Grundsatzfrage IT Administration - Berechtigungen der Admins
Hallo liebe Administrator Kollegen. Ich habe einmal eine Grundsätzliche Frage, wie es in euren Firmen in der IT Abteilung abläuft. Ich betreue mit einem Kollegen zusammen alleine ca. 120 Arbeitsplätze an verschiedenen Standorten und ca. 10 Server. Darunter auch Webserver / Firewall / VMware Vsphere / Exchange 2010 / 2012 Server / 2003 Server / 2008 Server und div. Linux.
Erst einmal eine grundsätzliche Frage. Gibt es eine grobe Faustregel, wieviele Admins auf welche Anzahl von Benutzern bzw. Servern zum einsatz kommen sollten? Klar ist es eine Frage wie komplex die IT Struktur ist. Bei uns z.B CAD Software mit Lizenzservern, ERP Software aus eigener Entwicklung, Wlans , VPN mit 4 weiteren Standorten, VPN User mit OpenVPN Clients, Verwaltung der Telefonanlage mit UC Client auf den PC's (Hipath 4000)
Und zu allem Überlauf noch die Verwaltung von Mobilfunkgeräten und Sim Karten.
Ich hätte einfach gerne mal eine Meinung von euch dazu, mit wieviel Personen ihr ähnliches bewerkstelligt. Da mein Kollege und ich auch noch andere Aufgaben wie z.B den Support der eigens entwickelten Software bei Kunden haben, geraten wir langsam ein wenig ins rotieren ;)
Nun soll noch ein weiterer zu Hilfe kommen. Natürlich möchte man nicht einem neuen sofort die Admin Passwörter für seine Systeme geben. Die Server / Switch und sonstige Infrastruktur soll quasi weiter durch meinen Kollegen und mich betreut werden. Der neue Soll Aufgaben wie die Installation von Software auf PC's von Benutzern bewerkstelligen. Einige Benutzer haben bei uns in der Domäne lokale Admin Rechte, da es aus div. Gründen wie z.B IP Umschaltung / Installation von Komponenten für die Entwicklung nicht anders möglich ist.
Andere Benutzer haben nur die normalen rechte die ein User am Arbeitsplatz haben sollte. Jetzt meine Frage, wie bekomme ich es hin, dass z.B der neue Software auf PC's installieren kann, ohne dass ich ihm unser Admin Kennwort nenne. Einen eigenen User anlegen, klar. Aber dieser muss ja dann aich Rechte auf den lokalen Clients haben. Klassisches Beispiel: die Aktualisierung von Flash Player,Java,Firefox
Die Client's sind zu 85% Win7 Pro. Notebooks und Arbeitsplatz PC's 15% sind noch Windows XP Pro basiert.
Erst einmal eine grundsätzliche Frage. Gibt es eine grobe Faustregel, wieviele Admins auf welche Anzahl von Benutzern bzw. Servern zum einsatz kommen sollten? Klar ist es eine Frage wie komplex die IT Struktur ist. Bei uns z.B CAD Software mit Lizenzservern, ERP Software aus eigener Entwicklung, Wlans , VPN mit 4 weiteren Standorten, VPN User mit OpenVPN Clients, Verwaltung der Telefonanlage mit UC Client auf den PC's (Hipath 4000)
Und zu allem Überlauf noch die Verwaltung von Mobilfunkgeräten und Sim Karten.
Ich hätte einfach gerne mal eine Meinung von euch dazu, mit wieviel Personen ihr ähnliches bewerkstelligt. Da mein Kollege und ich auch noch andere Aufgaben wie z.B den Support der eigens entwickelten Software bei Kunden haben, geraten wir langsam ein wenig ins rotieren ;)
Nun soll noch ein weiterer zu Hilfe kommen. Natürlich möchte man nicht einem neuen sofort die Admin Passwörter für seine Systeme geben. Die Server / Switch und sonstige Infrastruktur soll quasi weiter durch meinen Kollegen und mich betreut werden. Der neue Soll Aufgaben wie die Installation von Software auf PC's von Benutzern bewerkstelligen. Einige Benutzer haben bei uns in der Domäne lokale Admin Rechte, da es aus div. Gründen wie z.B IP Umschaltung / Installation von Komponenten für die Entwicklung nicht anders möglich ist.
Andere Benutzer haben nur die normalen rechte die ein User am Arbeitsplatz haben sollte. Jetzt meine Frage, wie bekomme ich es hin, dass z.B der neue Software auf PC's installieren kann, ohne dass ich ihm unser Admin Kennwort nenne. Einen eigenen User anlegen, klar. Aber dieser muss ja dann aich Rechte auf den lokalen Clients haben. Klassisches Beispiel: die Aktualisierung von Flash Player,Java,Firefox
Die Client's sind zu 85% Win7 Pro. Notebooks und Arbeitsplatz PC's 15% sind noch Windows XP Pro basiert.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 217830
Url: https://administrator.de/contentid/217830
Ausgedruckt am: 19.11.2024 um 23:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
also wie viele Admins wie viele Rechner/Server/Außenstellen administrieren können kann man nicht sagen. Es kommt auf eure Umgebung an und wie alles eingerichtet ist.
Ich Hab eine Umgebung erlebt von 500 Clients, die 2 Mann gemacht haben und das locker und auch eine mit 25 Clients, wo 3 Mann sich die Zähne ausgebissen haben.
Es kommt immer darauf an was die Admins noch nebenbei machen müssen. Sim-Karten, Homepage etc. verwalten, dann braucht man logischerweise mehr.
Zu deinem Neuen Kollegen:
Einfachste Möglichkeit: Erstell eine Gruppe im AD und nimm Ihn auf. Per Script/GPO kannst du diese Gruppe bei den ganzen Clients zu den lokalen Administratoren hinzufügen --> Problem gelöst.
Um euch auf Dauer Arbeit zu sparen lohnt sich bei der Größe aber schon eher eine Software-Verteilung. So spart ihr eine Menge Zeit --> Empfehlung ist kostenlos Opsi oder wenn Ihr ein wenig Geld ausgeben wollt baramundi. Hat den Vorteil, von baramundi kommen im Monat immer alle neusten Java, Flash , ... Versionen, die Ihr einmal Monatlich automatisch verteilen könnt. so habt ihr keine wirklich keine Arbeit mehr mit solch Kleinzeug. Auch Client Installationen könnt Ihr Delegieren. Ihr erlaubt euren Mitarbeiter Softwareinstallationen über baramundi, aber er selber benötigt keine Adminrechte.
Nach der Einführung von baramundi bei uns hab ich innerhalb von 4 Wochen 80% meiner Arbeit automatisiert und ein weiterer Vorteil war, dass die Domäne homogen wurde. So hat der Admin auf Dauer auch nur Vorteile.
So wie es klingt ist es bei euch das reinste Chaos --> Kenn ich
also wie viele Admins wie viele Rechner/Server/Außenstellen administrieren können kann man nicht sagen. Es kommt auf eure Umgebung an und wie alles eingerichtet ist.
Ich Hab eine Umgebung erlebt von 500 Clients, die 2 Mann gemacht haben und das locker und auch eine mit 25 Clients, wo 3 Mann sich die Zähne ausgebissen haben.
Es kommt immer darauf an was die Admins noch nebenbei machen müssen. Sim-Karten, Homepage etc. verwalten, dann braucht man logischerweise mehr.
Zu deinem Neuen Kollegen:
Einfachste Möglichkeit: Erstell eine Gruppe im AD und nimm Ihn auf. Per Script/GPO kannst du diese Gruppe bei den ganzen Clients zu den lokalen Administratoren hinzufügen --> Problem gelöst.
Um euch auf Dauer Arbeit zu sparen lohnt sich bei der Größe aber schon eher eine Software-Verteilung. So spart ihr eine Menge Zeit --> Empfehlung ist kostenlos Opsi oder wenn Ihr ein wenig Geld ausgeben wollt baramundi. Hat den Vorteil, von baramundi kommen im Monat immer alle neusten Java, Flash , ... Versionen, die Ihr einmal Monatlich automatisch verteilen könnt. so habt ihr keine wirklich keine Arbeit mehr mit solch Kleinzeug. Auch Client Installationen könnt Ihr Delegieren. Ihr erlaubt euren Mitarbeiter Softwareinstallationen über baramundi, aber er selber benötigt keine Adminrechte.
Nach der Einführung von baramundi bei uns hab ich innerhalb von 4 Wochen 80% meiner Arbeit automatisiert und ein weiterer Vorteil war, dass die Domäne homogen wurde. So hat der Admin auf Dauer auch nur Vorteile.
So wie es klingt ist es bei euch das reinste Chaos --> Kenn ich
Hallo,
wir haben hier in etwa die gleiche Umgebung:
- 120 Clients
- 15 Server
- 16 Standorte (6x LWL Anbindung, 10x DSL Business per VPN an CompanyConnect in Zentrale)
- 40 Drucker, davon 10 Großgeräte mit Wartungsvertrag
- Firewall-Cluster Sophos UTM und SonicWALL NSA
- vSphere Cluster mit 3 Hosts an iSCSI Storage
- Telefonanlage, Handys (BlackBerry), 40 verschiedene Fachanwendungen (kommunale Software für eine Stadtverwaltung)
Wir betreuen alle EDV-Belange selbst und lassen uns neue Anschaffungen beispielsweise vSphere in einem Workshop von DL einrichten und administrieren diese dann im Anschluss selbst. Wartung für HW und SW natürlich direkt vom Hersteller.
Dazu haben wir noch ca. 120 Schul-PCs mit Wächtersoftware.
Eine kürzlich durchgeführte Stellenbemessung durch den BKPV (kommunaler Prüfungsverband in Bayern) hat eine Gesamtsumme von 2,05 Stellen für diese Umgebung ergeben (inkl. den 120 Schul-PCs). Hätte da auch mit mind. 3 Stellen gerechnet. Aber nun ersetzen wir halt die Schul-PCs voraussichtlich durch 120 virtuelle Desktops und hosten diese auf unserem vSphere-Cluster vor Ort.
Meinen früheren Recherchen kann man mit einer Zahl von 50-150 Clients pro Admin rechnen, die natürlich stark von der Umgebung abhängig ist. Eine homogene VDI-Infrastruktur mit 1000 gleichen Desktops braucht natürlich weniger Admins als eine heterogene Struktur mit vielen Außenstellen, div. Anbindungsvarianten, verschiedenen Betriebssystemen und gemischter Hardware auf Desktop-Seite.
mfg -sd
wir haben hier in etwa die gleiche Umgebung:
- 120 Clients
- 15 Server
- 16 Standorte (6x LWL Anbindung, 10x DSL Business per VPN an CompanyConnect in Zentrale)
- 40 Drucker, davon 10 Großgeräte mit Wartungsvertrag
- Firewall-Cluster Sophos UTM und SonicWALL NSA
- vSphere Cluster mit 3 Hosts an iSCSI Storage
- Telefonanlage, Handys (BlackBerry), 40 verschiedene Fachanwendungen (kommunale Software für eine Stadtverwaltung)
Wir betreuen alle EDV-Belange selbst und lassen uns neue Anschaffungen beispielsweise vSphere in einem Workshop von DL einrichten und administrieren diese dann im Anschluss selbst. Wartung für HW und SW natürlich direkt vom Hersteller.
Dazu haben wir noch ca. 120 Schul-PCs mit Wächtersoftware.
Eine kürzlich durchgeführte Stellenbemessung durch den BKPV (kommunaler Prüfungsverband in Bayern) hat eine Gesamtsumme von 2,05 Stellen für diese Umgebung ergeben (inkl. den 120 Schul-PCs). Hätte da auch mit mind. 3 Stellen gerechnet. Aber nun ersetzen wir halt die Schul-PCs voraussichtlich durch 120 virtuelle Desktops und hosten diese auf unserem vSphere-Cluster vor Ort.
Meinen früheren Recherchen kann man mit einer Zahl von 50-150 Clients pro Admin rechnen, die natürlich stark von der Umgebung abhängig ist. Eine homogene VDI-Infrastruktur mit 1000 gleichen Desktops braucht natürlich weniger Admins als eine heterogene Struktur mit vielen Außenstellen, div. Anbindungsvarianten, verschiedenen Betriebssystemen und gemischter Hardware auf Desktop-Seite.
mfg -sd
Hi.
Zur "Faustregel": da teile ich Mantiguls Meinung.
Zu Deiner Adminrechtvergabe an Nutzer: Für's Netzwerkkonfigurieren gibt es seit xp für genau diesen Zweck die Gruppe Netzwerkkonfigurationsoperatoren - Nutzer rein, Adminrechte fortan überflüssig. Bei UAC-Betriebssystemen beachten, dass der Nutzer beim Konfigurieren lediglich ein zweites Mal sein eigenes Kennwort eingeben muss, obwohl Windows ein Adminkennwort haben möchte (Beschriftungsfehler).
Zur Softwareverteilung: Gerade zu Deinen Flash Player,Java,Firefox gibt es doch MSI-Pakete, so dass Du sie per GPO aktuell halten kannst. Für Firefox jedoch nicht von Mozilla, sondern von Frontmotion - genannt Community Edition, ist aber baugleich http://www.frontmotion.com/FMFirefoxCE/download_fmfirefoxce.htm
Zu Deinem "Hilfssheriff": wie schon genannt: AD-Gruppe Hilfsadmins erstellen, sein Konto rein und dann die Gruppe per GPO-Funktion "eingeschränkte Gruppen" in die lokalen Admingruppen aufnehmen. Nachtrag: Achtung: diese GPO natürlich nicht auf Servern zur Anwendung bringen, auf denen er nicht Admin sein darf.
Zur "Faustregel": da teile ich Mantiguls Meinung.
Zu Deiner Adminrechtvergabe an Nutzer: Für's Netzwerkkonfigurieren gibt es seit xp für genau diesen Zweck die Gruppe Netzwerkkonfigurationsoperatoren - Nutzer rein, Adminrechte fortan überflüssig. Bei UAC-Betriebssystemen beachten, dass der Nutzer beim Konfigurieren lediglich ein zweites Mal sein eigenes Kennwort eingeben muss, obwohl Windows ein Adminkennwort haben möchte (Beschriftungsfehler).
Zur Softwareverteilung: Gerade zu Deinen Flash Player,Java,Firefox gibt es doch MSI-Pakete, so dass Du sie per GPO aktuell halten kannst. Für Firefox jedoch nicht von Mozilla, sondern von Frontmotion - genannt Community Edition, ist aber baugleich http://www.frontmotion.com/FMFirefoxCE/download_fmfirefoxce.htm
Zu Deinem "Hilfssheriff": wie schon genannt: AD-Gruppe Hilfsadmins erstellen, sein Konto rein und dann die Gruppe per GPO-Funktion "eingeschränkte Gruppen" in die lokalen Admingruppen aufnehmen. Nachtrag: Achtung: diese GPO natürlich nicht auf Servern zur Anwendung bringen, auf denen er nicht Admin sein darf.
hi!
Wir sind bald 8 (davon 3 Vollzeit Admins) für ~200 PCs + 15 Server im gesamten Unternehmen
und es kracht hinten und vorne.
SAP, Firewalls, ...
Website ist ein eigenes Team.
Ich bin der Meinung dass es massiv an der Automatisierung und Koordination scheitert. Drucker, Software, ... soweit wie möglich per GPO o.ä.. CAD Installation kannst du fast immer out-of-the-box scripten oder halt mit AutoIT o.ä.
Das ist halt mal ein Stunde, aber dann startest du das und es läuft durch und du musst nichts dabei tun - keine fehlkonfig ....
ninite.com auch sehr zu empfehlen
keine Bestandslisten per Excel die viel Arbeit machen und immer falsch sind - es gibt Tools ab 200€ die das super machen.
Damit komprimiert man die "einfachen" aber langwierigen Routine Aufgaben.
Win7 und XP Misch ist zach Office vermutlich auch noch ein durcheinander!?
ja, vieles über das ich mich ärgere, aber was ich damit sagen will: Organisation ist alles bei der IT!!! Dann müsst ihr euch nur mehr um die spannenden Ausnahmen kümmern
sg Dirm
Wir sind bald 8 (davon 3 Vollzeit Admins) für ~200 PCs + 15 Server im gesamten Unternehmen
und es kracht hinten und vorne.
SAP, Firewalls, ...
Website ist ein eigenes Team.
Ich bin der Meinung dass es massiv an der Automatisierung und Koordination scheitert. Drucker, Software, ... soweit wie möglich per GPO o.ä.. CAD Installation kannst du fast immer out-of-the-box scripten oder halt mit AutoIT o.ä.
Das ist halt mal ein Stunde, aber dann startest du das und es läuft durch und du musst nichts dabei tun - keine fehlkonfig ....
ninite.com auch sehr zu empfehlen
keine Bestandslisten per Excel die viel Arbeit machen und immer falsch sind - es gibt Tools ab 200€ die das super machen.
Damit komprimiert man die "einfachen" aber langwierigen Routine Aufgaben.
Win7 und XP Misch ist zach Office vermutlich auch noch ein durcheinander!?
ja, vieles über das ich mich ärgere, aber was ich damit sagen will: Organisation ist alles bei der IT!!! Dann müsst ihr euch nur mehr um die spannenden Ausnahmen kümmern
sg Dirm
Hi
wir sind mit 2 Admins und einem Azubi für 450 Clients, 40 Servern verteilt über 7 Standorte (EU & USA) zuständig. Wir haben im April eine Softwaredeployment inkl. OS Deployment eingeführt und alleine das OS Deployment für die Clients spart pro Monat ca. 40-60h ein, einfach PXE Boot an, Sprache auswählen und der Rest wird von selbst installiert und das Gerät landet ordentlich mit korrekten DNS Namen im AD.
Wir haben das Glück, das wir fast alles auf Windows 7 und Office 2010 haben (die XP und Office 2007 Rechner kann man einer Hand abzählen).
Kostengünstig aber mit vielen netten Features (Self-Service Portal usw.) ist Dell Kace oder matrix42 eine gute Wahl. Die bieten nebst der reinen Softwareinstallation auch ein Patchmanagement (inkl. automatischen Booten via WOL und anschließenden herunterfahren usw,).
Die Verwaltung der Mobilfunkkarten usw. machen wir alles über das Asset-Management der Kace, so haben wir auch eine Übersicht was der Kollege alles von uns erhalten hat
wir sind mit 2 Admins und einem Azubi für 450 Clients, 40 Servern verteilt über 7 Standorte (EU & USA) zuständig. Wir haben im April eine Softwaredeployment inkl. OS Deployment eingeführt und alleine das OS Deployment für die Clients spart pro Monat ca. 40-60h ein, einfach PXE Boot an, Sprache auswählen und der Rest wird von selbst installiert und das Gerät landet ordentlich mit korrekten DNS Namen im AD.
Wir haben das Glück, das wir fast alles auf Windows 7 und Office 2010 haben (die XP und Office 2007 Rechner kann man einer Hand abzählen).
Kostengünstig aber mit vielen netten Features (Self-Service Portal usw.) ist Dell Kace oder matrix42 eine gute Wahl. Die bieten nebst der reinen Softwareinstallation auch ein Patchmanagement (inkl. automatischen Booten via WOL und anschließenden herunterfahren usw,).
Die Verwaltung der Mobilfunkkarten usw. machen wir alles über das Asset-Management der Kace, so haben wir auch eine Übersicht was der Kollege alles von uns erhalten hat
Ist es nicht so, wenn ich eine Gruppe per GPO zu den lokalen Admin's hinzufüge, dass die vorhandene Gruppe der lokalen Admin überschrieben wird?
Jein. Es gibt zwei Konfigurationsmöglichkeiten, von denen die eine hinzuaddiert zu vorhandenen Admins und die andere wie von Dir beschrieben platt macht und dann hinzuaddiert.