9
Benutzer verwenden gleichen Account
Guten Tag,
ich habe da mal eine generelle Frage und würde gerne wissen wie eine gewisse Problematik in anderen Betrieben gehandhabt wird.
Folgendes:
Man hat einen Produktionsbetrieb mit AD und die Benutzer melden sich alle mit dem selben Account an. Bedeutet jeder gibt den gleichen Benutzer und Passwort ein. Ich hab dies mittlerweile in mehreren Firmen gesehen. Wobei ich mir nicht sicher bin ob dies "richtig" ist. Aber ich meine was bedeutet schon richtig, es bleibt meistens bei einer individuellen Entscheidnung. Ich denke meistens wurde es so gemacht um einfach den Verwaltungaufwand zu begrenzen, bei ständig gehenden und kommenden Personal.
Ich hätte es jetzt so gemacht:
Eine Gruppe, jedem User ein extra Account und dann bei Freigaben oder sonstigem die Gruppe verwenden.
Was ich halt nicht verstehe, ist, warum das so gemacht wurde. Deshalb würde ich gern wissen, wie Ihr soetwas angehen würdet?
Gruß
ich habe da mal eine generelle Frage und würde gerne wissen wie eine gewisse Problematik in anderen Betrieben gehandhabt wird.
Folgendes:
Man hat einen Produktionsbetrieb mit AD und die Benutzer melden sich alle mit dem selben Account an. Bedeutet jeder gibt den gleichen Benutzer und Passwort ein. Ich hab dies mittlerweile in mehreren Firmen gesehen. Wobei ich mir nicht sicher bin ob dies "richtig" ist. Aber ich meine was bedeutet schon richtig, es bleibt meistens bei einer individuellen Entscheidnung. Ich denke meistens wurde es so gemacht um einfach den Verwaltungaufwand zu begrenzen, bei ständig gehenden und kommenden Personal.
Ich hätte es jetzt so gemacht:
Eine Gruppe, jedem User ein extra Account und dann bei Freigaben oder sonstigem die Gruppe verwenden.
Was ich halt nicht verstehe, ist, warum das so gemacht wurde. Deshalb würde ich gern wissen, wie Ihr soetwas angehen würdet?
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 262400
Url: https://administrator.de/contentid/262400
Printed on: April 16, 2024 at 11:04 o'clock
9 Comments
Latest comment
Hi,
gemacht wird so was zB in der Produktion.
Wenn Du ständig wechselnde Mitarbeiter hast (z.B. durch Zeitarbeit)
Auch ist der User Azub1, Azubi2... beliebt.
Das entlastet zeitlich die Admins etwas.
Du musst nicht aller paar Tage x neue User anlegen.
Ist zwar nicht die reine Lehre, aber....
Ist halt eine Glaubensfrage
ob es (auch im Hinblick auf die Sicherheit) wirklich Sinn macht.
Frank
gemacht wird so was zB in der Produktion.
Wenn Du ständig wechselnde Mitarbeiter hast (z.B. durch Zeitarbeit)
Auch ist der User Azub1, Azubi2... beliebt.
Das entlastet zeitlich die Admins etwas.
Du musst nicht aller paar Tage x neue User anlegen.
Ist zwar nicht die reine Lehre, aber....
Ist halt eine Glaubensfrage
ob es (auch im Hinblick auf die Sicherheit) wirklich Sinn macht.Frank
Hi!
Das wird oftmals heute auch gemacht um Kosten zu sparen. Bei manchen Lizenzvarianten (z.B. Foundation gehen maximal 15 Userkonten), die vor allem für kleine Betriebe interessant sind, kann man nur eine bestimmte Anzahl von Usern im AD anlegen. Und mittlerweile ist es ja zur regelrechten Unsitte geworden, dass gerade an der Administration gerne gespart wird und auf "ich lese ja immer Computerzeitschriften, was soll denn schon passieren" - Admins zurückgegriffen wird. Und bevor wieder über den arroganten mrtux herumgemeckert wird -> Anwesende sind natürlich ausgeschlossen! Leider aber beobachte ich das halt nun mal in meinem Alltag. Bisweilen lasse ich so einen Kunden auch mal gegen wie Wand fahren, sofern es für uns als externen Dienstleiter keine rechtlichen Konsequenzen hat, denn nix hilft besser als der - Aha Effekt
Wenn es die Lizenz erlaubt dann würde ich zumindest dem ständig fluktuierenden Personal ein extra Konto verpassen, die Rechte so minimal wie möglich setzen und Benutzerkonten nur vom Stammpersonal sharen aber aus sicherheitstechnischer Sicht ist das eigentlich keine Lösung, wie Du ja schon selbst erkannt hast.
mrtux
Das wird oftmals heute auch gemacht um Kosten zu sparen. Bei manchen Lizenzvarianten (z.B. Foundation gehen maximal 15 Userkonten), die vor allem für kleine Betriebe interessant sind, kann man nur eine bestimmte Anzahl von Usern im AD anlegen. Und mittlerweile ist es ja zur regelrechten Unsitte geworden, dass gerade an der Administration gerne gespart wird und auf "ich lese ja immer Computerzeitschriften, was soll denn schon passieren" - Admins zurückgegriffen wird. Und bevor wieder über den arroganten mrtux herumgemeckert wird -> Anwesende sind natürlich ausgeschlossen! Leider aber beobachte ich das halt nun mal in meinem Alltag. Bisweilen lasse ich so einen Kunden auch mal gegen wie Wand fahren, sofern es für uns als externen Dienstleiter keine rechtlichen Konsequenzen hat, denn nix hilft besser als der - Aha Effekt
Wenn es die Lizenz erlaubt dann würde ich zumindest dem ständig fluktuierenden Personal ein extra Konto verpassen, die Rechte so minimal wie möglich setzen und Benutzerkonten nur vom Stammpersonal sharen aber aus sicherheitstechnischer Sicht ist das eigentlich keine Lösung, wie Du ja schon selbst erkannt hast.
mrtux
Also kann man festhalten, dass es zwei Gründe gibt:
1. Linzenzkosten
2. oder bei ständig wechselnden Mitarbeitern, der Verwaltungsaufwand
Ok, das erklärt einiges und macht durchaus Sinn. Natürlich geht Nachvollziehbarkeit und Sicherheit dadurch flöten.
Gruß
1. Linzenzkosten
2. oder bei ständig wechselnden Mitarbeitern, der Verwaltungsaufwand
Ok, das erklärt einiges und macht durchaus Sinn. Natürlich geht Nachvollziehbarkeit und Sicherheit dadurch flöten.
Gruß
Hallo,
wir machen bei uns fuer jeden Mitarbeiter einen eigenen AD Account. Leider dauert den meisten Mitarbeitern (teilweise benutzen mehrere Leute den gleichen Rechner in einer Schicht) das Ummelden zu lange. Ich kann es in gewisser Weise verstehen, dass sich nicht wegen jedem Mausklick, den man machen muss umgemeldet wird, allerdings geht dies auf Kosten der Sicherheit.
Der Aufschrei war groß als wir angefangen haben von "Sammel"-Accounts auf persönliche umzustellen, wir hatten anfangs hier im Betrieb das gleiche Problem wie du.
Im Nachhinein sind aber auch einige Mitarbeiter auf uns zugekommen und haben sich bedankt, dass nun nicht mehr jeder an alles drankommt und so auch Sachen wie z.B. Schreiben an Betriebsrat oder ähnliches abgespeichert werden konnte. Im Endeffekt haben wir leider einige Ausnahmen gemacht, d.h. es existieren noch gewisse "Sammel"-Accounts, aber jeder hat ein persönliches Login mit speziellen Berechtigungen und eigenem Homelaufwerk und somit die Möglichkeit mit dem eigenen Account zu arbeiten.
wir machen bei uns fuer jeden Mitarbeiter einen eigenen AD Account. Leider dauert den meisten Mitarbeitern (teilweise benutzen mehrere Leute den gleichen Rechner in einer Schicht) das Ummelden zu lange. Ich kann es in gewisser Weise verstehen, dass sich nicht wegen jedem Mausklick, den man machen muss umgemeldet wird, allerdings geht dies auf Kosten der Sicherheit.
Der Aufschrei war groß als wir angefangen haben von "Sammel"-Accounts auf persönliche umzustellen, wir hatten anfangs hier im Betrieb das gleiche Problem wie du.
Im Nachhinein sind aber auch einige Mitarbeiter auf uns zugekommen und haben sich bedankt, dass nun nicht mehr jeder an alles drankommt und so auch Sachen wie z.B. Schreiben an Betriebsrat oder ähnliches abgespeichert werden konnte. Im Endeffekt haben wir leider einige Ausnahmen gemacht, d.h. es existieren noch gewisse "Sammel"-Accounts, aber jeder hat ein persönliches Login mit speziellen Berechtigungen und eigenem Homelaufwerk und somit die Möglichkeit mit dem eigenen Account zu arbeiten.
Hallo,
wenn die individuellen Rechte der User im System sich nicht unterscheiden, ist es sicher möglich mit so einem "Universal-Account" zu arbeiten. Für "festes" Personal würde ich es aber trotzdem nicht empfehlen!
Problematisch wird es, wenn Mail oder andere Kommunikation (zB. PC-Fax) ins Spiel kommt. Hier ist der Datenschutz zu beachten. Gibt es nur einen Universal-User gibt es in der Regel auch nur ein "Universal-" Postfach, auf das dann alle Zugriff haben. Es ist dann sicher zustellen, dass unter keinen Umständen private Kommunikation in diesem Postfach landet (zB. private Nutzung von Internet und Mail per Betriebsvereinbarung verbieten, Universal-Postfach nicht von "Außen" erreichbar usw.).
Häufig ist es aber aus arbeitsorganisatorischer Sicht nicht vermeidbar mit so einem Universal-Account zu arbeiten: immer dann, wenn mehere Personen diesen PC innerhalb der gleichen Zeitspanne (Schicht) parallel nutzen (PC im Schwestern-Zimmer des Krankenhauses; PC im Lager usw.) Wenn der Mitarbeiter sich jedes mal erst mit seinem individuellen Account anmelden muß, wenn er im PC etwas nachschauen will und sich danach wieder abmeldet, ist das nicht praktikabel.
Ich löse solche Situationen dadurch, das ich neben den individuellen Accounts für jeden Mitarbeiter dann noch sogenannte "Funktions-Accounts" einrichte (zB: Produktion, Lager, Werkstatt). Standardmäßig ist der Funktionsaccount angemeldet. Wenn der User seinen individuellen Account nutzen will (zB. um in sein Postfach zu schauen oder seine elektronische Stempelkarte zu kontrollieren oder Urlaub zu beantragen), meldet er sich dann mit seinem individuellen Account an, erledigt alles und meldet sich wieder ab. Danach wird wieder der Funktionsaccount angemeldet.
Damit ist das Datenschutzproblem gelöst.
Wenn man häufiger mit zeitweilig beschäftigten Usern zu "kämpfen" hat, muß man ja nicht zwingend für den individuellen Account den Namen des Mitarbeiters benutzen. Es geht ja auch "Praktikant1", "Pranktikant2" usw.
Wenn man konsequent mit Gruppen-Rechten und User-Vorlagen arbeitet, halte ich persönlich den Aufwand zur Einrichtung individueller Konten unter Nutzung des Mitarbeiternamens für überschaubar. Damit umschifft man viele rechtliche Fallstricke!
Jürgen
wenn die individuellen Rechte der User im System sich nicht unterscheiden, ist es sicher möglich mit so einem "Universal-Account" zu arbeiten. Für "festes" Personal würde ich es aber trotzdem nicht empfehlen!
Problematisch wird es, wenn Mail oder andere Kommunikation (zB. PC-Fax) ins Spiel kommt. Hier ist der Datenschutz zu beachten. Gibt es nur einen Universal-User gibt es in der Regel auch nur ein "Universal-" Postfach, auf das dann alle Zugriff haben. Es ist dann sicher zustellen, dass unter keinen Umständen private Kommunikation in diesem Postfach landet (zB. private Nutzung von Internet und Mail per Betriebsvereinbarung verbieten, Universal-Postfach nicht von "Außen" erreichbar usw.).
Häufig ist es aber aus arbeitsorganisatorischer Sicht nicht vermeidbar mit so einem Universal-Account zu arbeiten: immer dann, wenn mehere Personen diesen PC innerhalb der gleichen Zeitspanne (Schicht) parallel nutzen (PC im Schwestern-Zimmer des Krankenhauses; PC im Lager usw.) Wenn der Mitarbeiter sich jedes mal erst mit seinem individuellen Account anmelden muß, wenn er im PC etwas nachschauen will und sich danach wieder abmeldet, ist das nicht praktikabel.
Ich löse solche Situationen dadurch, das ich neben den individuellen Accounts für jeden Mitarbeiter dann noch sogenannte "Funktions-Accounts" einrichte (zB: Produktion, Lager, Werkstatt). Standardmäßig ist der Funktionsaccount angemeldet. Wenn der User seinen individuellen Account nutzen will (zB. um in sein Postfach zu schauen oder seine elektronische Stempelkarte zu kontrollieren oder Urlaub zu beantragen), meldet er sich dann mit seinem individuellen Account an, erledigt alles und meldet sich wieder ab. Danach wird wieder der Funktionsaccount angemeldet.
Damit ist das Datenschutzproblem gelöst.
Wenn man häufiger mit zeitweilig beschäftigten Usern zu "kämpfen" hat, muß man ja nicht zwingend für den individuellen Account den Namen des Mitarbeiters benutzen. Es geht ja auch "Praktikant1", "Pranktikant2" usw.
Wenn man konsequent mit Gruppen-Rechten und User-Vorlagen arbeitet, halte ich persönlich den Aufwand zur Einrichtung individueller Konten unter Nutzung des Mitarbeiternamens für überschaubar. Damit umschifft man viele rechtliche Fallstricke!
Jürgen
Moin,
.
Aber ich mache das bei mir nicht anders, Grund:
Wir wechseln beständig im 5-10 Minutentakt den Arbeitsplatz, mal abgesehen davon, dass ich gar nicht wissen will, wie das ganze offene Softwaregedrusel bei Nutzerummeldungen reagieren würde ... die Zeit dafür ist einfach nicht da. Insofern kann man das mit accounts für Nutzergruppen lösen, die zahlst Du halt zusätzlich. Oder Du lizensierst auf Maschinen ... will ich aber nicht.
LG, Thomas
Also kann man festhalten, dass es zwei Gründe gibt:
1. Linzenzkosten
halte ich für ein Gerücht. Wenn Du nicht die Zahl der notwendigen CAL hast, bist Du so oder so unterlizensiert ... Und Linzenzkosten - klingt irgendwie nach Ostmark 1. Linzenzkosten
.Aber ich mache das bei mir nicht anders, Grund:
Wir wechseln beständig im 5-10 Minutentakt den Arbeitsplatz, mal abgesehen davon, dass ich gar nicht wissen will, wie das ganze offene Softwaregedrusel bei Nutzerummeldungen reagieren würde ... die Zeit dafür ist einfach nicht da. Insofern kann man das mit accounts für Nutzergruppen lösen, die zahlst Du halt zusätzlich. Oder Du lizensierst auf Maschinen ... will ich aber nicht.
LG, Thomas
Wenn allerdings Exchange also Web Access genutzt wird, fallen die Bedenken bezüglich Mailaccount weg, da kann sich ja jeder mit seinem Mail Acccount (falls vorhanden) anmelden wie er lustig ist.
Hallo,
im Prinzip JA. Setzt aber voraus, dass individuelle User-Accounts (dh. individuelle Postfächer) vorhanden sind. Also so wie ich es mache: individuelle User-Accounts + Funktions-Account.
Jürgen
im Prinzip JA. Setzt aber voraus, dass individuelle User-Accounts (dh. individuelle Postfächer) vorhanden sind. Also so wie ich es mache: individuelle User-Accounts + Funktions-Account.
Jürgen
Hallo,
ja aber es muss sich nicht extra am Rechner umgemeldet werden.
ja aber es muss sich nicht extra am Rechner umgemeldet werden.