creyzee
Goto Top

Empfehlungen für den Einsatz von Zweigstellen-Admins

Hallo,

wir haben in unserer Firma mehrere Standorte. In allen Standorten steht mind. 1 Server. Die Administration ist zentralisiert. Jetzt habe ich mir überlegt, bestimmten MitarbeiterInnen in den Standorten das Recht zu geben, einige Aktionen direkt an dem lokalen Server durchzuführen, um die zentrale IT zu entlasten. In der Fachliteratur habe ich dazu mal den Begriff "Zweigstellen-Administrator (ZS-Admin)" gefunden.

Da keiner von diesen MitarbeiterInnen wirklich Ahnung von der Serverbetreuung hat und auch wegen möglichen Sicherheitsrisiken möchte ich den Zugriff natürlich weitestgehend einschränken.

Ich habe mir dafür ein Schema überlegt, dass ich hier gern mal zur Diskussion stellen möchte:
- die entsprechenden User-Accounts kommen in eine domänenlokale Gruppe ZAdmin (je Site eine eigene Gruppe)
- in einer GPO wird der Gruppe die lokale Anmeldung gewährt, der Loopbackverarbeitungsmodus ist aktiviert
- die GPO gilt nur für die entsprechenden Server und die Gruppe ZAdmin (Sicherheitsfilterung)
- in den Benutzereinstellungen der GPO habe ich dann verschiedene Einstellungen konfiguriert; es bleiben nur die Aktionen erlaubt, welche die ZS-Admins auch ausführen sollen

Jetzt habe ich aber ein Problem, bei dem ich nicht weiter komme: ich kann keine Zugriffsberechtigungen für den TaskPlaner in der GPO setzen (die User sollen Tasks starten und beenden können). Normalerweise haben ja nur Sicherungsoperatoren und Administratoren Zugriff auf den TaskPlaner.

Ein weiteres Problem: auf einigen Servern laufen Anwendungen, für die ein Administrator angemeldet sein muss (srvany & co. funktionieren nicht). Diese Server sind natürlich gesperrt. Und die Sperrung kann nur der Administrator oder der angemeldete Benutzer (=Administrator) aufheben. Wenn es jetzt Probleme mit dem Server gibt, dann soll der ZS-Admin sich lokal anmelden können. Das geht aber nicht, solange dieser nicht Mitglied der lokalen Administratorgruppe des Servers ist...

Ich möchte den ZS-Admins keine Administratorenrechte auf den Servern geben, weil sie so auch im Filesystem in Verzeichnisse reinkommen, für die sie sonst gesperrt wären. Zudem hängen da noch weitere Rechte dran, die nur Fachleute haben sollten.


Wie würdet ihr das angehen? Ich freu mich auf eure Antworten.

Bis denne sagt der creyzee

Content-Key: 146330

Url: https://administrator.de/contentid/146330

Ausgedruckt am: 29.03.2024 um 09:03 Uhr

Mitglied: goscho
goscho 06.07.2010 um 15:01:35 Uhr
Goto Top
Hallo creyzee.
Da keiner von diesen MitarbeiterInnen wirklich Ahnung von der Serverbetreuung hat und auch wegen möglichen Sicherheitsrisiken möchte ich den Zugriff natürlich weitestgehend einschränken.

Ein weiteres Problem: auf einigen Servern laufen Anwendungen, für die ein Administrator angemeldet sein muss (srvany & co. funktionieren nicht). Diese Server sind natürlich gesperrt. Und die Sperrung kann nur der Administrator oder der angemeldete Benutzer (=Administrator) aufheben. Wenn es
jetzt Probleme mit dem Server gibt, dann soll der ZS-Admin sich lokal anmelden können. Das geht aber nicht, solange dieser nicht Mitglied der lokalen Administratorgruppe des Servers ist...

Ich möchte den ZS-Admins keine Administratorenrechte auf den Servern geben, weil sie so auch im Filesystem in Verzeichnisse reinkommen, für die sie sonst gesperrt wären. Zudem hängen da noch weitere Rechte dran, die nur Fachleute haben sollten.

Das scheint ein Teufelskreis zu sein, aus welchem du selbst nur den Ausweg finden kannst, bspw. indem die MitarbeiterInnen ausreichend geschult werden oder weitere fähigere Mitarbeiter eingestellt werden. face-wink
Dann sollten auch Admins auf den Servern in den Außenstellen machbar sein.
Mitglied: creyzee
creyzee 06.07.2010 um 15:16:36 Uhr
Goto Top
Hallo goscho,

da hast du schon Recht, aber meine Lösung soll ja keine Vollwartung der Site-Server werden. Mir geht es darum, dass kleine Routineaufgaben von Nicht-Fachleuten ausgeführt werden können. Ich kann diesen MitarbeiterInnen durchaus diese Tätigkeiten beibringen, aber:
- ich möchte den Tätigkeitsbereich exakt abgrenzen, um mögliche Fehler auszuschließen
- den Zugriff auf vertrauliche Daten vermeiden, den ein Serveradministrator ja durchaus hat

Und gerade dem zweiten Punkt ist mit der besten Schulung der Welt nicht beizukommen... Klar, man muss seinen Admins vertrauen. Aber bring mal der GL bei, dass jetzt einige Leute Zugriff auf sensible Daten haben könnten und wir im Gegenzug die zentrale IT entlasten...

Mein Ansatz sieht vor, dass für die üblichen Aufgaben und Serverproblemchen fertige Scripte auf dem Server liegen, welche der ZS-Admin ausführen (aber nicht ändern) kann. Einige dieser Scripte sind auch in Tasks fertig eingebunden, die bei Bedarf manuell ausgeführt werden sollen. Aber speziell an die Tasks komme ich ja als ZS-Admin ohne lokale Adminrechte nicht ran...

Hast du da vielleicht noch ne Idee?

der creyzee
Mitglied: goscho
goscho 06.07.2010 um 15:59:56 Uhr
Goto Top
Nein, hier habe ich keine weitere Idee.

Wenn das admins sein müssen, hast du nur die Möglichkeit, diese admins zu sensibilisieren und zu schulen, regelmäßige Dasi helfen auch. face-smile
Mitglied: creyzee
creyzee 06.07.2010 um 21:17:36 Uhr
Goto Top
Hallo,

also für mein Taskplanerproblem habe ich eine Lösung gefunden:
1) mit cacls den ZS-Admins Vollzugriff auf den Ordner C:\Windows\Tasks geben
2) mit der GPO AdministrativeVorlagen\Windows-Komponenten\Taskplaner
- das Erstellen von Tasks verhindern
- das Löschen von Tasks nicht zulassen

Das Ergebnis: der ZS-Admin kann Tasks starten und beenden (und diese werden dann ja im hinterlegten Kontext ausgeführt), aber Löschen oder Erstellen funktioniert nicht. Es bleibt nur die Änderung von bestehenden Aufgaben.

Leider reichen beim cacls keine Leserechte aus, um Tasks starten bzw beenden zu können. Aber so reicht mir das schon.

Nun bleibt nur noch das Problem mit der Computersperre. Diese kann ja nur von Administratoren oder dem angemeldeten User aufgehoben werden. Mir fällt momentan nur ein, das Ganze organisatorisch zu lösen:
1) auf Servern, die eine dauerhafte Anmeldung erfordern, müssen sich die Admins der zentralen IT mit RDP anmelden und die Sitzung offen lassen
2) dann kann sich ein ZS-Admin lokal direkt am Server anmelden.


Welche Einstellungen würdet ihr denn für mein Vorhaben konfigurieren, um den ZS-Admins nur die nötigsten Rechte zu geben? Mein aktueller Stand: die ZS-Admins
- haben lokale Benutzerrechte (das ist ja schon mal recht minimal)
- können den Server neustarten, aber nicht herunterfahren
- können von mir vorgesehene Dienste über Scripte neustarten/starten
- Tasks starten/beenden
- können im FileSystem nur die Verzeichnisse/Dateien sehen, für die sie im NTFS vorgesehen sind
- können DruckJobs verwalten
Die Systemsteuerung, Eingabeaufforderung, und einige andere Konfigurationsmenüs sind natürlich nicht freigegeben.

Hat noch wer eine Idee?

Viele Grüße vom creyzee
Mitglied: 60730
60730 24.07.2010 um 12:01:39 Uhr
Goto Top
Moin,

genauspo - wie du das Tasks Problem gelöst hast - wirst du auch dein "Programm braucht Adminrechteproblem" lösen.

- glaub mir - ich hab nicht nur fette A Promi Software hier laufen - auch manche Konzerninterne Krücke - die bei unseren Schwestern schon immer unter Adminrechten liefen. - Jetzt auch nicht mehr.
Hier läuft das stinknormal unter daurechten - man muß nur das rechtekonzept entweder auf File oder Reg Ebene anpassen.
Von daher - ich hab auch keinen Server - der eine dauerhafte Anmeldung braucht.

Ok ein paar Kisten machen was wildes - das sind aber z.B irgendwelche Officemakros die auf einer VM laufen, die in einer anderen Domain stehen - die nur einen einseitigen Trust hat.

Ich denke - für jeden geschmack ist da immer was dabei und da die Geschmäcker unterschiedlich sind - auch die Rezepte mit denen man kocht.


Gruß