5
Mitarbeiter Software installieren lassen. Wie kann man das beschränken?
Hallo,
wir sitzen hier vor einem größerem Dilemma.
Wir haben viele Mitarbeiter die mit ihren Laptops außer Haus bei Kunden arbeiten.
Dort kann es vorkommen das sie sich Software installieren müssen oder Treiber für z.B. Drucker.
Nun wollen wir nicht wegen jeder Kleinigkeit angerufen werden und uns remote raufschalten um das Admin Passwort einzugeben.
Wenn wir den Usern aber Admin-Rechte geben, installieren die sich wieder jeden Blödsinn ohne auf die AGBs zu achten und handeln sich unter Umständen eine Strafe ein wegen Softwarebenutzung in Unternehmen anstatt privat.
Gibt es da eine Software die den Laptop auf einen festen Imagepunkt zurück setzt sobald die Geräte wieder im Unternehmen sind und alle Änderungen somit wieder weg sind? So brauchen wir keine Angst haben das ein Virenverseuchter Laptop das Netzwerk und die Server lahm legt.
Eins vorweg, ja diese Installationen müssen erlaubt sein. Und da kann es auch mal nachts um 2 Uhr sein.
Vielen Dank für eure Antworten
Robert
wir sitzen hier vor einem größerem Dilemma.
Wir haben viele Mitarbeiter die mit ihren Laptops außer Haus bei Kunden arbeiten.
Dort kann es vorkommen das sie sich Software installieren müssen oder Treiber für z.B. Drucker.
Nun wollen wir nicht wegen jeder Kleinigkeit angerufen werden und uns remote raufschalten um das Admin Passwort einzugeben.
Wenn wir den Usern aber Admin-Rechte geben, installieren die sich wieder jeden Blödsinn ohne auf die AGBs zu achten und handeln sich unter Umständen eine Strafe ein wegen Softwarebenutzung in Unternehmen anstatt privat.
Gibt es da eine Software die den Laptop auf einen festen Imagepunkt zurück setzt sobald die Geräte wieder im Unternehmen sind und alle Änderungen somit wieder weg sind? So brauchen wir keine Angst haben das ein Virenverseuchter Laptop das Netzwerk und die Server lahm legt.
Eins vorweg, ja diese Installationen müssen erlaubt sein. Und da kann es auch mal nachts um 2 Uhr sein.
Vielen Dank für eure Antworten
Robert
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 307030
Url: https://administrator.de/contentid/307030
Ausgedruckt am: 23.11.2024 um 11:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo Robert,
1. AGB nicht AGBs
1.1. in dem Fall greifen keine AGB, sind doch Mitarbeiter von euch?
2. Imagingsoftware gibt es wie Sand am Meer, such dir eine davon aus
3. Wenn ein Aussendienstmitarbeiter meinen Drucker nutzt finde ich das schon komisch
3.1 Wenn er diesen Druckertreiber jedes mal neu installiert (bspw) fände ich das noch komischer - meine Zeit ist doch kostbar.
So far...desweiteren fehlen Infos wie was für ein System, wie viele Devices usw usf.
VG
1. AGB nicht AGBs
1.1. in dem Fall greifen keine AGB, sind doch Mitarbeiter von euch?
2. Imagingsoftware gibt es wie Sand am Meer, such dir eine davon aus
3. Wenn ein Aussendienstmitarbeiter meinen Drucker nutzt finde ich das schon komisch
3.1 Wenn er diesen Druckertreiber jedes mal neu installiert (bspw) fände ich das noch komischer - meine Zeit ist doch kostbar.
So far...desweiteren fehlen Infos wie was für ein System, wie viele Devices usw usf.
VG
Hi Robert,
schon mal überlegt den Usern eine virtuelle Umgebung auf den Maschinen zur Verfügung zu stellen? Das macht für die Treiber natürlich keinen Sinn, aber evtl für die Software.
Da du vom Admin sprichst, gehe ich von Windows System aus. Die verwendete Version wäre noch nützlich.
Von welchen Programmen reden wir hier? Ist es Software, die es auch als portable Version gibt? Dann wäre eine Installation nicht nötig.
Oder ist es etwas handfesteres?
VG Gahmuret
schon mal überlegt den Usern eine virtuelle Umgebung auf den Maschinen zur Verfügung zu stellen? Das macht für die Treiber natürlich keinen Sinn, aber evtl für die Software.
Da du vom Admin sprichst, gehe ich von Windows System aus. Die verwendete Version wäre noch nützlich.
Von welchen Programmen reden wir hier? Ist es Software, die es auch als portable Version gibt? Dann wäre eine Installation nicht nötig.
Oder ist es etwas handfesteres?
VG Gahmuret
Hallo,
wenn zu mir ein Außendienstmitarbeiter kommt und bei dem Gespräch fragt, ob er denn seinen Laptop in mein Firmen-Netz hängen darf; er muß mir etwas ausdrucken, würde ich ihn ziehmlich schief anschauen! Es reicht doch, wenn ich ihm ein Gäste-WLAN zur Verfügung stelle. Wenn er drucken muß, soll er seinen Drucker gefälligst installiert mitbringen!
Es gibt batteriebetriebene modile A4-Drucker und entsprechende Laptop-Koffer, wo das alles vorinstalliert ist.
Jürgen
PS: Unsere Monteure haben so etwas jedenfalls auf ihren Werkstattwagen und drucken damit die Arbeitsscheine und gegebenenfalls Rechnungen aus.
wenn zu mir ein Außendienstmitarbeiter kommt und bei dem Gespräch fragt, ob er denn seinen Laptop in mein Firmen-Netz hängen darf; er muß mir etwas ausdrucken, würde ich ihn ziehmlich schief anschauen! Es reicht doch, wenn ich ihm ein Gäste-WLAN zur Verfügung stelle. Wenn er drucken muß, soll er seinen Drucker gefälligst installiert mitbringen!
Es gibt batteriebetriebene modile A4-Drucker und entsprechende Laptop-Koffer, wo das alles vorinstalliert ist.
Jürgen
PS: Unsere Monteure haben so etwas jedenfalls auf ihren Werkstattwagen und drucken damit die Arbeitsscheine und gegebenenfalls Rechnungen aus.
Hallo Robert,
Du solltest evtl. mal eine IT-Strategie definieren bzw. Dich dahingehend beraten lassen - aktuell ist Dein Unternehmen nämlich ungesteuert. Der wichtigste Punkt ist, dass Du überhaupt die Richtung kennst, in die Du willst. Aktuell willst Du zwar managed Clients einsetzen, den Mitarbeitern aber vollständige und ungesteuerte Kontrolle bei Bedarf ("Installationen müssen erlaubt sein. Und da kann es auch mal nachts um 2 Uhr sein") zugestehen.
Das funktioniert nicht.
Es gibt - grob beschrieben - die folgenden Szenarien:
Dein Unternehmen stellt einen managed Client zur Verfügung. Die Verwaltung passiert allein durch die Unternehmens-IT. Definierte (!) Anwendungen können vom Administreator bei Bedarf, über Remote Deployment (Microsoft Intune, Baramundi, System Center usw.) oder von mir aus per GPO oder Skripten verteilt werden. Der Anwender fordert an, die IT macht.
Oder die Mitarbeiter haben vollständige Kontrolle über Ihr Endgerät (man nennt es "Bring Your Own Device", BYOD). Anwendungen stellt Du z.B. übner ein RemoteApp-Portal bereit, aus Azure RemoteApp oder egal wie - hauptsache isoliert vom Endgerät, welches Du in diesem Fall grundsätzlich als "Feind" betrachten musst.
Du könntest auch einen virtuellen Desktop bereitstellen oder oder oder. Aber entscheide Dich für eine IT-Strategie.
Du solltest evtl. mal eine IT-Strategie definieren bzw. Dich dahingehend beraten lassen - aktuell ist Dein Unternehmen nämlich ungesteuert. Der wichtigste Punkt ist, dass Du überhaupt die Richtung kennst, in die Du willst. Aktuell willst Du zwar managed Clients einsetzen, den Mitarbeitern aber vollständige und ungesteuerte Kontrolle bei Bedarf ("Installationen müssen erlaubt sein. Und da kann es auch mal nachts um 2 Uhr sein") zugestehen.
Das funktioniert nicht.
Es gibt - grob beschrieben - die folgenden Szenarien:
Dein Unternehmen stellt einen managed Client zur Verfügung. Die Verwaltung passiert allein durch die Unternehmens-IT. Definierte (!) Anwendungen können vom Administreator bei Bedarf, über Remote Deployment (Microsoft Intune, Baramundi, System Center usw.) oder von mir aus per GPO oder Skripten verteilt werden. Der Anwender fordert an, die IT macht.
Oder die Mitarbeiter haben vollständige Kontrolle über Ihr Endgerät (man nennt es "Bring Your Own Device", BYOD). Anwendungen stellt Du z.B. übner ein RemoteApp-Portal bereit, aus Azure RemoteApp oder egal wie - hauptsache isoliert vom Endgerät, welches Du in diesem Fall grundsätzlich als "Feind" betrachten musst.
Du könntest auch einen virtuellen Desktop bereitstellen oder oder oder. Aber entscheide Dich für eine IT-Strategie.
Moin Robert,
a) gibt es Lösungen, um Adminrechte nur für bestimmte Aktionen, mit Challenge-Response etc. zu erteilen und dann entsprechend alles mitzuloggen - natürlich lässt sich darüber streiten, wie sicher das ganze jemals sein kann, aber Software wie Avecto Privilege Management (früher wohl Avecto Privilege Guard) wird auch in großen Unternehmen (>150.000) Mitarbeiter erfolgreich eingesetzt; bei dem UN das ich kenne werden die Logs auch regelmäßig geprüft, und das reicht meist schon damit die Mitarbeiter keinen Mist machen.
b) Es gibt Software, die hauptsächlich in Schulen eingesetzt wird, die zu bestimmten Zeiten oder nach jedem Neustart den Rechner zurücksetzen, z.B. DKS Drive. Wenn man dann aber jedes Mal den Druckertreiber für den Konferenzraum / Business Center-Drucker oder des Heimbüros neu installieren muss, wird das sicherlich schnell zu Frustration bei deinen Mitarbeitern führen - der Ansatz ist daher mMn eher nicht so geschickt.
Viele Grüße
eagle2
a) gibt es Lösungen, um Adminrechte nur für bestimmte Aktionen, mit Challenge-Response etc. zu erteilen und dann entsprechend alles mitzuloggen - natürlich lässt sich darüber streiten, wie sicher das ganze jemals sein kann, aber Software wie Avecto Privilege Management (früher wohl Avecto Privilege Guard) wird auch in großen Unternehmen (>150.000) Mitarbeiter erfolgreich eingesetzt; bei dem UN das ich kenne werden die Logs auch regelmäßig geprüft, und das reicht meist schon damit die Mitarbeiter keinen Mist machen.
b) Es gibt Software, die hauptsächlich in Schulen eingesetzt wird, die zu bestimmten Zeiten oder nach jedem Neustart den Rechner zurücksetzen, z.B. DKS Drive. Wenn man dann aber jedes Mal den Druckertreiber für den Konferenzraum / Business Center-Drucker oder des Heimbüros neu installieren muss, wird das sicherlich schnell zu Frustration bei deinen Mitarbeitern führen - der Ansatz ist daher mMn eher nicht so geschickt.
Viele Grüße
eagle2
