thomas91
Goto Top

Ausscheiden eines Administrators

Hallo,

ich wollte mich erkundigen wie Ihr es handhabt wenn ein Kollege aus eurer Abteilung ausscheidet. Besonderer Fall er verlässt nur die Abteilung und nicht die Firma.
Falls ihr eine Art Checkliste habt wäre ich sehr dankbar falls ihr diese mir senden könntet.

Gruß Thomas

Content-Key: 275965

Url: https://administrator.de/contentid/275965

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: Dante2191
Dante2191 29.06.2015 um 12:05:05 Uhr
Goto Top
Hi Thomas,

einen solchen Fall mit einem lediglichen Abteilungswechsel hatten wir bis jetzt ehrlich gesagt noch nicht, aber ich denke den ersten Schritt, den ihr unternehmen solltet ist das Ändern sämtlicher Admin-Kennwörter (Server, Firewall,...)
Ich nehme an, er bekommt über den DC andere Rechte zugewiesen, deshalb sollte er mit seinem "normalen User-Account" nicht allzuviel anstellen können face-wink

Gruß André
Mitglied: Lochkartenstanzer
Lochkartenstanzer 29.06.2015 um 12:14:14 Uhr
Goto Top
Zitat von @Thomas91:

Hallo,

ich wollte mich erkundigen wie Ihr es handhabt wenn ein Kollege aus eurer Abteilung ausscheidet. Besonderer Fall er verlässt
nur die Abteilung und nicht die Firma.
Falls ihr eine Art Checkliste habt wäre ich sehr dankbar falls ihr diese mir senden könntet.


Abhängig davon, ob Ihr gkmeinsame Admin-Accounts hattet oder personalisierte Adminaccounts ist das unetrschiedlich.

Bei gemeinsamen Admin-Accoutn steht euch viel Arbeit bevor. bei personalisierten Admin-Accounts reicht es, seinen Admin-Account zu deaktivieren und ihm einen regulären benutzeraccoutn zu machen.

Im wesentlichen höngt es also davon ab, wie Ihr eure benutezr udn Admins verwaltet.

lks

PS. Alternativ könntet Ihr ihn natürlich auch "blitzdingsen"
Mitglied: Thomas91
Thomas91 29.06.2015 um 12:22:14 Uhr
Goto Top
Der Mitarbeiter kennt alle Kennwörter von FW, SW, Routern, Domänenadmin, Lokaleadmin´s. Sein User hat auch administrative rechte. Also es ist ziemlich kompliziert...
@Lochkartenstanzer: Wo kann ich das blitzdings kaufen? :D
Mitglied: Lochkartenstanzer
Lochkartenstanzer 29.06.2015 um 12:28:07 Uhr
Goto Top
Zitat von @Thomas91:

Der Mitarbeiter kennt alle Kennwörter von FW, SW, Routern, Domänenadmin, Lokaleadmin´s. Sein User hat auch
administrative rechte. Also es ist ziemlich kompliziert...

UPS, da hat jemand schlecht geplant würde ich sagen.

Die frage ist, wie weit vertraut Ihr ihm? Auf jeden Fall solltet Ihr ihn zumidest inen Wisch unterschreiben lassen, daß er keinerlei Zugriffe mehr auf die Geräte vornimmt und Ihr soltlet dann Fleisig alles ändern.

Das schützt Euch natürlich ncih tvor Ostereiern, aber wenn Ihr ihm soweit mißtraut, daß das ein problem wäre, soltlet Ihr eure ganze UIT austauschen. face-smile


@Lochkartenstanzer: Wo kann ich das blitzdings kaufen? :D

Angeblich in einem Elektronikmarkt in Mannheim. Aber immer wenn ich da hingehe, komme ich da mit einem ganzen Haufen elektronsicher Gimmicks heraus, den ich eigentlich gar nicht vorhatte zu kaufen und habe hinterher immer noch kein Blitzdingens.

lks
Mitglied: Penny.Cilin
Penny.Cilin 29.06.2015 um 12:29:13 Uhr
Goto Top
Mahlzeit,

dann bleibt Euch nur folgendes:
1. Alle Passwörter ändern.
2. Die administrativen Berechtigungen entziehen

Oder benötigt der Mitarbeiter in der neuen Abteilung administrative Berechtigungen?
Wenn ja, alle NICHT benötigten administrativen Berechtigungen entziehen.

Was sagt denn Eure Revision, wie solche Fälle zu behandeln sind?


Gruss Penny.
Mitglied: Thomas91
Thomas91 29.06.2015 um 12:35:22 Uhr
Goto Top
Zitat von @Lochkartenstanzer:


UPS, da hat jemand schlecht geplant würde ich sagen.

Die frage ist, wie weit vertraut Ihr ihm? Auf jeden Fall solltet Ihr ihn zumidest inen Wisch unterschreiben lassen, daß er
keinerlei Zugriffe mehr auf die Geräte vornimmt und Ihr soltlet dann Fleisig alles ändern.

Das schützt Euch natürlich ncih tvor Ostereiern, aber wenn Ihr ihm soweit mißtraut, daß das ein problem
wäre, soltlet Ihr eure ganze UIT austauschen. face-smile


So bald er die Abteilung verlässt soll/darf er nicht mehr an die Systeme ran und ist ganz normaler Mitarbeiter.

Zitat von @Penny.Cilin:

Mahlzeit,

dann bleibt Euch nur folgendes:
1. Alle Passwörter ändern.
2. Die administrativen Berechtigungen entziehen

Oder benötigt der Mitarbeiter in der neuen Abteilung administrative Berechtigungen?
Wenn ja, alle NICHT benötigten administrativen Berechtigungen entziehen.

Was sagt denn Eure Revision, wie solche Fälle zu behandeln sind?


Gruss Penny.

So richtig gibt es keine Revision und die Führungsetage hat keine Ahnung was alles dahintersteckt face-sad
Mitglied: Lochkartenstanzer
Lochkartenstanzer 29.06.2015 um 12:51:55 Uhr
Goto Top
Zitat von @Thomas91:

So bald er die Abteilung verlässt soll/darf er nicht mehr an die Systeme ran und ist ganz normaler Mitarbeiter.


Mein Vorschlag:

  • Ihr setzt einen Wisch auf, indem der Mitarbeitzer darauf hingewiesen wird, daß er ab sofort keinen administrativen Zugänge nurtzen darf, auch wenn er die Zugänge noch kennt udn laßt das vom Mitarbeiter unterzeichnen. Das gibt euch zumindest die Möglichkeit, es zu sanktionieren, wenn er es trotzdem tut.

  • Ihr macht Euch die Sisyphos-Arbeit und ändert erstmal alle Paßwörter o.ä. der administrativen Zugänge. Macht Euch eine (Check-)Liste, damit Ihr auch ja nichts vergeßt.

  • Ihr stuft sein Konte wieder auf regulären Benutzer zurück, wenn Ihr ihm nicht gleich ein neues Standard-benutzerkonto verpassen wollt.

Wenn Ihr diese krise gemeistert habt, macht Ihr euch mal einen Plan, wie Ihr das in Zukunft gestalten könnt.

man kann das z.B. über Zertifikate und Tolkens abwickeln, daß z.B. die Administrativen Zugänge an Tokens gebunden sind. Wenn token weg, kein Administratver Zugang mehr. Dan beschrönkt sich die arbeit in zukunft einfach auf einen Austausch des Tokens.

lks
Mitglied: Penny.Cilin
Penny.Cilin 30.06.2015 um 09:56:04 Uhr
Goto Top
Zitat von @Thomas91:

So richtig gibt es keine Revision und die Führungsetage hat keine Ahnung was alles dahintersteckt face-sad

Dann sollte sich Eure Führungsetage mal damit bschäftigen. Denn gegebenenfalls werden diese dafür haftbar gemacht.

Was ich empfehlen würde ist:

Wie @lks bereits angemerkt hat, macht einen Plan für die Zukunft. Und lasst Euch diese Vorgehensweise von der Führungsetage schriftlich absegnen.
Dann seid Ihr auf der sicheren Seite. Gegebenenfalls zieht einen Betriebsrat hinzu, falls ihr einen habt.


Gruss Penny.
Mitglied: DrAlcome
DrAlcome 30.06.2015 um 11:19:21 Uhr
Goto Top
Moin!

Das kommt auch drauf an wie "kritisch" bei euch sämtliche Berechtigungen zu sehen sind.
In einem Tante-Emma-Laden wo der Router nur das Kartenzahlungsterminal nach draußen lässt und durch (un)beabsichtigte "Spielerei" für einen halben Tag keine Kartenzahlungen durchgehen ist das ärgerlich. Wenn dadurch aber ein Warenwirtschaftssystem für 200 Mitarbeiter nicht mehr auf die zentral gelagerte Datenbank zugreifen kann ist das schon ganz anders zu bewerten. Und dann heißt es "Warum durfte der das noch?".

Im ersten Fall gilt:
Ihr SOLLTET sämtliche Passwörter ändern und unnötige Berechtigungen entziehen und ggfs. dokumentieren

Im zweiten Fall gilt:
Ihr MÜSST sämtliche Passwörter ändern und unnötige Berechtigungen entziehen, alles dokumentieren und ggfs. schriftlich absegnen lassen. Das hat nichts mit bösem Willen zu tun, sondern ist verpflichtend und auch ganz besonders in eurem eigenen Interesse.

Bei uns sind sämtliche Berechtigungen sehr restriktiv gehalten, jeder darf nur das was er für seine Arbeit auch können muss. Sonst nix.
Mitglied: Thomas91
Thomas91 30.06.2015 um 11:25:48 Uhr
Goto Top
Hallo,

danke schon einmal für die zahlreichen Antworten!!!
Bei uns sollen die User auch nur Berechtigung auf die benötigten Programme und Funktionen haben. Alles in allem ist mir bewusst das ich alle Kennworter ändern muss. Jetzt hab ich aber noch eine Frage. Der Useraccount ist momentan unter Administratoren im AD. Wenn ich diese Mitgleidscahft entfernen reicht das schon oder muss ich das Kontolöschen und neuanlegen damit hier alles im grünen bereich ist?
Mitglied: TlBERlUS
TlBERlUS 30.06.2015 um 11:38:44 Uhr
Goto Top
Zitat von @Thomas91:
Hallo,
Hallo
Jetzt hab ich aber noch eine Frage. Der Useraccount ist momentan unter
Administratoren im AD. Wenn ich diese Mitgleidscahft entfernen reicht das schon oder muss ich das Kontolöschen und neuanlegen
damit hier alles im grünen bereich ist?

Neuanlegen kann nie Schaden, damit erschlägst du im Zweifel irgendwelche Einzelberechtigungen, die irgendwo auf den Share-Ordnern liegen könnten.
Allerndings würde ich statt Löschen zunächst das Konto nur deaktivieren (haben beruhigt).

Ansonsten etwaige Berechtigungen nur über Gruppen verteilen, anstatt Einzelberechtigungen zu verteilen.

Grüße,

Tiberius
Mitglied: Thomas91
Thomas91 30.06.2015 um 11:42:39 Uhr
Goto Top
Zitat von @TlBERlUS:


Ansonsten etwaige Berechtigungen nur über Gruppen verteilen, anstatt Einzelberechtigungen zu verteilen.

Gruppen werden schon eingesetzt face-smile