dribbi
Goto Top

Wie verwaltet ihr lokale Adminrechte für Key User in einer AD-Umgebung?

Hallo zusammen,

wir stehen in unserem Unternehmen vor der Herausforderung, dass aktuell nur die IT-Administratoren lokale Adminrechte haben. Das führt dazu, dass normale Benutzer weder Software noch Updates selbstständig installieren können.

Wir möchten das gerne flexibler gestalten, und es gibt zwei mögliche Ansätze, die wir in Betracht ziehen:

Temporäre Adminrechte für bestimmte Benutzer: Diese Benutzer sollen nur dann Adminrechte erhalten, wenn es nötig ist (z.B. für Softwareinstallationen oder Updates), und diese Rechte sollen nach einer festgelegten Zeit automatisch wieder entzogen werden.

Dauerhafte lokale Adminrechte für Key User, aber nur für bestimmte Aufgaben oder Software. Das heißt, bestimmte Benutzer sollen dauerhaft lokale Adminrechte erhalten, jedoch auf eine sichere und kontrollierte Weise, sodass sie nur bestimmte Software installieren oder verwalten können.

Am besten wären hier kostenlose Lösungen, da das Budget aktuell eigentlich bei 0 liegt.

Meine Fragen an euch:

Welche Tools oder Ansätze verwendet ihr, um temporäre oder eingeschränkte Adminrechte zu verwalten?

Wie stellt ihr sicher, dass lokale Adminrechte nur für spezifische Aufgaben oder Software genutzt werden?

Gibt es Best Practices, die ihr empfehlen könnt, um diese Herausforderung zu lösen?


Vielen Dank im Voraus für eure Unterstützung!

Content-ID: 668084

Url: https://administrator.de/contentid/668084

Ausgedruckt am: 21.11.2024 um 13:11 Uhr

150631
150631 12.09.2024 um 13:06:41 Uhr
Goto Top
Ganz einfach. Software kommt aus der Softwareverwaltung und nur Admins installieren per Hand, wenn es Gründe gibt. Wiederholen sich Gründe, kommt die Software auch aus der Softwareverwaltung.
User sind User.
SeaStorm
SeaStorm 12.09.2024 um 13:28:09 Uhr
Goto Top
PAM Systeme sind für sowas der Standard.
dribbi
dribbi 12.09.2024 um 13:55:44 Uhr
Goto Top
Zitat von @SeaStorm:

PAM Systeme sind für sowas der Standard.

Kannst du hier welche empfehlen?
Michi91
Michi91 12.09.2024 um 13:56:12 Uhr
Goto Top
Mögliche Lösungswege:
- Softwareverteilung mit Kiosk, sodass Mitarbeiter aus einem definierten Pool Software nachinstallieren können
- Zweiter User "admin_<username>" der für die Keyuser als LOKALER Admin zur Verfügung steht. Ggf. ohne Desktopanmeldung.
- Ein PAM welches einen zweiten User auf Anfrage zur Verfügung stellt oder temporär den User in die lokale Admingruppe packt.

Mit 0 Euro in der Tasche, wird man wohl selber basteln müssen.

https://www.frankysweb.de/privileged-access-management-feature-zeitbegre ...
DerWoWusste
DerWoWusste 12.09.2024 um 14:50:49 Uhr
Goto Top
Es ist nicht ratsam, Nutzern temporär Kontrolle zu geben, da sie sich dann ohne Weiteres mit geringem Aufwand dauerhaft Adminrechte sichern könnten.

Profi-Lösungen für definierte Aufgaben von Usern erledigen lassen, gibt es zwar, aber. Nicht für lau. Früher hieß eine bekannte davon beyondtrust Privilege Manager.

Ich zeige dir mal zwei kostenlose Wege, die ich selbst erstellt habe:
Tipp zur Nutzung von Zweitaccounts unter Windows
und
https://www.experts-exchange.com/articles/33548/How-to-empower-restricte ...
ukulele-7
ukulele-7 12.09.2024 aktualisiert um 15:21:00 Uhr
Goto Top
Ich würde die Sinnhaftigkeit des Unterfangens nochmal überdenken. Mir würden jetzt nur zwei Szenarien einfallen, wo ein User etwas installieren muss:
- Privatnutzung bzw. Nutzung für Schulbildung. Wir haben Auszubildende, die Notebooks mit sich tragen. Da ist das Gerät aber auch i.d.R. nicht mit dem Unternehmensnetz verbunden.
- Developer PC, die würde ich ebenfalls aus dem produktiven Netz und der AD raus halten.

Egal wie lange ich sonst nachdenke fällt mir kein Szenario ein wo mir das logisch erscheint. Viele Anwendungen brauchen ja nicht mal Rechte für die Installation, die kann jeder drauf machen, sogar auf einem RD-SH. Das finde ich eigentlich viel schlimmer...
Delta9
Delta9 12.09.2024 um 16:18:16 Uhr
Goto Top
Egal wie lange ich sonst nachdenke fällt mir kein Szenario ein wo mir das logisch erscheint. Viele Anwendungen brauchen ja nicht mal Rechte für die Installation, die kann jeder drauf machen, sogar auf einem RD-SH. Das finde ich eigentlich viel schlimmer...

Hier gegen gibt es auch was: AppLocker usw
SeaStorm
SeaStorm 12.09.2024 um 17:08:50 Uhr
Goto Top
sagen wir es so.
Am wenigsten ###e finde ich bisher Cyberark :D
SeaStorm
SeaStorm 12.09.2024 aktualisiert um 17:09:44 Uhr
Goto Top
Zitat von @dribbi:

Zitat von @SeaStorm:

PAM Systeme sind für sowas der Standard.

Kannst du hier welche empfehlen?
sagen wir es so:
Am wenigsten shceisse finde ich bisher Cyberark face-smile
maretz
maretz 13.09.2024 um 08:03:38 Uhr
Goto Top
Ich würde mir das auch nochmal überlegen... für die Updates gibt es die Update-server (WSUS und co), da braucht der Benutzer nix machen. SOLL er/sie ja auch gar nicht, wie bestimmst du denn wann ein Update installiert wird? Und nicht irgendein halb-gares Update dir mal eben die Station aus den Schuhen schiesst? Oder der Benutzer der dann sagt "hey, das update auf Win11 wird mir ja angeboten, mach ich doch glatt" und eure halbe SW nich mehr läuft? Bzw. beim Runterfahren der/die dann meint "dauert mir zu lang der schei..." und den PC mitten im Update ausschaltet? Dann hast du dir also etwas Zeit gespart weil du die Updates nicht verwalten musst - rennst aber dafür alle paar Tage mal wieder los und versuchst Geräte wiederherzustellen... Ich hoffe du hast ne gute Backup-Lösung!

Und wenn du die Rechte dann nicht mal nur auf einzelne Aufgaben beschränkst - dann hast du morgen auch noch ganz andere Software auf den PCs installiert. Und keine Ahnung wie das bei euch so ist - ich höre dann eh immer "ich war im Frei, bin erst gestern wieder zurückgekommen", "war schon immer da, hab mich auch gewundert", "muss mein Kollege gemacht haben",... Und klar kannst du dann logs checken, hinterher gehen,... -> und noch mehr Zeit verschwenden um ein Problem zu lösen welches du eigentlich gar nicht brauchst face-smile

Von daher würde ich sagen: Finger weg von eurer Idee... Ja, im ersten Moment toll, dafür wird die dir aber nach nen paar Wochen direkt ins Genick springen...
ukulele-7
ukulele-7 13.09.2024 um 08:46:26 Uhr
Goto Top
Die Frage mit den Updates stellt sich aus meiner Sicht gar nicht. Du kannst keinem Benutzer trauen, das er regelmäßig oder gewissenhaft Updates einspielt. Es wird immer einen geben der es nicht macht, warum auch immer.

Als Admin kann man das abwägen, das mal Updates aus diesem oder jenem Grund nicht gemacht werden oder Updates eben nicht sofort gemacht werden, das kann man verantworten. Absolute Sicherheit gibt es eh nicht. Aber wenn du dann da einen Benutzer hast der 2 Jahre nichts gemacht hat weil er am Tag der Schulung krank war oder keine Lust hatte oder meint er hat da leider keine Zeit für weil seine Arbeit wichtiger ist und die IT nun mal auch so zu funktionieren hat, dann ist das unverantwortlich, nicht nur von dem Benutzer.
mayho33
mayho33 13.09.2024 um 20:53:31 Uhr
Goto Top
Also ich kennen keinen guten Grund, Mitarbeitern das Recht zu geben beliebige Software selbst installieren zu dürfen und schon gar nicht permanent. Damit sind Bloatware und Viren Tür und Tor geöffnet, weil wie jeder Administrator weiß, sitzt jedes 2. Problem vorm Monitor.

Wenn ihr sowas wirklich umsetzen wollt, solltet ihr euch außerdem eine Tier-Strategie überlegen, damit die Mitarbeiter nicht permanent als Administrator bzw. mit administrativen Rechten arbeiten.

Grüße