Eingeschränkte Admin Rechte

I

iDeathz

Profi
Thread Starter
Mitglied seit
30.09.2016
Beiträge
34
Hallo,

ich bin auf der Suche nach einer Lösung um Benutzer sozusagen eingeschränkte Adminrechte zugeben.

Derzeit fügen wir jeden User, der die Rechte braucht aus dem Active Directory in die lokale Administratoren Gruppe ein. Davon würden wir gerne wegkommen. Wir hatten uns überlegt, einen allgemein Administrator zu erstellen, und mithilfe einer GPO zur der Administratorengruppe hinzuzufügen(Betreffen nur die Rechner, die die Admin Rechte erhalten sollen). Jedoch lassen Sich nicht mehr nachverfolgen, wer was angestellt hatte, falls es zum Missbrauch kommen sollte.

Wir hatten bereits Microsoft LAPS in Betracht gezogen, jedoch werden beispielsweise die Laptops extern verwendet und die LDAP Abfrage ohne eine VPN Verbindung wäre nicht möglich.

Außerdem ist es teilweise so, dass die User Admin Rechte nur für die Installation oder Updates von Software benötigen. Daher möchten wir nur dies erlauben, da der User beispielsweise sich selber wieder in die lokale Administratoren Gruppe hinzufügen kann.


Habt ihr vllt noch eine Idee? Wie geht ihr mit einem solchen Problem um?
Danke:)
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
User haben bei uns grundsätzlich auf den Rechnern keine Admin-Rechte, auch nicht lokal.
Die Installation von Software wird grundsätzlich nur von der IT-Abteilung vorgenommen, entweder lokal am Rechner oder per Script etc.

Größere Firmen verwenden für so etwas entsprechende Softwareverteilungslösungen.
Die sorgen für die vollautomatische Installation von genehmigter Sorftware und auch dafür, das nicht genehmigte installierte Software (einige Software braucht für die Installation keine Adminrechte) wieder vom Rechner gelöscht wird.
Die IT-Abteilung bekommt darüber natürlich Statusmeldungen.

Usern lokale Adminrechte, und sei es nur für die Installation von Software, zu geben ist aus Sicherheitsgründen keine gute Idee.
Die User könnten sich auf dem Wege auch Schadsoftware auf den Rechner installieren, die sich dann auch im Firmennetz verbreiten könnte.
 
Hi,

vielen Dank für deine Antwort. Ich muss jedoch leider sagen, dass es bei uns momentan nicht anders geht. Eine Softwareverteilung haben wir bereits. Diese nimmt uns auch sehr viel Arbeit ab. Leider haben wir aber soviel spezielle Software, die wir nicht in unserer Softwareverteilung vernünftig abbilden können. Dazu kommt noch, dass regelmäßig Updates der Software erscheinen.

Uns sind die Gefahren sehr bewusst, daher bin ich auf der Suche nach einer alternativen Möglichkeit um zumindest die Sicherheitslücken näher einzugrenzen.

Außerdem starten einige Software nur mit Admin Rechten, selbst wenn der User die RW Berechtigung auf C:\Programme und x86 haben.
 
Zuletzt bearbeitet:
Ein möglicher Ansatzpunkt ist, einfach mal zu capturen, was die Software allen macht beim Update oder eben bei Install, recht sicher werden registry- und diverse Ordner im Windows Verzeichnis ebenfalls entsprechende Rechte brauchen.
Ein zweiter Ansatzpunkt ist es entsprechend eigene Installer zu nutzen.

Ich sag aber mal so, es kann dabei Jedes Update händische Anpassungen nach sich ziehen, sprich der Aufwand ist sehr sehr hoch... Warscheinlixh ist er so hoch, das ein entsprechend aufgebortes Konzept der Software-Verteillösung es dann ebenso abfackeln könnte, wenn ihr die Zeit dort rein investiert!
 
Hallo,

@fdsonne

Vielen Dank für deine Antwort.

Ja, das nimmt echt viel Zeit in Anspruch. Personell sind wir auch unterbesetzt um die Softwareverteilung in die Richtung zu pflegen.

Daher suchen wir nach einer alternative. Wir sind leider keine Stadtverwaltung oder dergleichen, die nur Standardsoftware wie Office, Brower und etc. nutzt.

Meiner Meinung nach bleibt uns nichts Anderes übrig, als den User Admin Rechte zu geben. Jedoch möchten wir es auf die Installation/Updates und starten von Software beschränken. Außerdem soll es nachweisbar wer was gemacht hatte und nicht übergreifend auf mehreren Rechnern funktionieren.
 
Zuletzt bearbeitet:
Wie wärs mit einem System das nur temporär dem Nutzer, Adminrechte gibt, so dass er schwind bei euch anfragen kann, wenn er diese mit Begründung braucht?
Hatten wir so bei Bosch (weil das komplexe Software-Instalationssystem für uns als Entwickler nicht immer brauchbar war).
 
Anmelden, um zu antworten.

Ähnliche Themen

Kabs1982
[User-Review] Lesertest mit Synology - Mein Testbericht zur DS224+
Antworten
5
Aufrufe
8K
Man-in-Black
Man-in-Black
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh