20
USB Stick mit Adminrechten - Netzwerk-Admin
Hallo zusammen,
wir haben ein Netzwerk und viele Nutzer, einer ist natürlich der Admin.
Ich würde gerne einen Stick erstellen, den man reinsteckt, der das Adminpasswort ersetzt, um Programme zu installieren auch wenn der Administrator nicht im Haus ist.
Ist das möglich?
wir haben ein Netzwerk und viele Nutzer, einer ist natürlich der Admin.
Ich würde gerne einen Stick erstellen, den man reinsteckt, der das Adminpasswort ersetzt, um Programme zu installieren auch wenn der Administrator nicht im Haus ist.
Ist das möglich?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3855833925
Url: https://administrator.de/contentid/3855833925
Printed on: April 26, 2024 at 04:04 o'clock
20 Comments
Latest comment
Moin,
die Lösung, die Du suchst, nennt sich lokaler Admin-Account. Wurde diese Woche schon mehrmals gefragt.
Gruß
Looser
die Lösung, die Du suchst, nennt sich lokaler Admin-Account. Wurde diese Woche schon mehrmals gefragt.
Gruß
Looser
1
Ich denke, er meint einen USB-Stick den man statt eines Usernamen und Passwortes nutzen kann. Ich vermute mal sowas: https://support.microsoft.com/en-us/account-billing/set-up-a-security-ke ...
Ob das auch in einer lokalen Domäne umsetzbar ist, muss ich passen. Wenn es klappt, dann ist dieser USB-Stick aber wie ein offen liegender Generalschlüssel für alle Computer!
Ob das auch in einer lokalen Domäne umsetzbar ist, muss ich passen. Wenn es klappt, dann ist dieser USB-Stick aber wie ein offen liegender Generalschlüssel für alle Computer!
1Wenn es klappt, dann ist dieser USB-Stick aber wie ein offen liegender Generalschlüssel für alle Computer!
Genau aus dem Grund würde ich mich weigern, sowas umzusetzen.
Besser ist es hier, wenn eine kleine (!) Gruppe User per Anweisung authorisiert wird Software zu installieren, sollte der Admin nicht im Hause sein. Denen wird dann das Passwort gegeben.
Sollte dieses kompromittiert werden, kann man das fix erneuern. Oder nach jeder Benutzung durch Nicht-Admins.
Gruß
Looser
USB Sticks lassen sich so toll kopieren...
Warum nicht über LAPS? (Temporäre Admin Kennwörter mit Ablaufdatum)
Warum nicht über LAPS? (Temporäre Admin Kennwörter mit Ablaufdatum)
2Und wer soll diese dem Anwender mitteilen, wenn der Admin nicht da ist? Ich denke eher, dass das hier kein technisches sondern organisatorisches Problem ist. Scheinbar steht und fällt alles mit dem einen Admin.
1 Scheinbar steht und fällt alles mit dem einen Admin.
Das ist in KMU-Umgebungen völlig normal. Daher die Anregung von mir oben....
Moin,
Die "Sticklösung" ist keine gute Idee. Sinnvolelr wäre es, eine Admin-Vertretung einzurichten und dem vertreter zeuitweilige Adminrechte zu geben, d.h ein zweites Admin-konto, auf das der vertreter nur während der Abwesenheit des primären Admins zugriff hat.
bei der "§Sticklösung" kann man auch gleich jedem Benutzer Adminrechte geben.
lks
Die "Sticklösung" ist keine gute Idee. Sinnvolelr wäre es, eine Admin-Vertretung einzurichten und dem vertreter zeuitweilige Adminrechte zu geben, d.h ein zweites Admin-konto, auf das der vertreter nur während der Abwesenheit des primären Admins zugriff hat.
bei der "§Sticklösung" kann man auch gleich jedem Benutzer Adminrechte geben.
lks
1
Sicherheitsbedenken aller Art beiseite: natürlich kann man einen Sticklogin ermöglichen. Rohos verkauft sowas https://www.rohos.net/produkte/rohos-logon-key-kostenlos/ oder auch https://www.id-logon.com/id-logon/
2
Zitat von @Lochkartenstanzer:
Moin,
Die "Sticklösung" ist keine gute Idee. Sinnvolelr wäre es, eine Admin-Vertretung einzurichten und dem vertreter zeuitweilige Adminrechte zu geben, d.h ein zweites Admin-konto, auf das der vertreter nur während der Abwesenheit des primären Admins zugriff hat.
bei der "§Sticklösung" kann man auch gleich jedem Benutzer Adminrechte geben.
lks
Moin,
Die "Sticklösung" ist keine gute Idee. Sinnvolelr wäre es, eine Admin-Vertretung einzurichten und dem vertreter zeuitweilige Adminrechte zu geben, d.h ein zweites Admin-konto, auf das der vertreter nur während der Abwesenheit des primären Admins zugriff hat.
bei der "§Sticklösung" kann man auch gleich jedem Benutzer Adminrechte geben.
lks
Naja - ich würde sogar dem zweiten Admin permanent die möglichkeit lassen - da es ja eh beim Anmelden protokolliert wird. Nur: Is ja blöd wenn der erste Admin heute beim fahrradfahren auf die Nase fällt und mit gebrochenen Gräten im Krankenhaus liegt. Da ist dann blöd mit "2ten Admin freischalten"...
Zitat von @maretz:
Naja - ich würde sogar dem zweiten Admin permanent die möglichkeit lassen - da es ja eh beim Anmelden protokolliert wird. Nur: Is ja blöd wenn der erste Admin heute beim fahrradfahren auf die Nase fällt und mit gebrochenen Gräten im Krankenhaus liegt. Da ist dann blöd mit "2ten Admin freischalten"...
Zitat von @Lochkartenstanzer:
Moin,
Die "Sticklösung" ist keine gute Idee. Sinnvolelr wäre es, eine Admin-Vertretung einzurichten und dem vertreter zeuitweilige Adminrechte zu geben, d.h ein zweites Admin-konto, auf das der vertreter nur während der Abwesenheit des primären Admins zugriff hat.
bei der "§Sticklösung" kann man auch gleich jedem Benutzer Adminrechte geben.
lks
Moin,
Die "Sticklösung" ist keine gute Idee. Sinnvolelr wäre es, eine Admin-Vertretung einzurichten und dem vertreter zeuitweilige Adminrechte zu geben, d.h ein zweites Admin-konto, auf das der vertreter nur während der Abwesenheit des primären Admins zugriff hat.
bei der "§Sticklösung" kann man auch gleich jedem Benutzer Adminrechte geben.
lks
Naja - ich würde sogar dem zweiten Admin permanent die möglichkeit lassen - da es ja eh beim Anmelden protokolliert wird. Nur: Is ja blöd wenn der erste Admin heute beim fahrradfahren auf die Nase fällt und mit gebrochenen Gräten im Krankenhaus liegt. Da ist dann blöd mit "2ten Admin freischalten"...
Dafür kann man einen versiegeleten Umschag im Safe deponieren, auf dem die credentials für einen "Notfalladmin" stehen.
lks
1Naja - ich würde sogar dem zweiten Admin permanent die möglichkeit lassen - da es ja eh beim Anmelden protokolliert wird. Nur: Is ja blöd wenn der erste Admin heute beim fahrradfahren auf die Nase fällt und mit gebrochenen Gräten im Krankenhaus liegt. Da ist dann blöd mit "2ten Admin freischalten"...
Dafür kann man einen versiegeleten Umschag im Safe deponieren, auf dem die credentials für einen "Notfalladmin" stehen.
lks
klar kann man das machen... was bedeutet dann macht _irgendwer_ den auf weil grad benötigt und am Ende ist das leider auch die Person die den (versehentlich) dann auf dem Schreibtisch liegen lässt... Oder ich habe von Anfang an eine Person bei der ich eben auch ein gewisses Vertrauen habe und die Sache ist durch...
Wobei jeder Weg seine Vor- und Nachteile hat... Am ende muss es jeder für sich entscheiden. Denn natürlich ist es blöd wenn beide Admins bei der gemeinsamen Fahrradtour vom Auto mitgenommen werden ;) DA ist der Umschlag dann besser...
1
Die Geschäftsleitung hat doch wohl immer alle Passwörter und die Dokumentation - auf aktuellem Stand. Und weiß, wie sie ran kommt. Dabei hilft der freundliche Admin doch auch gern. Muss die Geschäftsleitung natürlich organisieren. Alles andere wäre ja grob fahrlässig und würde im Schadensfalle fraglos den verantwortlichen Geschäftsleiter treffen. Beim Einzelunternehmen dann seine Sache allein - ansonsten droht der Regress seitens der Gesellschafter. Ein umsichtiger Admin bringt seiner (selbstverständlich desinteressierten) Geschäftsleitung das bei.
Ein Stick wäre mir auch zu gruselig, aber gegen ein sicher verwahrtes Passwort ist im Kleinbetrieb nichts einzuwenden. Besser ist natürlich ein Yubikey o.ä., womit sowohl Lokal als auch im AD (hier spart der TO mit Details) der Zugang abgesichert werden kann.
Wenn es nur um einzelne Installationen geht, hat der Kollege @Looser27 oben schon alles gesagt. Man sollte sich aber bewusst machen, dass es um mehr geht (s. erster Absatz).
Viele Grüße, commodity
Ein Stick wäre mir auch zu gruselig, aber gegen ein sicher verwahrtes Passwort ist im Kleinbetrieb nichts einzuwenden. Besser ist natürlich ein Yubikey o.ä., womit sowohl Lokal als auch im AD (hier spart der TO mit Details) der Zugang abgesichert werden kann.
Wenn es nur um einzelne Installationen geht, hat der Kollege @Looser27 oben schon alles gesagt. Man sollte sich aber bewusst machen, dass es um mehr geht (s. erster Absatz).
Viele Grüße, commodity
Zitat von @Looser27:
Besser ist es hier, wenn eine kleine (!) Gruppe User per Anweisung authorisiert wird Software zu installieren, sollte der Admin nicht im Hause sein.
Besser ist es hier, wenn eine kleine (!) Gruppe User per Anweisung authorisiert wird Software zu installieren, sollte der Admin nicht im Hause sein.
Klappt meiner Erfahrung nicht im realen Leben.
Du musst ja oft schon jemanden suchen, der gewillt ist für andere etwas zu installieren. Naja und können muss derjenige das dann auch. Meistens wills ja nur jeder für sich selber machen.
Ich persönlich seh da nur folgende Lösungen: entweder da gibts eine IT-Abteilung mit mehr als einer Person oder es hängt ein Systemhaus hinten dran.
Das genaue wie entscheidet aber der Kostenfaktor.
Ich stell mir da eher die Frage in den Prozessen, wie es dazu kommt, dass User etwas installieren müssten.
1
Also ich habe auf den Clients per GPO eine Gruppe "LokaleAdmins" zu der Gruppe Administratoren hinzugefügt.
Somit kann ich im AD sehr schnell und genau LokaleAdmin Rechte bestimmten Usern geben.
Grundsätzlich ist diese Gruppe leer.
Somit kann ich im AD sehr schnell und genau LokaleAdmin Rechte bestimmten Usern geben.
Grundsätzlich ist diese Gruppe leer.
entweder da gibts eine IT-Abteilung mit mehr als einer Person oder es hängt ein Systemhaus hinten dran.
Genau so und nicht anders.
Wenn der Single Point of Failure ausfällt, steht dann halt auch "alles".
Die zwei einzigen Geheimnisträger der Coca Cola Rezeptur dürfen aus diesem Grund auch niemals ein gemeinsames Flugzeug besteigen.
Zitat von @NordicMike:
Die zwei einzigen Geheimnisträger der Coca Cola Rezeptur dürfen aus diesem Grund auch niemals ein gemeinsames Flugzeug besteigen.
Das Rezept wird in einem Safe in einer Bank aufbewahrt.Die zwei einzigen Geheimnisträger der Coca Cola Rezeptur dürfen aus diesem Grund auch niemals ein gemeinsames Flugzeug besteigen.
BTT: Der Vorschlag von @kpunkt ist auch aus meiner Sicht der beste.
Das Rezept wird in einem Safe in einer Bank aufbewahrt.
Jup, und nur die zwei Chefs können das Safe öffenen.Zitat von @NordicMike:
Das Rezept wird in einem Safe in einer Bank aufbewahrt.
Jup, und nur die zwei Chefs können das Safe öffenen.Das ist eine urban legend, die Coca Cola mal selber als Werbung in die Welt gesetzt hat. Weder sind es nur zwei Personen, noch gibt es nur ein Rezept, noch werden diese an einem einzigen Ort aufbewahrt.
Das ist insgesamt schon logistisch nicht möglich.
Ich bedanke mich bei euch allen für die Hilfe. Das ist immer noch eine denkbare Lösung für mein Problem, allerdings hat es mich schon sehr zum Nachdenken gebracht!
Ich werde tatsächlich das Gesamtkonzept nochmal überdenken.
Ich werde tatsächlich das Gesamtkonzept nochmal überdenken.
Ich kenne auch das Rezept für Cola: Wasser + die gleiche Menge Zucker und etwas klebriger brauner Sirup (Hauptbestandteil ebenfalls Zucker).
Aber vielleicht solltest du auch die Lösung aus den Kindertagen der IT anwenden. (Adminpasswort einfach mit Postit unter die Admin Tastatur kleben. Ist fast genauso sicher wie der Stick oder die Safelösung.
Aber vielleicht solltest du auch die Lösung aus den Kindertagen der IT anwenden. (Adminpasswort einfach mit Postit unter die Admin Tastatur kleben. Ist fast genauso sicher wie der Stick oder die Safelösung.
