6436
06.01.2005, aktualisiert am 11.01.2009
15685
7
0
Hauptbenutzer unter Win2K-XP
Hi,
wir haben momentan Win2K/WinXP Rechner in einer Domäne und die jeweiligen Domänen-User haben lokale Adminrechte.
Nun erzählt alle Welt das es besser ist dies zu ändern, also den Usern die Adminrechte zu entziehen und besser Benutzer/Hauptbenutzerrechte zu geben.
Weiss jemand ein paar Info-Seiten wo man sich über Vor und Nachteile mal informieren kann? Mir ist der Nutzen nicht ganz klar. Für Office brauchen die User meines Erachtens mindestens Hauptbenutzerrechte um alles problemlos nutzen zu können, ich glaube manch andere Programme bei uns benötigen das auch. Mit Hauptbenutzerrechten können sich meistens trotzdem Trojaner installieren. Also wo ist der Nutzen? Was ist mit Spyware/Adware? Irgendwie ist das Thema ziemlich undurchsichtig für mich und ich weiss nicht wo ich ansetzen soll. Hat vielleicht jemand Erfahrung hiermit gemacht?
Danke und Gruß
Ralf
wir haben momentan Win2K/WinXP Rechner in einer Domäne und die jeweiligen Domänen-User haben lokale Adminrechte.
Nun erzählt alle Welt das es besser ist dies zu ändern, also den Usern die Adminrechte zu entziehen und besser Benutzer/Hauptbenutzerrechte zu geben.
Weiss jemand ein paar Info-Seiten wo man sich über Vor und Nachteile mal informieren kann? Mir ist der Nutzen nicht ganz klar. Für Office brauchen die User meines Erachtens mindestens Hauptbenutzerrechte um alles problemlos nutzen zu können, ich glaube manch andere Programme bei uns benötigen das auch. Mit Hauptbenutzerrechten können sich meistens trotzdem Trojaner installieren. Also wo ist der Nutzen? Was ist mit Spyware/Adware? Irgendwie ist das Thema ziemlich undurchsichtig für mich und ich weiss nicht wo ich ansetzen soll. Hat vielleicht jemand Erfahrung hiermit gemacht?
Danke und Gruß
Ralf
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5381
Url: https://administrator.de/contentid/5381
Ausgedruckt am: 26.11.2024 um 06:11 Uhr
7 Kommentare
Neuester Kommentar
Schau dir einfach die entsprechenden Passagen z.B. in folgendem Dokument an:
http://www.wiwi.uni-saarland.de/staff/kihu/pdf/sicherer_Betrieb_eines_N ...
Ansonsten ist noch http://www.theparallax.org/dcoul/user2root/ zu empfehlen, wobei es sich hier eher um die Situation unter Unix/Linux-Systemen dreht.
Gruß, Mupfel
http://www.wiwi.uni-saarland.de/staff/kihu/pdf/sicherer_Betrieb_eines_N ...
Ansonsten ist noch http://www.theparallax.org/dcoul/user2root/ zu empfehlen, wobei es sich hier eher um die Situation unter Unix/Linux-Systemen dreht.
Gruß, Mupfel
Generell kann man sagen:
Der lokale Administrator darf lokal ALLES
Der Hauptbenutzer darf in gewissen Umfang installieren (sofern keine Systemdateien geändert werden)
Der Benutzer hat keinen Schreibzugriff auf die entspr. Bereiche der Registry und auf dss Programmverzeichnis
http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Wer_darf_was.ht ...
http://www.microsoft.com/germany/technet/datenbank/articles/600088.mspx
http://www.microsoft.com/germany/technet/datenbank/articles/600089.mspx
http://www.microsoft.com/germany/ms/security/guidance/modules/secmod223 ...
Der lokale Administrator darf lokal ALLES
Der Hauptbenutzer darf in gewissen Umfang installieren (sofern keine Systemdateien geändert werden)
Der Benutzer hat keinen Schreibzugriff auf die entspr. Bereiche der Registry und auf dss Programmverzeichnis
http://www.gruppenrichtlinien.de/index.html?/Grundlagen/Wer_darf_was.ht ...
http://www.microsoft.com/germany/technet/datenbank/articles/600088.mspx
http://www.microsoft.com/germany/technet/datenbank/articles/600089.mspx
http://www.microsoft.com/germany/ms/security/guidance/modules/secmod223 ...
Danke an Alle. Werde mich mal umsehen.
Du schreibst, der nutzen ist dir unklar, dann versuche ich diesen mal zu erklären:
Du gehst von einigen falschannahmen aus, beispielweise brauche ich für Office keinen Hauptbenutzer. Ganz normale Benutzerrechte reichen. Auch gibt es in der klassischen Domäne eigentlich den Hauptbenutzer gar nicht. Dies kommt mehr aus der Clientschiene bzw. aus Arbeitsgruppen.
Nachteil gibt es eigentlich nur zwei:
1. Manche Software läuft nicht ohne Adminrechte, da hilft nicht mal der Hauptbenutzer. Diese solltst du sowieso meiden, denn diese Software ist schlecht programmiert und ist of ein Grund für instabilität.
2. Es ist zugegebenweise bezüglich Installation oder bestimmten Einstellungen etwas unbequem. Der Benutzer kann nicht einfach jeden Mist installieren, sondern muß sich erst an den Admin wenden.
Die Vorteile sind sehr vielseitig:
1. Viren und Trojander tuen sich wesentlich schwerer.
2. Du kannst eine saubere Rechteverwaltung aufbauen, denn normalerweise sollte nicht jeder User im Netz alles dürfen.
3. Fehler und Fehlerquellen können eingegrenzt werden, da der DAU vor dem PC nicht viele Möglichkeiten hat. Auch innerhalb des Netzes und bezüglich der Software können im laufenden Betrieb Fehlerquellen ausgeschlossen werden. (Dafür muß man sich bei der Installation mancher Software etwas mehr Zeit nehmen).
4. Ein Netz wird hierdurch erst sauber, klar struktuiert, sicher und stabil.
Du gehst von einigen falschannahmen aus, beispielweise brauche ich für Office keinen Hauptbenutzer. Ganz normale Benutzerrechte reichen. Auch gibt es in der klassischen Domäne eigentlich den Hauptbenutzer gar nicht. Dies kommt mehr aus der Clientschiene bzw. aus Arbeitsgruppen.
Nachteil gibt es eigentlich nur zwei:
1. Manche Software läuft nicht ohne Adminrechte, da hilft nicht mal der Hauptbenutzer. Diese solltst du sowieso meiden, denn diese Software ist schlecht programmiert und ist of ein Grund für instabilität.
2. Es ist zugegebenweise bezüglich Installation oder bestimmten Einstellungen etwas unbequem. Der Benutzer kann nicht einfach jeden Mist installieren, sondern muß sich erst an den Admin wenden.
Die Vorteile sind sehr vielseitig:
1. Viren und Trojander tuen sich wesentlich schwerer.
2. Du kannst eine saubere Rechteverwaltung aufbauen, denn normalerweise sollte nicht jeder User im Netz alles dürfen.
3. Fehler und Fehlerquellen können eingegrenzt werden, da der DAU vor dem PC nicht viele Möglichkeiten hat. Auch innerhalb des Netzes und bezüglich der Software können im laufenden Betrieb Fehlerquellen ausgeschlossen werden. (Dafür muß man sich bei der Installation mancher Software etwas mehr Zeit nehmen).
4. Ein Netz wird hierdurch erst sauber, klar struktuiert, sicher und stabil.
1. Manche Software läuft nicht ohne
Adminrechte, da hilft nicht mal der
Hauptbenutzer. Diese solltst du sowieso
meiden, denn diese Software ist schlecht
programmiert und ist of ein Grund für
instabilität.
Adminrechte, da hilft nicht mal der
Hauptbenutzer. Diese solltst du sowieso
meiden, denn diese Software ist schlecht
programmiert und ist of ein Grund für
instabilität.
Es gibt aber auch im täglichen Leben diverser Branchen Programme, für die es keine entsprechenden Alternativen gibt, die "sauber" programmiert sind. Hier hilft dann nur harte Kleinarbeit, mit der man die Registry und das Filesystem entsprechend "aufbohrt", um ein problemloses Arbeiten mit der Software zu ermöglichen.
Gruß, Mupfel
@7217....
das ist richtig....fürs generelle gibt es die Ausnahme.... aber leider ist es ja heute so, daß jeder mist auf die Rechner installiert wird und die Benutzer sich dann wundern, warum die Rechner instabil sind oder so langsam laufen.....
das ist richtig....fürs generelle gibt es die Ausnahme.... aber leider ist es ja heute so, daß jeder mist auf die Rechner installiert wird und die Benutzer sich dann wundern, warum die Rechner instabil sind oder so langsam laufen.....
wir lösen sowas mit runasspc
Unsere Anwender können Software die ich freigeschalten hab unter lokaler Admin Kennung ausführen ohne das Admin Passwort zu Kennen.
Die Lösung ist ziemlich einfach und das Tool ist auch einfach zu Handhaben.
http://robotronic.de/runasspc.html
Unsere Anwender können Software die ich freigeschalten hab unter lokaler Admin Kennung ausführen ohne das Admin Passwort zu Kennen.
Die Lösung ist ziemlich einfach und das Tool ist auch einfach zu Handhaben.
http://robotronic.de/runasspc.html
