Vertrauenswürdiger Herausgeber verlässt die Firma

Moin,

da ich bald die Firma verlasse, mache ich mir ein wenig Sorgen um die PS-Skripte, die ich hier hinterlasse. Es ist so ein den GPOs eingestellt, dass nur signierte Skripte ausgeführt werden dürfen, die von einem vertrauenswürdigen Herausgeber stammen. Der bin ich. Ich habe die mit meinem Zertifikat signiert. OK. Was passiert, wenn nun mein User aus dem AD gelöscht wird? Laufen die Skripte dann weiter? Oder wird dann auch gleich das Zertifikat mit gesperrt? Das Zertifikat habe ich heute mal erneuert, damit das wenigstens noch ein Jahr lang funktioniert.

Google spuckt leider nur aus, wie man signiert oder wie man Zertifikate zurückruft. Das weiß ich doch. ;-) face-wink

Liebe Grüße

Erik

Content-Key: 1494805018

Url: https://administrator.de/contentid/1494805018

Ausgedruckt am: 05.12.2021 um 08:12 Uhr

Mitglied: MirkoKR
MirkoKR 11.11.2021 um 14:44:59 Uhr
Goto Top
Hi.

Also auf Anhieb würde ich sagen,
eine Herausgeber erstellen der die Firma repräsentiert und deine Skripte damit signieren.
Die sind ja sowieso Teil der Firmenarbeit und damit Eigentum der Firma.

.
Mitglied: C.Caveman
C.Caveman 11.11.2021 aktualisiert um 14:50:33 Uhr
Goto Top
Moin,

Das ist ein Problem deines Ex-Vorgesetzten und deiner Ex-Kollegen.
Entweder Sie testen und bestätigen, dass sie deine Aufgaben übernehmen können oder ins Team integriert haben. Oder müssen dann mit den Folgen leben :-) face-smile

Du machst nur noch pünktlich Feierabend und bist bis zum letzen Tag, Ansprechpartner bei offenen Fragen :-) face-smile

Gruß
C.C.
Mitglied: lcer00
lcer00 11.11.2021 aktualisiert um 14:54:27 Uhr
Goto Top
Hallo,

https://www.windowspro.de/wolfgang-sommergut/powershell-scripts-signiere ...


Also wenn Du es genau machen wolltest, solltest du:
  • einen neuen Signaturbenutzer erstellen
  • für diesen ein neues Codesignaturzertifikat erstellen
  • die Skripte noch einmal neu mit einem Timestamp signieren.

Grüße

lcer

Edit: wenn Du das willst!
Mitglied: Looser27
Looser27 11.11.2021 um 14:58:56 Uhr
Goto Top
Also auf Anhieb würde ich sagen,
eine Herausgeber erstellen der die Firma repräsentiert und deine Skripte damit signieren.

So würde ich das auch machen. Dann an nem frisch aufgesetzten Client als normaler User angemeldet testen, ob alles funktioniert.
Mitglied: fisi-pjm
fisi-pjm 11.11.2021 um 15:00:57 Uhr
Goto Top
Zitat von @C.Caveman:

Moin,

Das ist ein Problem deines Ex-Vorgesetzten und deiner Ex-Kollegen.
Entweder Sie testen und bestätigen, dass sie deine Aufgaben übernehmen können oder ins Team integriert haben. Oder müssen dann mit den Folgen leben :-) face-smile

Du machst nur noch pünktlich Feierabend und bist bis zum letzen Tag, Ansprechpartner bei offenen Fragen :-) face-smile


Oft will man ja aber seinen alten Arbeitgeber zumindest mit dem Gefühl verlassen keine unadministrierbare Hydra geschaffen zu haben, dass Fällt nämlich machmal auf einen Zurück :-) face-smile
Mitglied: hacktor
Lösung hacktor 11.11.2021 aktualisiert um 15:19:48 Uhr
Goto Top
Das Zertifikat und damit die Skripte bleiben natürlich so lange gültig bis das Cert abläuft, es zurückgerufen wird oder das Skript geändert wird und das unabhängig von Useraccounts.
Hauptsache deine Dokumentation ist für den Nachfolger auf dem aktuellen Stand :-) face-smile.

Viel Erfolg im neuen Job/Rente/whatever!
Mitglied: DerWoWusste
Lösung DerWoWusste 11.11.2021 aktualisiert um 15:17:04 Uhr
Goto Top
Du kannst den Nutzer löschen, kein Problem.

Es ist so: der Code ist signiert und bleibt signiert, egal, ob es den User gibt.
Die Vertrauenswürdigkeit wird am ausführenden Client festgestellt, indem der Client schaut, ob er dem Zertifikat vertraut. Und diese Prüfung ist unabhängig davon, ob es den User gibt.

Abgesehen davon, kannst Du es im Zweifel testen mit einem anderen Account. Aber ich bin mir sicher.
Mitglied: Njord90
Njord90 11.11.2021 um 15:19:20 Uhr
Goto Top
Ich würde hier den Weg von Looser27 einschlagen.

Egal warum du das Unternehmen nun verlässt du kannst dir damit sicher sein alles sauber übergeben zu haben und dem ehemaligen Arbeitgeber damit auch keine Steine in den Weg gelegt zu haben.
Mitglied: C.Caveman
C.Caveman 11.11.2021 um 15:19:53 Uhr
Goto Top
:-D face-big-smile was soll da auf einen Zurückfallen?
@erikro arbeitet in einem größeren Unternehmen mit Ticketsystem. Des Weiteren macht er nicht den Eindruck, irgendwas undokumentiert abzuarbeiten. Dementsprechend ist es die Aufgabe seines Teams, zu prüfen ob sie die Dokumentation verstehen bzw den Skill hierzu haben.
Mitglied: erikro
erikro 11.11.2021 um 15:57:04 Uhr
Goto Top
Moin,

danke an alle. Ich war eigentlich auch den Meinung, dass die Zertifikate gültig bleiben, auch wenn der User, der sie mal erstellt hat, nicht mehr exisitiert, so lange keiner händisch die Zertifikate zurückruft. Ich war mir nur nicht sicher.

Ich werde hier nicht so aufhören, dass ich einen Scherbenhaufen hinterlasse. Die letzte Zeit verbringe ich genau damit, dass ich alles, was nicht dokumentiert ist, dokumentiere und alles, was über die Jahre liegen geblieben ist, aufräume. Das bin ich meinen Usern schuldig. ;-) face-wink

Liebe Grüße

Erik
Mitglied: MirkoKR
MirkoKR 11.11.2021 um 16:13:13 Uhr
Goto Top
Zitat von @erikro:

Die letzte Zeit verbringe ich genau damit, dass ich alles, was nicht dokumentiert ist, dokumentiere und alles, was über die Jahre liegen geblieben ist, aufräume. Das bin ich meinen Usern schuldig. ;-) face-wink

Also bist noch ein paar Jahre dabei -
na denn :-P
Mitglied: Matruschka0815
Matruschka0815 11.11.2021 um 17:30:21 Uhr
Goto Top
Eine gute Doku ist wichtig. Wenn du es beschrieben hast, wie deine Skripte erneuert werden können ist doch alles gut. Ich würde mich ja nochmal versichern, dass es im Team verstanden ist.

Ich kenne auch ITler und Dokus die meinen ausreichend zu sein, jedoch manchmal zu ungenau und konfus beschrieben sind.

Aber du scheinst ja alles gut zu Dokumentieren 👍
Heiß diskutierte Beiträge
question
Hausüberwachung Kameraingo1988Vor 1 TagFragePeripheriegeräte8 Kommentare

Hallo an alle, ich möchte ab sofort mein Haus mit Kameras überwachen lassen. Es sollen 4 Kameras außen am Haus angebracht werden. Ich möchte die ...

question
3 VLANs auf eine Dose. PC bekommt IP vom falschen NetzKostasVor 1 TagFrageNetzwerke6 Kommentare

Hallo Zusammen, ich habe an einem Arbeitsplatz leider NUR eine Dose. Das VLAN=10 ist für die Drucker Das VLAN=20 ist für die PCs Das VLAN=30 ...

question
Hard- und SoftwarebeschaffungVigo16Vor 1 TagFrageHardware8 Kommentare

Hallo Zusammen, da ich kürzlich in einem gemeinnützige Verein als erster und alleiniger Inhouse Administrator angefangen habe und vorher nichts mit Hard- und Softwarebeschaffung am ...

general
Zur AdventszeitAnkhMorporkVor 1 TagAllgemeinHumor (lol)2 Kommentare

Wer es nicht kennt, sollte es kennen lernen (mMn): Viel Spaß, jede Diskussion überflüssig Ankh ...

question
Google-Konto: PW-Rücksetzung funktioniert nichtmrserious73Vor 17 StundenFrageE-Mail13 Kommentare

Hallo zusammen, habe hier gerade einen merkwürdigen Fall: Habe ein gmail-Konto, für das das Passwort nicht mehr bekannt ist. Da das Konto in Thunderbird gespeichert ...

question
Pfsense sinnvoll in Umgebung einbindendertowaVor 1 TagFrageLAN, WAN, Wireless7 Kommentare

Hallo zusammen, ich grüble schon länger über eine saubere Möglichkeit zur Integration der pfsense, da ich mich damit auch gern mal beschäftigen möchte. Aktuell habe ...

question
Reicht eine Geforce GT1030 2GB 64bit für Photoshop Illustrator?isarc01Vor 1 TagFrageGrafikkarten & Monitore3 Kommentare

Hallo, ich habe derzeit eine Geforce GTX 550 TI. (192bit) 1,5GB. Leider startet Photoshop nicht mehr. (Grafikkartenspeicher zu gering) Deshalb möchte ich mir eine GT1030 ...

question
Startscript wird nicht ausgeführt gelöst tsunamiVor 1 TagFrageWindows Server4 Kommentare

Hallo zusammen, ich habe ein Problem mit den GPOs. Ein simples Script zum testen: Liegt im richtigen Ordner. \\domäne.local\SysVol\domäne.local\Policies\{FB0087ED-7767-4A9E-B9D4-9497666F2C7E}\Machine\Scripts\Startup Der Ordner \\192.168.143.1\public\11_Software\AV\av_lang\ hat Zugriff durch ...