Lokale Admin-Rechte für Firmenleitung?
Im Rahmen einer Aufräumaktion soll bestehenden Mitarbeiterkonten die lokalen Admin-Rechte entzogen werden - zum Mißfallen der Betroffenen
Hallo,
meine Frage ist weniger technischer, sondern eher (firmen)politischer Natur:
Einige leitende Mitarbeiter unseres Unternehmens (oberste und mittlere leitunsgebene) haben momentan lokale Admin-Rechte auf ihren Arbeits-PC. Andere möchten - wie zu erwarten - nun auch die gleichen Rechte haben wie XYZ ("Wieso kann ich keine Festplattendefragmentierung starten - Herr/Frau Sowieso kann das?").
Selbstredend möchte ich diesen Zustand ändern, aber erwartungsgemäß ist es sehr schwierig, die entsprechenden Leute davon zu überzeugen, daß ihr Konto besser über keine Admin-Rechte verfügen sollte. Die Entscheider sind leider auch z. T. selbst die betroffenen Vorstände/Mitarbeiter. Jeder möchte schließlich ohne zu fragen die tolle PC-Suite seines neuen Privathandys auf den Dienst-PC packen...
(Ich habe diesen Zustand nicht selbst verbockt, sondern die Domäne so übernommen und bin gerade am Aufräumen und Neustrukturieren. Besitzstände sind dabei schwer abzubauen.)
Ich bin gerade dabei, eine betriebsinterne Dienstanweisung vorzubereiten und zum Absegnen an den Vorstand zu geben, damit ich bei den ständigen Diskussionen mit Mitarbeitern etwas rechtlich Verbindliches in der Hinterhand habe.
Wie habt ihr dieses Problem (das sicherlich in jedem Unternehmen am Beginn mal auftaucht) als Admin gelöst? Vorstände/Leitungsmitarbeiter als lokale Admins tolerieren? Schriftliche Risikoentpflichtung für den Admin vorlegen und unterschreiben lassen? Stur bleiben und basta sagen?
Danke und Gruß, Guck
Hallo,
meine Frage ist weniger technischer, sondern eher (firmen)politischer Natur:
Einige leitende Mitarbeiter unseres Unternehmens (oberste und mittlere leitunsgebene) haben momentan lokale Admin-Rechte auf ihren Arbeits-PC. Andere möchten - wie zu erwarten - nun auch die gleichen Rechte haben wie XYZ ("Wieso kann ich keine Festplattendefragmentierung starten - Herr/Frau Sowieso kann das?").
Selbstredend möchte ich diesen Zustand ändern, aber erwartungsgemäß ist es sehr schwierig, die entsprechenden Leute davon zu überzeugen, daß ihr Konto besser über keine Admin-Rechte verfügen sollte. Die Entscheider sind leider auch z. T. selbst die betroffenen Vorstände/Mitarbeiter. Jeder möchte schließlich ohne zu fragen die tolle PC-Suite seines neuen Privathandys auf den Dienst-PC packen...
(Ich habe diesen Zustand nicht selbst verbockt, sondern die Domäne so übernommen und bin gerade am Aufräumen und Neustrukturieren. Besitzstände sind dabei schwer abzubauen.)
Ich bin gerade dabei, eine betriebsinterne Dienstanweisung vorzubereiten und zum Absegnen an den Vorstand zu geben, damit ich bei den ständigen Diskussionen mit Mitarbeitern etwas rechtlich Verbindliches in der Hinterhand habe.
Wie habt ihr dieses Problem (das sicherlich in jedem Unternehmen am Beginn mal auftaucht) als Admin gelöst? Vorstände/Leitungsmitarbeiter als lokale Admins tolerieren? Schriftliche Risikoentpflichtung für den Admin vorlegen und unterschreiben lassen? Stur bleiben und basta sagen?
Danke und Gruß, Guck
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 87932
Url: https://administrator.de/contentid/87932
Ausgedruckt am: 05.11.2024 um 08:11 Uhr
3 Kommentare
Neuester Kommentar
Hallo Guck,
War bis vor kurzem bei einem ziemlich grossen Internationalen unternehmen, da durfte teilweise nichtmla der Hintergrund vom Benutzer gewechselt werden, war aber alles schon so mit der Leitung abgesprochen. Hier ging es nicht anderes bzw. habe ich keine Lust gehbat dort irgendwas zu ändern, hätte eh kaum was gebracht.
Nun bin ich bei einer etwas kleineren Firma wo wir nicht so streng sind, aber adminrechte bekommt trotzdem keiner. Wenn er seine neue Handy-Umgebung braucht soll er sich rühren und wenn mal Zeit ist kann man sich drum kümmern, gibt ja wohl weit wichtigeres.
Du hast natürlich den schlauch weil du den Mist deines Vorgängers jetzt ausbaden kannst und dir den Unmut der "Fast-Admins" zuziehst, da sie bald keine Lustigen simley mehr in die Regs mahlen dürfen.
Ich würd dir empfehlen hart zu bleiben und dich ab und zu um einzelne SW-Installationen zu kümmern, ist meiner Meinung nach weniger Arbeit, als hinter jedem Herzuräumen udn Ruinen wieder Aufzubauen (Was haben Sie den genau gemacht? - Ich hab garnix gemacht, das geht einfach so nicht!)
Viel erfolg bei deinem Vorhaben und lass dich nicht von den Usern ärgern!
lg
Niko
War bis vor kurzem bei einem ziemlich grossen Internationalen unternehmen, da durfte teilweise nichtmla der Hintergrund vom Benutzer gewechselt werden, war aber alles schon so mit der Leitung abgesprochen. Hier ging es nicht anderes bzw. habe ich keine Lust gehbat dort irgendwas zu ändern, hätte eh kaum was gebracht.
Nun bin ich bei einer etwas kleineren Firma wo wir nicht so streng sind, aber adminrechte bekommt trotzdem keiner. Wenn er seine neue Handy-Umgebung braucht soll er sich rühren und wenn mal Zeit ist kann man sich drum kümmern, gibt ja wohl weit wichtigeres.
Du hast natürlich den schlauch weil du den Mist deines Vorgängers jetzt ausbaden kannst und dir den Unmut der "Fast-Admins" zuziehst, da sie bald keine Lustigen simley mehr in die Regs mahlen dürfen.
Ich würd dir empfehlen hart zu bleiben und dich ab und zu um einzelne SW-Installationen zu kümmern, ist meiner Meinung nach weniger Arbeit, als hinter jedem Herzuräumen udn Ruinen wieder Aufzubauen (Was haben Sie den genau gemacht? - Ich hab garnix gemacht, das geht einfach so nicht!)
Viel erfolg bei deinem Vorhaben und lass dich nicht von den Usern ärgern!
lg
Niko
geh doch einfach mal vom Worstcase aus: was ist das schlimmste, was passieren kann, weil jemand Adminrechte hat?
der Admin deaktiviert zwecks 'schnellerem Arbeiten' den Virenscanner -> ohne Nachzudenken wird ein unbekannter Mailanhang geöffnet -> ein Virus installiert sich:
-> der Rechner wird infiziert
-> Dokumente auf dem Server werden infiziert
-> der Virus verbreitet sich über Freigaben auf andere PCs weiter
-> der Virus verbreitet sich per Mail weiter (auch nach extern)
das böse Ergebnis: alle PCs und Server müssen auf Viren überprüft werden und ggfs. vom netz genommen oder sogar neuinstalliert werden -> extrem hoher zeitlicher Aufwand + Kosten für das Überprüfen + Kosten für den Ausfall der PCs + Kosten für die rumsitzenden Mitarbeiter, die nicht arbeiten können + Imageverlust des Unternehmens aufgrund der Virenmails + ...
dies würde ich dem Vorstand/Geschäftsführer mal so vor Augen halten, was im Worstcase so passieren kann und wenn die erstmal über die Kosten nachdenken, hast du sie ganz schnell auf deiner Seite
zudem würde ich alle Admins anschreiben, das sie dir doch mal erläutern sollen, wofür sie eigentlich die Adminrechte brauchen, denn theoretisch braucht keiner Adminrechte außer dir
bei uns ist es so, das Admins ein Schriftstück unterschreiben müssen, das wenn sie Adminrechte bekommen (da müssen schon sehr gute Gründe für vorliegen), sie im Zweifelsfall lediglich eine komplette Neuinstallation bekommen (geht schneller wie z.B. eine komplette Virenprüfung) und evtl. dadurch entstehende Kosten ihnen bzw. der Kostenstelle belastet werden können
kein Kostenstellerleiter sieht es bei uns gerne, wenn durch einen Möchtegern-Admin zusätzliche vermeidbare Kosten in der Abrechnung auftauchen
das Ergebnis daraus bei uns: es gibt hier weniger als 2% User, die Adminrechte habe und diese auch benötigen
der Admin deaktiviert zwecks 'schnellerem Arbeiten' den Virenscanner -> ohne Nachzudenken wird ein unbekannter Mailanhang geöffnet -> ein Virus installiert sich:
-> der Rechner wird infiziert
-> Dokumente auf dem Server werden infiziert
-> der Virus verbreitet sich über Freigaben auf andere PCs weiter
-> der Virus verbreitet sich per Mail weiter (auch nach extern)
das böse Ergebnis: alle PCs und Server müssen auf Viren überprüft werden und ggfs. vom netz genommen oder sogar neuinstalliert werden -> extrem hoher zeitlicher Aufwand + Kosten für das Überprüfen + Kosten für den Ausfall der PCs + Kosten für die rumsitzenden Mitarbeiter, die nicht arbeiten können + Imageverlust des Unternehmens aufgrund der Virenmails + ...
dies würde ich dem Vorstand/Geschäftsführer mal so vor Augen halten, was im Worstcase so passieren kann und wenn die erstmal über die Kosten nachdenken, hast du sie ganz schnell auf deiner Seite
zudem würde ich alle Admins anschreiben, das sie dir doch mal erläutern sollen, wofür sie eigentlich die Adminrechte brauchen, denn theoretisch braucht keiner Adminrechte außer dir
bei uns ist es so, das Admins ein Schriftstück unterschreiben müssen, das wenn sie Adminrechte bekommen (da müssen schon sehr gute Gründe für vorliegen), sie im Zweifelsfall lediglich eine komplette Neuinstallation bekommen (geht schneller wie z.B. eine komplette Virenprüfung) und evtl. dadurch entstehende Kosten ihnen bzw. der Kostenstelle belastet werden können
kein Kostenstellerleiter sieht es bei uns gerne, wenn durch einen Möchtegern-Admin zusätzliche vermeidbare Kosten in der Abrechnung auftauchen
das Ergebnis daraus bei uns: es gibt hier weniger als 2% User, die Adminrechte habe und diese auch benötigen