kesselsepp
Goto Top

USB Stick mit Adminrechten - Netzwerk-Admin

Hallo zusammen,

wir haben ein Netzwerk und viele Nutzer, einer ist natürlich der Admin.
Ich würde gerne einen Stick erstellen, den man reinsteckt, der das Adminpasswort ersetzt, um Programme zu installieren auch wenn der Administrator nicht im Haus ist.
Ist das möglich?

Content-Key: 3855833925

Url: https://administrator.de/contentid/3855833925

Ausgedruckt am: 26.09.2022 um 11:09 Uhr

Mitglied: Looser27
Looser27 06.09.2022 um 13:32:19 Uhr
Goto Top
Moin,

die Lösung, die Du suchst, nennt sich lokaler Admin-Account. Wurde diese Woche schon mehrmals gefragt.

Gruß

Looser
Mitglied: DerMaddin
Lösung DerMaddin 06.09.2022 um 14:05:03 Uhr
Goto Top
Ich denke, er meint einen USB-Stick den man statt eines Usernamen und Passwortes nutzen kann. Ich vermute mal sowas: https://support.microsoft.com/en-us/account-billing/set-up-a-security-ke ...

Ob das auch in einer lokalen Domäne umsetzbar ist, muss ich passen. Wenn es klappt, dann ist dieser USB-Stick aber wie ein offen liegender Generalschlüssel für alle Computer!
Mitglied: Looser27
Looser27 06.09.2022 um 14:24:06 Uhr
Goto Top
Wenn es klappt, dann ist dieser USB-Stick aber wie ein offen liegender Generalschlüssel für alle Computer!

Genau aus dem Grund würde ich mich weigern, sowas umzusetzen.

Besser ist es hier, wenn eine kleine (!) Gruppe User per Anweisung authorisiert wird Software zu installieren, sollte der Admin nicht im Hause sein. Denen wird dann das Passwort gegeben.
Sollte dieses kompromittiert werden, kann man das fix erneuern. Oder nach jeder Benutzung durch Nicht-Admins.

Gruß

Looser
Mitglied: NordicMike
NordicMike 06.09.2022 um 14:24:09 Uhr
Goto Top
USB Sticks lassen sich so toll kopieren...

Warum nicht über LAPS? (Temporäre Admin Kennwörter mit Ablaufdatum)
Mitglied: DerMaddin
DerMaddin 06.09.2022 um 14:43:28 Uhr
Goto Top
Zitat von @NordicMike:
Warum nicht über LAPS? (Temporäre Admin Kennwörter mit Ablaufdatum)

Und wer soll diese dem Anwender mitteilen, wenn der Admin nicht da ist? Ich denke eher, dass das hier kein technisches sondern organisatorisches Problem ist. Scheinbar steht und fällt alles mit dem einen Admin.
Mitglied: Looser27
Looser27 06.09.2022 um 14:46:55 Uhr
Goto Top
Scheinbar steht und fällt alles mit dem einen Admin.

Das ist in KMU-Umgebungen völlig normal. Daher die Anregung von mir oben....
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 06.09.2022 um 15:56:47 Uhr
Goto Top
Moin,

Die "Sticklösung" ist keine gute Idee. Sinnvolelr wäre es, eine Admin-Vertretung einzurichten und dem vertreter zeuitweilige Adminrechte zu geben, d.h ein zweites Admin-konto, auf das der vertreter nur während der Abwesenheit des primären Admins zugriff hat.

bei der "§Sticklösung" kann man auch gleich jedem Benutzer Adminrechte geben.

lks
Mitglied: DerWoWusste
DerWoWusste 06.09.2022 um 16:05:45 Uhr
Goto Top
Sicherheitsbedenken aller Art beiseite: natürlich kann man einen Sticklogin ermöglichen. Rohos verkauft sowas https://www.rohos.net/produkte/rohos-logon-key-kostenlos/ oder auch https://www.id-logon.com/id-logon/
Mitglied: maretz
maretz 06.09.2022 um 17:09:39 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Moin,

Die "Sticklösung" ist keine gute Idee. Sinnvolelr wäre es, eine Admin-Vertretung einzurichten und dem vertreter zeuitweilige Adminrechte zu geben, d.h ein zweites Admin-konto, auf das der vertreter nur während der Abwesenheit des primären Admins zugriff hat.

bei der "§Sticklösung" kann man auch gleich jedem Benutzer Adminrechte geben.

lks

Naja - ich würde sogar dem zweiten Admin permanent die möglichkeit lassen - da es ja eh beim Anmelden protokolliert wird. Nur: Is ja blöd wenn der erste Admin heute beim fahrradfahren auf die Nase fällt und mit gebrochenen Gräten im Krankenhaus liegt. Da ist dann blöd mit "2ten Admin freischalten"...
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 06.09.2022 aktualisiert um 17:14:40 Uhr
Goto Top
Zitat von @maretz:

Zitat von @Lochkartenstanzer:

Moin,

Die "Sticklösung" ist keine gute Idee. Sinnvolelr wäre es, eine Admin-Vertretung einzurichten und dem vertreter zeuitweilige Adminrechte zu geben, d.h ein zweites Admin-konto, auf das der vertreter nur während der Abwesenheit des primären Admins zugriff hat.

bei der "§Sticklösung" kann man auch gleich jedem Benutzer Adminrechte geben.

lks

Naja - ich würde sogar dem zweiten Admin permanent die möglichkeit lassen - da es ja eh beim Anmelden protokolliert wird. Nur: Is ja blöd wenn der erste Admin heute beim fahrradfahren auf die Nase fällt und mit gebrochenen Gräten im Krankenhaus liegt. Da ist dann blöd mit "2ten Admin freischalten"...

Dafür kann man einen versiegeleten Umschag im Safe deponieren, auf dem die credentials für einen "Notfalladmin" stehen.


lks
Mitglied: maretz
maretz 06.09.2022 um 17:34:42 Uhr
Goto Top
Naja - ich würde sogar dem zweiten Admin permanent die möglichkeit lassen - da es ja eh beim Anmelden protokolliert wird. Nur: Is ja blöd wenn der erste Admin heute beim fahrradfahren auf die Nase fällt und mit gebrochenen Gräten im Krankenhaus liegt. Da ist dann blöd mit "2ten Admin freischalten"...

Dafür kann man einen versiegeleten Umschag im Safe deponieren, auf dem die credentials für einen "Notfalladmin" stehen.


lks

klar kann man das machen... was bedeutet dann macht _irgendwer_ den auf weil grad benötigt und am Ende ist das leider auch die Person die den (versehentlich) dann auf dem Schreibtisch liegen lässt... Oder ich habe von Anfang an eine Person bei der ich eben auch ein gewisses Vertrauen habe und die Sache ist durch...

Wobei jeder Weg seine Vor- und Nachteile hat... Am ende muss es jeder für sich entscheiden. Denn natürlich ist es blöd wenn beide Admins bei der gemeinsamen Fahrradtour vom Auto mitgenommen werden ;) DA ist der Umschlag dann besser...
Mitglied: commodity
commodity 06.09.2022 um 22:44:13 Uhr
Goto Top
Die Geschäftsleitung hat doch wohl immer alle Passwörter und die Dokumentation - auf aktuellem Stand. Und weiß, wie sie ran kommt. Dabei hilft der freundliche Admin doch auch gern. Muss die Geschäftsleitung natürlich organisieren. Alles andere wäre ja grob fahrlässig und würde im Schadensfalle fraglos den verantwortlichen Geschäftsleiter treffen. Beim Einzelunternehmen dann seine Sache allein - ansonsten droht der Regress seitens der Gesellschafter. Ein umsichtiger Admin bringt seiner (selbstverständlich desinteressierten) Geschäftsleitung das bei.

Ein Stick wäre mir auch zu gruselig, aber gegen ein sicher verwahrtes Passwort ist im Kleinbetrieb nichts einzuwenden. Besser ist natürlich ein Yubikey o.ä., womit sowohl Lokal als auch im AD (hier spart der TO mit Details) der Zugang abgesichert werden kann.

Wenn es nur um einzelne Installationen geht, hat der Kollege @Looser27 oben schon alles gesagt. Man sollte sich aber bewusst machen, dass es um mehr geht (s. erster Absatz).

Viele Grüße, commodity
Mitglied: kpunkt
kpunkt 07.09.2022 um 07:25:50 Uhr
Goto Top
Zitat von @Looser27:

Besser ist es hier, wenn eine kleine (!) Gruppe User per Anweisung authorisiert wird Software zu installieren, sollte der Admin nicht im Hause sein.

Klappt meiner Erfahrung nicht im realen Leben.
Du musst ja oft schon jemanden suchen, der gewillt ist für andere etwas zu installieren. Naja und können muss derjenige das dann auch. Meistens wills ja nur jeder für sich selber machen.

Ich persönlich seh da nur folgende Lösungen: entweder da gibts eine IT-Abteilung mit mehr als einer Person oder es hängt ein Systemhaus hinten dran.
Das genaue wie entscheidet aber der Kostenfaktor.

Ich stell mir da eher die Frage in den Prozessen, wie es dazu kommt, dass User etwas installieren müssten.
Mitglied: Freak-On-Silicon
Freak-On-Silicon 07.09.2022 um 09:28:55 Uhr
Goto Top
Also ich habe auf den Clients per GPO eine Gruppe "LokaleAdmins" zu der Gruppe Administratoren hinzugefügt.

Somit kann ich im AD sehr schnell und genau LokaleAdmin Rechte bestimmten Usern geben.
Grundsätzlich ist diese Gruppe leer.
Mitglied: NordicMike
NordicMike 07.09.2022 um 10:17:03 Uhr
Goto Top
entweder da gibts eine IT-Abteilung mit mehr als einer Person oder es hängt ein Systemhaus hinten dran.

Genau so und nicht anders.

Wenn der Single Point of Failure ausfällt, steht dann halt auch "alles".

Die zwei einzigen Geheimnisträger der Coca Cola Rezeptur dürfen aus diesem Grund auch niemals ein gemeinsames Flugzeug besteigen.
Mitglied: goscho
goscho 07.09.2022 um 10:27:55 Uhr
Goto Top
Zitat von @NordicMike:
Die zwei einzigen Geheimnisträger der Coca Cola Rezeptur dürfen aus diesem Grund auch niemals ein gemeinsames Flugzeug besteigen.
Das Rezept wird in einem Safe in einer Bank aufbewahrt.

BTT: Der Vorschlag von @kpunkt ist auch aus meiner Sicht der beste.
Mitglied: NordicMike
NordicMike 07.09.2022 um 10:31:19 Uhr
Goto Top
Das Rezept wird in einem Safe in einer Bank aufbewahrt.
Jup, und nur die zwei Chefs können das Safe öffenen.
Mitglied: kpunkt
kpunkt 07.09.2022 um 10:52:44 Uhr
Goto Top
Zitat von @NordicMike:

Das Rezept wird in einem Safe in einer Bank aufbewahrt.
Jup, und nur die zwei Chefs können das Safe öffenen.

Das ist eine urban legend, die Coca Cola mal selber als Werbung in die Welt gesetzt hat. Weder sind es nur zwei Personen, noch gibt es nur ein Rezept, noch werden diese an einem einzigen Ort aufbewahrt.
Das ist insgesamt schon logistisch nicht möglich.
Mitglied: kesselsepp
kesselsepp 07.09.2022 um 11:36:44 Uhr
Goto Top
Ich bedanke mich bei euch allen für die Hilfe. Das ist immer noch eine denkbare Lösung für mein Problem, allerdings hat es mich schon sehr zum Nachdenken gebracht!
Ich werde tatsächlich das Gesamtkonzept nochmal überdenken.
Mitglied: Saftnase
Saftnase 12.09.2022 um 11:34:16 Uhr
Goto Top
Ich kenne auch das Rezept für Cola: Wasser + die gleiche Menge Zucker und etwas klebriger brauner Sirup (Hauptbestandteil ebenfalls Zucker).

Aber vielleicht solltest du auch die Lösung aus den Kindertagen der IT anwenden. (Adminpasswort einfach mit Postit unter die Admin Tastatur kleben. Ist fast genauso sicher wie der Stick oder die Safelösung.