marco-83
Goto Top

Grundsatzfrage IT Administration - Berechtigungen der Admins

Hallo liebe Administrator Kollegen. Ich habe einmal eine Grundsätzliche Frage, wie es in euren Firmen in der IT Abteilung abläuft. Ich betreue mit einem Kollegen zusammen alleine ca. 120 Arbeitsplätze an verschiedenen Standorten und ca. 10 Server. Darunter auch Webserver / Firewall / VMware Vsphere / Exchange 2010 / 2012 Server / 2003 Server / 2008 Server und div. Linux.

Erst einmal eine grundsätzliche Frage. Gibt es eine grobe Faustregel, wieviele Admins auf welche Anzahl von Benutzern bzw. Servern zum einsatz kommen sollten? Klar ist es eine Frage wie komplex die IT Struktur ist. Bei uns z.B CAD Software mit Lizenzservern, ERP Software aus eigener Entwicklung, Wlans , VPN mit 4 weiteren Standorten, VPN User mit OpenVPN Clients, Verwaltung der Telefonanlage mit UC Client auf den PC's (Hipath 4000)
Und zu allem Überlauf noch die Verwaltung von Mobilfunkgeräten und Sim Karten.

Ich hätte einfach gerne mal eine Meinung von euch dazu, mit wieviel Personen ihr ähnliches bewerkstelligt. Da mein Kollege und ich auch noch andere Aufgaben wie z.B den Support der eigens entwickelten Software bei Kunden haben, geraten wir langsam ein wenig ins rotieren ;)

Nun soll noch ein weiterer zu Hilfe kommen. Natürlich möchte man nicht einem neuen sofort die Admin Passwörter für seine Systeme geben. Die Server / Switch und sonstige Infrastruktur soll quasi weiter durch meinen Kollegen und mich betreut werden. Der neue Soll Aufgaben wie die Installation von Software auf PC's von Benutzern bewerkstelligen. Einige Benutzer haben bei uns in der Domäne lokale Admin Rechte, da es aus div. Gründen wie z.B IP Umschaltung / Installation von Komponenten für die Entwicklung nicht anders möglich ist.

Andere Benutzer haben nur die normalen rechte die ein User am Arbeitsplatz haben sollte. Jetzt meine Frage, wie bekomme ich es hin, dass z.B der neue Software auf PC's installieren kann, ohne dass ich ihm unser Admin Kennwort nenne. Einen eigenen User anlegen, klar. Aber dieser muss ja dann aich Rechte auf den lokalen Clients haben. Klassisches Beispiel: die Aktualisierung von Flash Player,Java,Firefox

Die Client's sind zu 85% Win7 Pro. Notebooks und Arbeitsplatz PC's 15% sind noch Windows XP Pro basiert.

Content-ID: 217830

Url: https://administrator.de/forum/grundsatzfrage-it-administration-berechtigungen-der-admins-217830.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

Mantigul
Mantigul 25.09.2013 um 14:38:53 Uhr
Goto Top
Hallo,

also wie viele Admins wie viele Rechner/Server/Außenstellen administrieren können kann man nicht sagen. Es kommt auf eure Umgebung an und wie alles eingerichtet ist.
Ich Hab eine Umgebung erlebt von 500 Clients, die 2 Mann gemacht haben und das locker und auch eine mit 25 Clients, wo 3 Mann sich die Zähne ausgebissen haben.
Es kommt immer darauf an was die Admins noch nebenbei machen müssen. Sim-Karten, Homepage etc. verwalten, dann braucht man logischerweise mehr.

Zu deinem Neuen Kollegen:
Einfachste Möglichkeit: Erstell eine Gruppe im AD und nimm Ihn auf. Per Script/GPO kannst du diese Gruppe bei den ganzen Clients zu den lokalen Administratoren hinzufügen --> Problem gelöst.

Um euch auf Dauer Arbeit zu sparen lohnt sich bei der Größe aber schon eher eine Software-Verteilung. So spart ihr eine Menge Zeit --> Empfehlung ist kostenlos Opsi oder wenn Ihr ein wenig Geld ausgeben wollt baramundi. Hat den Vorteil, von baramundi kommen im Monat immer alle neusten Java, Flash , ... Versionen, die Ihr einmal Monatlich automatisch verteilen könnt. so habt ihr keine wirklich keine Arbeit mehr mit solch Kleinzeug. Auch Client Installationen könnt Ihr Delegieren. Ihr erlaubt euren Mitarbeiter Softwareinstallationen über baramundi, aber er selber benötigt keine Adminrechte.

Nach der Einführung von baramundi bei uns hab ich innerhalb von 4 Wochen 80% meiner Arbeit automatisiert und ein weiterer Vorteil war, dass die Domäne homogen wurde. So hat der Admin auf Dauer auch nur Vorteile.


So wie es klingt ist es bei euch das reinste Chaos --> Kenn ich face-smile
Rudbert
Rudbert 25.09.2013 um 14:57:39 Uhr
Goto Top
Hallo,


wir haben hier in etwa die gleiche Umgebung:

- 120 Clients
- 15 Server
- 16 Standorte (6x LWL Anbindung, 10x DSL Business per VPN an CompanyConnect in Zentrale)
- 40 Drucker, davon 10 Großgeräte mit Wartungsvertrag
- Firewall-Cluster Sophos UTM und SonicWALL NSA
- vSphere Cluster mit 3 Hosts an iSCSI Storage
- Telefonanlage, Handys (BlackBerry), 40 verschiedene Fachanwendungen (kommunale Software für eine Stadtverwaltung)

Wir betreuen alle EDV-Belange selbst und lassen uns neue Anschaffungen beispielsweise vSphere in einem Workshop von DL einrichten und administrieren diese dann im Anschluss selbst. Wartung für HW und SW natürlich direkt vom Hersteller.

Dazu haben wir noch ca. 120 Schul-PCs mit Wächtersoftware.


Eine kürzlich durchgeführte Stellenbemessung durch den BKPV (kommunaler Prüfungsverband in Bayern) hat eine Gesamtsumme von 2,05 Stellen für diese Umgebung ergeben (inkl. den 120 Schul-PCs). Hätte da auch mit mind. 3 Stellen gerechnet. Aber nun ersetzen wir halt die Schul-PCs voraussichtlich durch 120 virtuelle Desktops und hosten diese auf unserem vSphere-Cluster vor Ort.


Meinen früheren Recherchen kann man mit einer Zahl von 50-150 Clients pro Admin rechnen, die natürlich stark von der Umgebung abhängig ist. Eine homogene VDI-Infrastruktur mit 1000 gleichen Desktops braucht natürlich weniger Admins als eine heterogene Struktur mit vielen Außenstellen, div. Anbindungsvarianten, verschiedenen Betriebssystemen und gemischter Hardware auf Desktop-Seite.


mfg -sd
DerWoWusste
DerWoWusste 25.09.2013 aktualisiert um 17:40:21 Uhr
Goto Top
Hi.

Zur "Faustregel": da teile ich Mantiguls Meinung.
Zu Deiner Adminrechtvergabe an Nutzer: Für's Netzwerkkonfigurieren gibt es seit xp für genau diesen Zweck die Gruppe Netzwerkkonfigurationsoperatoren - Nutzer rein, Adminrechte fortan überflüssig. Bei UAC-Betriebssystemen beachten, dass der Nutzer beim Konfigurieren lediglich ein zweites Mal sein eigenes Kennwort eingeben muss, obwohl Windows ein Adminkennwort haben möchte (Beschriftungsfehler).
Zur Softwareverteilung: Gerade zu Deinen Flash Player,Java,Firefox gibt es doch MSI-Pakete, so dass Du sie per GPO aktuell halten kannst. Für Firefox jedoch nicht von Mozilla, sondern von Frontmotion - genannt Community Edition, ist aber baugleich http://www.frontmotion.com/FMFirefoxCE/download_fmfirefoxce.htm
Zu Deinem "Hilfssheriff": wie schon genannt: AD-Gruppe Hilfsadmins erstellen, sein Konto rein und dann die Gruppe per GPO-Funktion "eingeschränkte Gruppen" in die lokalen Admingruppen aufnehmen. Nachtrag: Achtung: diese GPO natürlich nicht auf Servern zur Anwendung bringen, auf denen er nicht Admin sein darf.
Dirmhirn
Dirmhirn 25.09.2013 um 15:22:56 Uhr
Goto Top
hi!

Wir sind bald 8 (davon 3 Vollzeit Admins) für ~200 PCs + 15 Server im gesamten Unternehmen face-big-smile
und es kracht hinten und vorne.
SAP, Firewalls, ...
Website ist ein eigenes Team.

Ich bin der Meinung dass es massiv an der Automatisierung und Koordination scheitert. Drucker, Software, ... soweit wie möglich per GPO o.ä.. CAD Installation kannst du fast immer out-of-the-box scripten oder halt mit AutoIT o.ä.
Das ist halt mal ein Stunde, aber dann startest du das und es läuft durch und du musst nichts dabei tun - keine fehlkonfig ....

ninite.com auch sehr zu empfehlen
keine Bestandslisten per Excel die viel Arbeit machen und immer falsch sind - es gibt Tools ab 200€ die das super machen.

Damit komprimiert man die "einfachen" aber langwierigen Routine Aufgaben.

Win7 und XP Misch ist zach face-big-smile Office vermutlich auch noch ein durcheinander!?

ja, vieles über das ich mich ärgere, aber was ich damit sagen will: Organisation ist alles bei der IT!!! Dann müsst ihr euch nur mehr um die spannenden Ausnahmen kümmern face-wink

sg Dirm
clSchak
clSchak 25.09.2013 um 17:31:44 Uhr
Goto Top
Hi

wir sind mit 2 Admins und einem Azubi für 450 Clients, 40 Servern verteilt über 7 Standorte (EU & USA) zuständig. Wir haben im April eine Softwaredeployment inkl. OS Deployment eingeführt und alleine das OS Deployment für die Clients spart pro Monat ca. 40-60h ein, einfach PXE Boot an, Sprache auswählen und der Rest wird von selbst installiert und das Gerät landet ordentlich mit korrekten DNS Namen im AD.

Wir haben das Glück, das wir fast alles auf Windows 7 und Office 2010 haben (die XP und Office 2007 Rechner kann man einer Hand abzählen).

Kostengünstig aber mit vielen netten Features (Self-Service Portal usw.) ist Dell Kace oder matrix42 eine gute Wahl. Die bieten nebst der reinen Softwareinstallation auch ein Patchmanagement (inkl. automatischen Booten via WOL und anschließenden herunterfahren usw,).

Die Verwaltung der Mobilfunkkarten usw. machen wir alles über das Asset-Management der Kace, so haben wir auch eine Übersicht was der Kollege alles von uns erhalten hat
Marco-83
Marco-83 26.09.2013 um 16:34:24 Uhr
Goto Top
Danke für eure zahlreichen Antworten. Ist doch sehr interessant, wie unterschiedlich es in den verschiedensten Firmen "abgeht" Aber eins steht wohl ganz klar, die geordnete Struktur ist das A und O einer jeder IT Umgebung. Wir werden uns dann jetzt einmal daran begeben unsere Hausaufgaben zu erledigen ;)

Danke@all für die Tipps und nützlichen Hinweise zu Programmen bzw. Tools zum Management von Updates ;) Wieder etwas schlauer draus geworden

Noch kurz etwas zum "Hilfsadmin":

Ist es nicht so, wenn ich eine Gruppe per GPO zu den lokalen Admin's hinzufüge, dass die vorhandene Gruppe der lokalen Admin überschrieben wird? Ich erinnere mich an einen Vorfall vor einigen Jahren bei einem Kunden. Oder gibt es mittlerweile noch andere mir ferngebliebene Möglichkeiten ;)
DerWoWusste
DerWoWusste 26.09.2013 um 16:51:04 Uhr
Goto Top
Ist es nicht so, wenn ich eine Gruppe per GPO zu den lokalen Admin's hinzufüge, dass die vorhandene Gruppe der lokalen Admin überschrieben wird?
Jein. Es gibt zwei Konfigurationsmöglichkeiten, von denen die eine hinzuaddiert zu vorhandenen Admins und die andere wie von Dir beschrieben platt macht und dann hinzuaddiert.
Marco-83
Marco-83 27.09.2013 um 10:13:18 Uhr
Goto Top
@DerWoWusste: Hast Du zufällig gerade beide aufm Schirm ;)? Ich kenne nur die, wo die lokale überschrieben wird ;( finde ich gerade nichts anderes...
DerWoWusste
DerWoWusste 27.09.2013 um 10:54:37 Uhr
Goto Top
In der Policy sind zwei Bereiche zu sehen und eine Hilfe gibt es auch face-wink
Marco-83
Marco-83 27.09.2013 um 11:10:00 Uhr
Goto Top
Schaue ich mir später einmal an ;) bedankt.
MartinBinder
MartinBinder 27.09.2013 um 12:23:26 Uhr
Goto Top
"Gruppe ist Mitglied von" und "Gruppe hat Mitglieder".
Erstere fügt eine Domänengruppe einer lokalen Gruppe hinzu, ohne bestehende Mitgliedschaften zu ändern.
Zweitere konfiguriert die Mitglieder einer lokalen Gruppe und entfernt alles, was nicht konfiguriert ist.