37955
Goto Top

Wie Benutzerberechtigungen vertreten

Hallo Leute!

Ich habe vor einiger Zeit die Administration in einem wachsenden Kleinbetrieb übernommen. Zuvor war es so, dass es zwar eine Windows 2000 Domäne gab, aber jeder Mitarbeiter mit einer Domänen-Administratorberechtigung ausgestattet war. Somit konnte jeder mit seinem PC tun was er wollte und die Fehlerhäufigkeit und die Analyse ware ein Grauen.

Nun habe ich alles sauber auf eine Windows 2003 Domäne mit Win XP / Vista Workstations umgestellt und den Mitarbeitern ausschließlich die Berechtigung als Domänen-Benutzer erteilt. Es gibt einen Administrator, der dort vor Ort die Verwaltung / Administration übernimmt.

Leider kommt es immer wieder zu Diskussionen, weshalb man nicht mehr Administrator sein dürfte - obwohl die Anwender dadurch NICHT in ihrer täglichen Arbeit eingeschränkt werden. Es ist angeblich lästig, wenn man nicht selbstständig z.B. einen neuen Drucker oder Updates installieren kann. In meinen Augen fühlen sich die Mitarbeiter dadurch allerdings wohl lediglich in ihrer Kompetenz eingeschränkt, da ihre Produktivität absolut nicht eingeschränkt wird.

Da leider auch der Geschäftsführer einen ausgeprägten "Spieltrieb" besitzt, macht das meine Stellung nicht gerade einfacher. Er arbeitet parallel viel mit Mac OS X und möchte immer sämtlichen "Schnick-Schnack" wie z.B. Sync mit seinem iPhone, PDA oder neue Anwendungen testen. Wohlgemerkt alles auf seinem Firmengerät. Ihm habe ich bereits als Kompromiss lokale Administratorrechte gegeben. Ich sehe allerdings nicht ein, dass allen Mitarbeitern ebenfalls zu tun.

Wahrscheinlich ist nun ein Umgewöhungsprozess notwendig, da sie eben früher immer alles machen konnten, wonach es ihnen gerade war. Ach ja.. komm wir installieren mal ein neues Spiel oder hier mal ein neues Desktop-Layout und *bums* schon ist der Ärger da. Ich hatte bisher noch nie soviele Probleme und sture Nachfragen wie hier. Offenbar möchte man den Sinn nicht verstehen.

Wie verfahrt ihr mit solchen Kollegen bzw. wie vermittelt und vertretet ihr die Zuteilung von Benutzerrechten?

Content-ID: 97902

Url: https://administrator.de/contentid/97902

Ausgedruckt am: 26.11.2024 um 08:11 Uhr

mgoelike
mgoelike 26.09.2008 um 10:15:37 Uhr
Goto Top
Na ja das ist immer schwer den Leuten beizubringen warum, dass immer so sein sollte. Eine Möglichkeit Ihnen dieses beizubringen besteht darin Ihnen klarzumachen, dass mit Administratorrechten jedes kleine Programm enormen Schaden anrichten kann und der Benutzer dafür haftbar wäre. Das ist ja auch der Grund dafür warum eigentlich alle Softwarehersteller bzw. Sicherheitsfirmen meinen "So viel Rechte wie nötig, so wenig Rechte wie möglich!".

Wenn das nicht klappt gib einen von Ihnen lokale Administratorechte und schicke Ihnen eine harmlose EMail mit Anhang, bei der Ausführung des Anhanges sollten dann ein paar wichtige Systemdateien gelöscht werden. Auf jeden Fall kommt der "Vielleicht hat der Administrator ja doch recht"-Effekt wenn der Rechner nicht mehr bootet.

Du kannst das ja auch mal auf einer betriebsinternen Weiterbildung anhand einer virtuellen Maschine oder eines Test-PCs zeigen. Wichtig ist auch gerade dem Chef klarzumachen, dass ein Virus oder ein Trojaner bei vollen administrativen Rechten die Firma lahmlegen kann. Sollte dies zur Insolvenz führen, kann der Geschäftsführer der Firma dafür haftbar gemacht werden, auch mit Privatvermögen, da er seine Sorgfaltspflichten grob verletzt hat.
manuel-r
manuel-r 26.09.2008 um 10:18:37 Uhr
Goto Top
Ganz einfach:
Hat der betreffende Kollege ein "gefühltes" Problem damit "nur" User zu sein, dann kann er sich von mir aus gerne beim Chef beschweren. Sollte der dem Mitarbeiter dann Recht geben lasse ich mir (nach Hinweis auf die Konsequenzen) schriftlich geben, dass ich den zum Admin machen soll. Soweit ist es aber noch nie gekommen.
Die wenigsten laufen zum Chef. Und bei den paar, die übrig bleiben reicht es dann zu sagen, dass ich keine Verantwortung für zukünftige Schwierigkeiten übernehme.

Manuel
Logan000
Logan000 26.09.2008 um 11:27:01 Uhr
Goto Top
Moin Moin

Ich hätte das noch eine (nicht ganz so ernst gemeinte) Argumentationshilfe anzubieten.

Gruß L.
Iwan
Iwan 26.09.2008 um 11:42:06 Uhr
Goto Top
LOL, die ist ja mal zu geil face-big-smile

gefunden im Inet:
WARUM SIND ADMINISTRATORRECHTE AUF DAUER GEFAHR FÜR DIE SYSTEMSICHERHEIT?

Dafür gibt es zwei Gründe:

Erstens, weil man als Nutzer durch Versehen oder Unachtsamkeit Dateien
und/oder Verzeichnisse ändern oder löschen kann, die die Funktion des
gesamten Systems gewährleisten. Resultat ist ein instabiles oder
schlimmstenfalls nicht mehr korrekt laufendes System.

Zweitens, weil man nicht nur als User vor dem Computer viel Schaden
anrichten kann, sondern weil dies natürlich auch andere User und Programme
aus dem Internet tun können. In erster Linie sind hier „Programmschädlinge“
wie Viren, Trojaner etc. zu nennen. Durch das Arbeiten mit
Administratorrechten erleichtert man das Infizieren des eigenen Computers
mit sowie das Funktionieren von solcher Malware.

Ein Virus oder Trojaner hat immer die gleichen Rechte wie der Anwender, der
vor dem Rechner sitzt. Bei Administratorrechten heißt das: nicht nur der
Nutzer hat diese umfassenden Rechte, sondern auch die Schadsoftware!

ICH ARBEITE NICHT MIT ADMINISTRATORRECHTEN. ALSO KANN MIR IN PUNCTO
INTERNET-SICHERHEIT JA NICHTS MEHR PASSIEREN, RICHTIG?

In dieser Absolutheit leider falsch. Zwar ist die Sicherheit des Systems
ohne Administratorrechte erheblich erhöht, da z.B. die unbemerkte
Infizierung des Systems über manipulierte Webseiten oder heruntergeladene
Dateien sehr erschwert wird. Dies entbindet aber nicht von der
Notwendigkeit, das System ständig aktuell zu halten, einen Virenscanner
einzusetzen etc.
Aber dafür sind schliesslich in einer Firma die Administratoren zuständig face-wink
70469
70469 07.10.2008 um 08:59:17 Uhr
Goto Top
Nunja kommt drauf an wie groß das Unternehmen ist.

Wenn es klein ist würde ich wie manuel-r verfahren. dabei muss man nicht viel investieren und man hat das problem gelöst.
Bei großem Unternehmen würde ich mit einer "Application procedure for Accounts and Access rights" arbeiten. Dabei läuft, dass ganze dann Automatisch ab, ist zwar viel zu tun aber man hat eine gewisse Ordnung drinne.

Für große Unternehmen ist das echt vom Nutzen. Normale User haben dann auch keine andere Wahl als eine Berechtigugn anzufordern. Wenn diese nicht anerkannt wird, sind Sie ruhig.


Gruß