Wie meldet sich Administrator?
Ein User bekommt Administratorrechte und Administrator-Zugangsdaten. Wie meldet er sich an den Servern, wenn er mit seinem Benutzer ausreichend Rechte hat, um sein Job zu erledigen?
Ist: Er meldet sich als Administrator.
Ich bin der Meinung, dass Anmeldung mit seinem benutzerkennung erfolgen soll.
Wie ist es Sicherheitstechnisch korrekt?
Ist: Er meldet sich als Administrator.
Ich bin der Meinung, dass Anmeldung mit seinem benutzerkennung erfolgen soll.
Wie ist es Sicherheitstechnisch korrekt?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 93726
Url: https://administrator.de/contentid/93726
Ausgedruckt am: 05.11.2024 um 04:11 Uhr
9 Kommentare
Neuester Kommentar
Moin Moin!
Wieso zum Teufel hat ein niedriger User neue Zugangsdaten zu einem eigenen Admin-Konto bekommen???
Bin ich der einzige, der so faul wäre einfach unter dem bestehenden User die Rechte zu ändern?
Was bringt einem diese Strategie? (Ausser das der User ständig sich an- und abmelden muss *g*)
Grüsse
Wanderer
PS. Auch wenn ich es ein wenig durch den Kakao gezogen habe, würde ich gerne die Beweggründe kennenlernen. Man lernt schliesslich nicht aus.
Wieso zum Teufel hat ein niedriger User neue Zugangsdaten zu einem eigenen Admin-Konto bekommen???
Bin ich der einzige, der so faul wäre einfach unter dem bestehenden User die Rechte zu ändern?
Was bringt einem diese Strategie? (Ausser das der User ständig sich an- und abmelden muss *g*)
Grüsse
Wanderer
PS. Auch wenn ich es ein wenig durch den Kakao gezogen habe, würde ich gerne die Beweggründe kennenlernen. Man lernt schliesslich nicht aus.
Beweggründe dafür gibt es einige:
Mit Adminrechten im Internet surfen ist gefährlich.
Wenn ich immer mit Adminrechten arbeite, kann ein wildgewordenes Programm viel mehr Schaden anrichten, als ohne.
Daselbe gilt für unaufmerksame Anwender.
Bei Roaming Profiles, soll auf dem Server wirklich mein Standardprofil mit Autostart und allem hin?
Mein Standard Account hat auch keine Adminrechte auf den Servern. Dafür habe ich einen zweiten Account, der auf den Servern Adminrechte hat, auf denen ich sie brauche. Den Original Administrator Account wird für Notfälle verwendet. Der Vorteil eines 2. Accounts ist, das man teilweise in Logs sehen kann, wer was gemacht hat, während wenn alle das Administratorpasswort kennen, ist dem nicht mehr so.
Außerdem muß ich mich am Server eh neu anmelden bei Zugriff über RDP, ob ich jetzt meinen Admin-Account oder meinen normalen eingebe macht da keinen Unterschied.
Mit Adminrechten im Internet surfen ist gefährlich.
Wenn ich immer mit Adminrechten arbeite, kann ein wildgewordenes Programm viel mehr Schaden anrichten, als ohne.
Daselbe gilt für unaufmerksame Anwender.
Bei Roaming Profiles, soll auf dem Server wirklich mein Standardprofil mit Autostart und allem hin?
Mein Standard Account hat auch keine Adminrechte auf den Servern. Dafür habe ich einen zweiten Account, der auf den Servern Adminrechte hat, auf denen ich sie brauche. Den Original Administrator Account wird für Notfälle verwendet. Der Vorteil eines 2. Accounts ist, das man teilweise in Logs sehen kann, wer was gemacht hat, während wenn alle das Administratorpasswort kennen, ist dem nicht mehr so.
Außerdem muß ich mich am Server eh neu anmelden bei Zugriff über RDP, ob ich jetzt meinen Admin-Account oder meinen normalen eingebe macht da keinen Unterschied.
Ich denke nicht, das irgendwer mit seinem "normalen" Account irgendwo Adminrechte haben sollte. Der Account, mit dem man arbeitet, bekommt User-Rechte. Auf einem Server meldet man sich damit erst recht nicht an.
Wer Adminrechte benötigt, bekommt einen weiteren Account. Dieser Account bekommt zwar Administrator-Rechte auf den benötigten Systemen (und sonst nirgendwo), dafür wird der Account anderweitig eingeschränkt: keine E-Mail Adresse, keine Roaming-Profiles,...
Und für den Fall der Fälle gibt es ja noch runas!
Wer Adminrechte benötigt, bekommt einen weiteren Account. Dieser Account bekommt zwar Administrator-Rechte auf den benötigten Systemen (und sonst nirgendwo), dafür wird der Account anderweitig eingeschränkt: keine E-Mail Adresse, keine Roaming-Profiles,...
Und für den Fall der Fälle gibt es ja noch runas!
Richtig oder Falsch gibt es hier im Grund nicht. Nennen wir es Best Practice. Ich lege hier mal mein Sicht der Dinge dar, ist also kein muss das so umzusetzen.
A. Der Account Administrator: Dieser Account ist einmalig. Er sollte im normalfall nicht verwendet werden und als Backup dienen. Zerschießt man sich mit einem anderen Account das Profil, vergisst das Passwort oder ähnliches, kommt man noch immer mit dem Administrator an das System.
B. Warum bekommt der "normale" Account keine Administratorrechte? Weil man täglich mit ihm Arbeitet, im Internet Unterwegs ist usw. Hat dieser Account weniger Rechte, hat auch Malware weniger Chancen.
C: Warum sollte den Benutzern, die es benötigen, ein zusätzlicher Account angelegt werden? Erstens wegen A und B. Darüber hinaus kann man eher nachvollziehen, wer was am Server verändert hat, wenn er sich mit einem eigenen Account anmeldet. Meldet sich jedem mit dem Administrator an, ist das nicht möglich.
D: Wo liegt der Unterschied zwischen dem Administrator und einem Account mit Administratorrechten? Der Administrator ist nur lokal. Lege ich einem Benutzer einen dieser zusätzlichen Accounts an, würde ich keinen lokalen Benutzer nemen, sondern einen Domain-User und ihm die Rechte geben, die er braucht. Das macht die Verwaltung einfacher. Ist der Admin-Account in der lokalen Gruppe Administrators gibt es für ihn eigentlich keine Einschränkungen in bezug auf die Berechtigungen - wobei sich diese Einschränkungen natürllich einstellen lassen.
A. Der Account Administrator: Dieser Account ist einmalig. Er sollte im normalfall nicht verwendet werden und als Backup dienen. Zerschießt man sich mit einem anderen Account das Profil, vergisst das Passwort oder ähnliches, kommt man noch immer mit dem Administrator an das System.
B. Warum bekommt der "normale" Account keine Administratorrechte? Weil man täglich mit ihm Arbeitet, im Internet Unterwegs ist usw. Hat dieser Account weniger Rechte, hat auch Malware weniger Chancen.
C: Warum sollte den Benutzern, die es benötigen, ein zusätzlicher Account angelegt werden? Erstens wegen A und B. Darüber hinaus kann man eher nachvollziehen, wer was am Server verändert hat, wenn er sich mit einem eigenen Account anmeldet. Meldet sich jedem mit dem Administrator an, ist das nicht möglich.
D: Wo liegt der Unterschied zwischen dem Administrator und einem Account mit Administratorrechten? Der Administrator ist nur lokal. Lege ich einem Benutzer einen dieser zusätzlichen Accounts an, würde ich keinen lokalen Benutzer nemen, sondern einen Domain-User und ihm die Rechte geben, die er braucht. Das macht die Verwaltung einfacher. Ist der Admin-Account in der lokalen Gruppe Administrators gibt es für ihn eigentlich keine Einschränkungen in bezug auf die Berechtigungen - wobei sich diese Einschränkungen natürllich einstellen lassen.