokale Adminrechte einräumen, indem er ein Passwort für den lokalen Adminuser generiert, das eben eine bestimmte Zeit lang gültig ist. Wird aber kaum noch genutzt, weil die Programme entweder standardisiert sind und entsprechend ausgerollt werden, oder weil der User eh die Rechte hat die entsprechenden Verzeichnisse zu beschreiben.
ist das immer eine neue Software oder eher immer das gleiche, was z.B upgedated werden muss?
Die allermeisten "Ich brauch Admin" Dialoge kommen, weil der Prozess unter c:\Programme schreiben will und der User da halt keine Rechte hat.
Gib dem user Schreibrechte auf die Verzeichnisse der Programme die er da halt so braucht, dann geht das auch ohne adminrechte. "Elevation" fordert dann der Installer trotzdem an, das ist aber nicht das gleiche wie Adminrechte.
Wenn es ständig was neues ist, würde ich einen Lokalen User erstellen der Adminrechte hat. Damit kann er sich dann die Software installieren die er braucht. Damit darf er aber nicht den ganzen Tag rumspringen und im Netz sufen oder sowas. Grundsätzlich kann man den interaktiven Logon ja auch unterbinden.
Und dann kommts auf die Umstände an. Auf jeden fall ein eigenes Entwickler-Netz schaffen, das isoliert ist. Falls praktikabel, kann der Rechner dann ja auch nicht in der Domäne sein. Wenn sein Rechner kaputt geht ist mir als Admin das ja egal, solange er die Viren nicht in mein Netzwerk schmuggeln kann.
Wir haben bei uns einen Entwicklerstandort mit ein paar Teams dort.
Die haben alle 2 Rechner. Den Domänenrechner, wo sie ihre Emails etc haben und damit am normalen Firmenleben teilhaben.
Und dann ist jedes Team mit seinen Dev-Workstations in einem eigenen, vollständig isoliertem Netz mit eigenem Internetanschluss. Die Rechner sind in einer Workgroup und jeder Teamleiter kann seinen Leuten maximal 7 Tage lang lokale Adminrechte einräumen, indem er ein Passwort für den lokalen Adminuser generiert, das eben eine bestimmte Zeit lang gültig ist. Wird aber kaum noch genutzt, weil die Programme entweder standardisiert sind und entsprechend ausgerollt werden, oder weil der User eh die Rechte hat die entsprechenden Verzeichnisse zu beschreiben.
Zitat von @13Dynamic37:
Wie könnte man hier verfahren, so dass er zumindest seine Programme installieren kann, ohne dass er gleich einen Adminuser von mir bekommt.
Wie könnte man hier verfahren, so dass er zumindest seine Programme installieren kann, ohne dass er gleich einen Adminuser von mir bekommt.
Gib ihm lokale Adminrechte auf seinem Computer oder richte einen extra Adminuser für seinen PC ein.
lks
1
Für einen Entwickler machen lokale Adminrechte natürlich schon Sinn.
Er könnte aber auch 1x eine Console mit Adminrechten öffnen und dann immer wieder seine Entwicklung über die Console testen.
Würde ihn halt nicht daran hindern auch andere Dinge über die so geöffnete Console zu installieren.
Er könnte aber auch 1x eine Console mit Adminrechten öffnen und dann immer wieder seine Entwicklung über die Console testen.
Würde ihn halt nicht daran hindern auch andere Dinge über die so geöffnete Console zu installieren.
Gib derm User (z.B. "Mike") keine Admin Rechte, sondern erzeuge ein neuen User dafür (z.B."Admin-Mike") mit "nur" lokalen Admin Rechten. Dann kann er als Mike nach wie vor herum surfen, wenn es dann ums Installieren geht, muss er bei der Elevation das Admin-Mike Konto mit dem Passwort angeben.
Zitat von @NordicMike:
Gib derm User (z.B. "Mike") keine Admin Rechte, sondern erzeuge ein neuen User dafür (z.B."Admin-Mike") mit "nur" lokalen Admin Rechten. Dann kann er als Mike nach wie vor herum surfen, wenn es dann ums Installieren geht, muss er bei der Elevation das Admin-Mike Konto mit dem Passwort angeben.
Gib derm User (z.B. "Mike") keine Admin Rechte, sondern erzeuge ein neuen User dafür (z.B."Admin-Mike") mit "nur" lokalen Admin Rechten. Dann kann er als Mike nach wie vor herum surfen, wenn es dann ums Installieren geht, muss er bei der Elevation das Admin-Mike Konto mit dem Passwort angeben.
Lokale Adminrechte nur auf der Kiste des Mike ist auch ohne extra User möglich, auch wenn ich den Standpunkt vertrete, das jeder Admin zwei Accounts haben sollte, einen normalen Useraccount für die "Büroarbeiten" und einen Adminaccount für die richtige Arbeit.
lks
auch ohne extra User möglich
Die Hemmschwelle ist etwas höher, wenn der User bei der Elevation neue Credentials einzippen muss, oder einfach nur auf "ja" anklicken kann.Erst gestern wollte irgendein Programm ohne Vorankündigung eine Elevation durchführen und ich habe in dem Moment wild im Browser herum geklickt und... zack... habe ich aus versehen auf Ja geklickt. Das Elevation Fenster war 1/10 Sekunde davor noch nicht da und mein Finger war schon unterwegs nach unten Richtung Maustaste.
Moin,
Also ich würde den "Entwickler", dem freien Arbeitsmarkt zur Verfügung stellen.
Wenn er nicht einmal die Ordner, Registry-Schlüssel und Dienste nennen kann, welche sein "Wunderwerk" von Software benötigt. Wozu braucht man Ihn dann? Mit diesen Informationen kann man dem "Entwickler" eine eigene GPO/GPP bauen, welche ihm die Schreibrechte zur Verfügung stellt.
Gruß
C.C.
Also ich würde den "Entwickler", dem freien Arbeitsmarkt zur Verfügung stellen.
Wenn er nicht einmal die Ordner, Registry-Schlüssel und Dienste nennen kann, welche sein "Wunderwerk" von Software benötigt. Wozu braucht man Ihn dann? Mit diesen Informationen kann man dem "Entwickler" eine eigene GPO/GPP bauen, welche ihm die Schreibrechte zur Verfügung stellt.
Gruß
C.C.
Zitat von @13Dynamic37:
Hallo zusammen,
im Unternehmen haben wir einen Softwareentwickler, welcher mich immer wieder um Adminberechtigungen fragen muss.
Es läuft immer so ab, dass wir gemeinsame Termine für die Installation vereinbaren und ich mich via TV auf seine Clients verbinde.
Diese Clients benötigen immer Adminberechtigungen zum Installieren.
Ich bin sehr eingebundne und habe wenig Zeit zu unterstützen. Der Entwickler ist natürlich auch daran gehindert weiter zu arbeiten und ist deswegen sehr abhängig von mir.
Adminberechtigungen soll er jedoch nicht kriegen.
Wie könnte man hier verfahren, so dass er zumindest seine Programme installieren kann, ohne dass er gleich einen Adminuser von mir bekommt.
Danke und LG
Hallo zusammen,
im Unternehmen haben wir einen Softwareentwickler, welcher mich immer wieder um Adminberechtigungen fragen muss.
Es läuft immer so ab, dass wir gemeinsame Termine für die Installation vereinbaren und ich mich via TV auf seine Clients verbinde.
Diese Clients benötigen immer Adminberechtigungen zum Installieren.
Ich bin sehr eingebundne und habe wenig Zeit zu unterstützen. Der Entwickler ist natürlich auch daran gehindert weiter zu arbeiten und ist deswegen sehr abhängig von mir.
Adminberechtigungen soll er jedoch nicht kriegen.
Wie könnte man hier verfahren, so dass er zumindest seine Programme installieren kann, ohne dass er gleich einen Adminuser von mir bekommt.
Danke und LG
Was ehrlich gesagt zeigt das du KEINE Ahnung von Software-Entwicklung hast. Denn die meiste Software im prof. Bereich wird heute nicht mehr allein geschrieben sondern da sind div. Personen / Teams dran beteiligt. Als Entwickler interessiert es dich dabei oft nicht mal was wo wie installiert ist - solang du die Schnittstelle erreichen kannst. Die kann aber eben von jemand ganz anders kommen. Einfaches Beispiel: Wenn du ne Webapp unterm Tomcat erstellst ist dir als Entwickler erst mal herzlich egal welche Serviceports der Tomcat braucht - solang du z.B. auf dem Port 8080 deine Applikation erreichen kannst. Für die Installation des Tomcat sind in der Prod-Umgebung idR. die Admins zuständig. Warum muss also der Entwickler wissen wohin der Tomcat installiert, welche Ports der neben den 8080/8443 der will oder wo in der Registry der noch so rumtobt?
Selbst bei einer Standalone-SW ist man idR. nicht alleine dran. Woher soll man also wissen ob das Modul xyz vom Kollegen nu in die Registry schreibt? Wenn ich z.B. für ne Login-Funktion zuständig bin - dann interessiert es mich eher nicht was der Kollege der das Interface zum Backend baut wo speichert.
Von daher würde ich sagen: Die beste Lösung bei sowas is eben ein eigener Rechner - auch für die Entwickler. Denn das müssen ja nich mal zwinged Updates SEINER Software sein - sondern z.B. will die Entwicklungsumgebung mal nen paar Updates, es können Installationen von bestimmten Umgebungen usw. nötig sein oder auch Hardware-Zugriffe die ggf. auch vom OS abgeschottet werden oder es muss sogar Hardware installiert werden (z.B. weil der Kunde eben genau DEN Barcode-Scanner verwendet, weil der Ausdruck auf genau das Druckermodell passen muss,...).
Wer da eben meint das Entwickler permanent den kompletten Sourcecode kennen der muss halt auch mal mehr als nen "Hello World" bauen...
Gib ihm lokale Adminrechte auf seinem Computer
Genau das und gut. Kann er maximal seinen eigenen PC mit schrotten. Und das juckt doch wahrlich keinen.Zitat von @anteNope:
Gib ihm lokale Adminrechte auf seinem Computer
Genau das und gut. Kann er maximal seinen eigenen PC mit schrotten. Und das juckt doch wahrlich keinen.Naja - abgeschotteter PC ist auch da die bessere Wahl... Denn er kann ja nicht nur seinen Rechner schrotten - er kann alles erreichbare mitnehmen. Auch da - nehmen wir ne einfache Funktion an: Kopiere (als Backup) ein Quellverzeichnis auf ein Zielverzeichnis und lösche im Ziel alles was in der Quelle nicht ist (ähnlich rsync mit --delete-flag). Blöd jetzt wenn er beim Testen das Netzwerkverzeichnis als Ziel eingibt und nen leeren Ordner als Quelle ;). Alles worauf er rechte hat wird also gekillt... Was im Code nur ggf. eine vertauschte Variable benötigt...
Daher würde ich einem Entwickler prinzipiell nicht vertrauen (und ein guter Entwickler vertraut sich selbst auch nicht! Daher ja der Grundsatz das man seine eigene Software nicht selbst testen kann!). Und mit nem abgeschotteten Rechner kann da halt nich viel schief gehen. Wenn der Netzfunktionen braucht - im zweifel halt nen simples Share "Datenhalde" erstellen wo die wirklich rumtoben können - mit Wissen das es da eben keine Backups gibt,...
Naja - abgeschotteter PC ist auch da die bessere Wahl... Denn er kann ja nicht nur seinen Rechner schrotten - er kann alles erreichbare mitnehmen. Auch da - nehmen wir ne einfache Funktion an: Kopiere (als Backup) ein Quellverzeichnis auf ein Zielverzeichnis und lösche im Ziel alles was in der Quelle nicht ist (ähnlich rsync mit --delete-flag). Blöd jetzt wenn er beim Testen das Netzwerkverzeichnis als Ziel eingibt und nen leeren Ordner als Quelle ;). Alles worauf er rechte hat wird also gekillt... Was im Code nur ggf. eine vertauschte Variable benötigt...
Und das hat jetzt was mit den lokalen Adminrechten zu schaffen? Um ein Share zu schrotten, benötigt man doch nur Schreibrechte auf jenes. Lokale Adminrechte betreffen nur den Computer. Ich weiß echt nicht wieso ihr hier das Thema so heiß kocht.
Der kann doch mit dem Rechner ganz normal in der Domäne sein, bekommt lokale Adminrechte. Und wenn man Angst um seine Shares hat, bekommt er diese halt nicht??? Hier ist doch absolut keine Notwendigkeit für kompliziert? ¯\(°_o)/¯
Ist halt nur doof, wenn man Zugriffsrechte über die Gruppe "Domänen-Benutzer" vergeben hat 🤣
Naja - auf welchem normalen Arbeitsrechner hast du denn keine Zugriffe auf Netzlaufwerke usw.? Beim Dev-Rechner braucht man das nicht - das einzige "Share" was man da benötigt is ja idR. CVS/SVN/GIT/... - und das is halt über die Entwicklungsumgebung.
Von daher im besten Fall eben trennen - auch schon weil natürlich mit lokalen Admin bei Problemen gerne der Entwickler mal beigehen kann und z.B. Virenscanner usw. deaktiviert oder sonst was konfigurieren würde. Es sind eben nicht alle Entwickler auch "Admins", da gibt es genug die froh sind zuhause die Fritte unfallfrei aktiv zu bekommen. Genauso wie eben nich alle Admins auch Entwickler sind und daher nicht wissen wie da gearbeitet wird.
Da würde ich heute bei den Rechnerpreisen auch ehrlich gesagt nich lang überlegen -> simples VLAN erstellt "Devs", Zugang eben nur zum Internet und ggf. den Dev-Rechnern, fertig is... Wenn die wirklich noch ne gemeinsame Dateiablage brauchen ggf. noch ne NAS reingeworfen oder halt ein Share nur dafür erlauben - fertig. Das ganze is beim Morgenkaffee gebaut und dann hat man ruhe...
Von daher im besten Fall eben trennen - auch schon weil natürlich mit lokalen Admin bei Problemen gerne der Entwickler mal beigehen kann und z.B. Virenscanner usw. deaktiviert oder sonst was konfigurieren würde. Es sind eben nicht alle Entwickler auch "Admins", da gibt es genug die froh sind zuhause die Fritte unfallfrei aktiv zu bekommen. Genauso wie eben nich alle Admins auch Entwickler sind und daher nicht wissen wie da gearbeitet wird.
Da würde ich heute bei den Rechnerpreisen auch ehrlich gesagt nich lang überlegen -> simples VLAN erstellt "Devs", Zugang eben nur zum Internet und ggf. den Dev-Rechnern, fertig is... Wenn die wirklich noch ne gemeinsame Dateiablage brauchen ggf. noch ne NAS reingeworfen oder halt ein Share nur dafür erlauben - fertig. Das ganze is beim Morgenkaffee gebaut und dann hat man ruhe...
Hi.
Ich würde ihm ein lokales Konto ohne Kennwort erstellen, welches Admin ist, und dieses nur dann entsperren (automatisch per geplantem Task), wenn dieser Entwickler am PC angemeldet ist. Ich habe das Konzept genau beschrieben:
Tipp zur UAC-Nutzung
Ich würde ihm ein lokales Konto ohne Kennwort erstellen, welches Admin ist, und dieses nur dann entsperren (automatisch per geplantem Task), wenn dieser Entwickler am PC angemeldet ist. Ich habe das Konzept genau beschrieben:
Tipp zur UAC-Nutzung
1
1
Zitat von @Lochkartenstanzer:
auch wenn ich den Standpunkt vertrete, das jeder Admin zwei Accounts haben sollte, einen normalen Useraccount für die "Büroarbeiten" und einen Adminaccount für die richtige Arbeit.
auch wenn ich den Standpunkt vertrete, das jeder Admin zwei Accounts haben sollte, einen normalen Useraccount für die "Büroarbeiten" und einen Adminaccount für die richtige Arbeit.
Gibt es dann eigentlich eine Möglichkeit, mit beiden Benutzern auf das gleiche Bentzerprofil zuzugreifen?
Zitat von @SarekHL:
Gibt es dann eigentlich eine Möglichkeit, mit beiden Benutzern auf das gleiche Bentzerprofil zuzugreifen?
Zitat von @Lochkartenstanzer:
auch wenn ich den Standpunkt vertrete, das jeder Admin zwei Accounts haben sollte, einen normalen Useraccount für die "Büroarbeiten" und einen Adminaccount für die richtige Arbeit.
auch wenn ich den Standpunkt vertrete, das jeder Admin zwei Accounts haben sollte, einen normalen Useraccount für die "Büroarbeiten" und einen Adminaccount für die richtige Arbeit.
Gibt es dann eigentlich eine Möglichkeit, mit beiden Benutzern auf das gleiche Bentzerprofil zuzugreifen?
Grundsätzlich nein! Jedes Profil steht für sich. Mit einem lokalen Administrator kannst du aber auf das Profil eines anderen Benutzers auf der Maschine zugreifen.
Noch besser aber wäre ein Tier-Model
Grüße!
Man kann Einstellungen aus 2 Profilen synchron halten, also einen geplanten Task etablieren, der so geht
->exportiere Profil 1 HKCU\software\blablub ->importiere nach Profil2, selber Pfad
Das geht, aber ist nicht immer praktikabel. Direkt nutzen kannst Du das Profil eines anderen jedenfalls nicht.
->exportiere Profil 1 HKCU\software\blablub ->importiere nach Profil2, selber Pfad
Das geht, aber ist nicht immer praktikabel. Direkt nutzen kannst Du das Profil eines anderen jedenfalls nicht.
