Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NT-Systemverwaltung ohne Administratorkennung

Mitglied: petere

petere (Level 1) - Jetzt verbinden

18.10.2013 um 10:51 Uhr, 1451 Aufrufe, 9 Kommentare

Hallo,

kennt ihr eine Möglichkeit bei einem Windows 2008 Netzwerk die Verwaltung (Updates, Neustart des Systems) ohne Administratorrechte zu machen. Das Ziel ist, dass eine Bürokraft mit einem kleinen Tool die Server so verwalten kann, ohne dass ich ihr Adminrechte zuweisen muss.

Es wäre ideal, wenn auch DHCP-Einstellungen auf diese Art vorgenommen werden könnten.

Vielen Dank im Voraus.
Peter
Mitglied: Bitboy
18.10.2013 um 11:00 Uhr
Hi,

klingt ja ein bischen abenteuerlich was du da vor hast. Vllt kannste etwas mehr zu den Hintergründen sagen.
Soll die Bürokraft wirklich die Updates die installiert werden sollen und den Rollout durchführen? Oder einfach nur den Installationszeitpunkt am Client selber bestimmen können?

Beim DHCP siehts eher noch schlechter aus. Einer Person ohne Netzwerkkenntnisse die DHCP Konfiguration zu überlassen endet wahrscheinlich mit einem kaputten Netzwerk.
Bitte warten ..
Mitglied: Lochkartenstanzer
18.10.2013, aktualisiert um 11:16 Uhr
Zitat von petere:
Es wäre ideal, wenn auch DHCP-Einstellungen auf diese Art vorgenommen werden könnten.

Was muß am DHCP noch geschraubt werden, nachdem es einmal ordentlich eingerichtet wurde?

Anonsten: es hat schon seinen grund, warum man Adminrechte braucht, um ein System zu administrieren.

Zusätzlich ist da noch die Frage, warum man der Bürkraft keine Adminrechte geben will:

Fehlendes Vertrauen? Dann sollte man jemand anders dafür nehmen.
Fehlende Kenntisse? Mitarbeiter schulen!

lks
Bitte warten ..
Mitglied: petere
18.10.2013 um 11:23 Uhr
Es ist komplizierter. Der Mitarbeiter ist gelernter ITkaufmann, kann das, darf es aber nicht. Beim DHCP reicht die Neuanlage fester IP-MAC-Bindungen. Nichts weiter.

Das Problem ist ja ein generelles. Hat ein Mitarbeiter Adminrechte im Netzwerk kann er sich theoretisch Zugang zu jedem Speichersystem verschaffen. Auch auf das der Geschäftsleitung. Das möchte ich durch eine Umgehung verhindern können.
Bitte warten ..
Mitglied: Lochkartenstanzer
18.10.2013 um 11:46 Uhr
Zitat von petere:
Es ist komplizierter. Der Mitarbeiter ist gelernter ITkaufmann, kann das, darf es aber nicht.

Dann muß man jemanden finden, dem man genug vertrauen entgegenbringt.

Oder 4-Augen-Prinzip. Einer der "darf" gitb das Adminpaßwort ein udn schaut dem Mitarbeiter solange über die Schulter, bis er seine Arbeit erledigt hat.

Beim DHCP reicht die Neuanlage
fester IP-MAC-Bindungen. Nichts weiter.

Kleine periodisch laufendes Script erstellen, daß mit Adminrechten läuft und auf das vorhandensein einer Textdatei prüft und entsprechend dem Inhalt die DHCP-Werte setzt.


Das Problem ist ja ein generelles. Hat ein Mitarbeiter Adminrechte im Netzwerk kann er sich theoretisch Zugang zu jedem
Speichersystem verschaffen. Auch auf das der Geschäftsleitung. Das möchte ich durch eine Umgehung verhindern
können.

Deswegen setzt man entsprechende zugriffsrechte oderlegt die so verschlüsselt ab, daß man nur mit Paßwort drankommt. Wenn der Mitarbeiter wieder erwarten sich die zrugriffsrechte trotzdem verschafft, fällt das auf, bzw wird per Alert vom System gemeldet und man kann passende maßnahmen ergreifen.

Nicht umsonst gibt es in den meisten betribessystemn die Möglichkeit auch den Administrator per ACLs einzuschränken.

lks
Bitte warten ..
Mitglied: Bitboy
18.10.2013, aktualisiert um 11:54 Uhr
Etwas OffTopic aber weils grad passt: Den letzten IT-Kaufmann den ich erlebt habe wollte durch manuelles einstellen der BIOS Uhrzeit die Zeit im Netzwerk synchronisieren. Und nein, weder die Betonung der Aussage noch der Gesichtsausdruck liess darauf schliessen, dass es ein Scherz war...

Bezüglich DHCP: http://technet.microsoft.com/en-us/library/cc737716(v=ws.10).aspx
Hinzufügen des Benutzers zu den DHCP Administratoren. Heisst natürlich Vollzugriff auf DHCP Dienst und nicht nur IP-MAC Einträge

Für WSUS gibts auch so eine Admingruppe.

Drauf berechtigen, und auf dem Client die passenden RSAT Tools installieren.

Edit: Zu langsam, Selbstbastel Möglichkeit wurde ja schon genannt.
Bitte warten ..
Mitglied: flow.ryan
18.10.2013 um 12:28 Uhr
@Bitboy:
Naja.... also dieses über einen Kamm scheren finde ich wieder nicht so toll.

Ich bin selbst gelernter IT-Kaufmann, jedoch habe ich mich mehr der Technik gewidmet und etliche Schulungen besucht und Zertifikate angesammelt...

Gruß,
Florian.
Bitte warten ..
Mitglied: Bitboy
18.10.2013 um 12:41 Uhr
"DEN letzten, DEN ICH erlebt habe", das bezieht sich unmissverständlich auf genau eine Person.


Aber noch was zu der Selbstbastel-Lösung, vergiss nicht dass die immer nur so gut sind, wie derjenige der die Fehlerkorrekturen programmiert.
Im vorliegenden Fall würde das bedeuten, wird IP und MAC auf richtiges Format validiert? Wird geprüft ob die Einträge schon vergeben sind? Ist die IP in der Range des DHCP? Bekommt der Anwender eine Rückmeldung obs geklappt hat oder nicht? Und zuletzt, wenn er Einträge anlegen kann, kann er dann auch welche löschen wenn einer nicht mehr benötigt wird, oder die IP anders genutzt werden muss?
Bitte warten ..
Mitglied: petere
18.10.2013, aktualisiert um 15:18 Uhr
Das liefert mir schon einige Hinweise. Danke.

Bei den Systemupdates gibt es diese Admingruppe leider nicht, oder? Oder reicht es aus, wenn sich der User mit einem Konto anmeldet, das auf den "lokalen Server" die Berechtigung zum lokalen Anmelden hat?

So eine Art Enterprise-Management-Tool kennt ihr nicht oder? Ich erinnere mich in grauer Vorzeit mal ein solches Tool in der Hand gehabt zu haben, das arbeitete mit lokal auf den Servern installierten Diensten und einer zentralen Management-Konsole für Neustart / Wartung usw. Das war zu einer Zeit, als es RDP auf den Systemen noch nicht gab.



Kann mir jemand das mit den ACLs erklären. Ich bin auf dem Stand, dass sich jeder Admin über die ACL-Einstellungen hinwegsetzen kann.

Edit (20131810-1518): Eine andere Idee: eine Art Passwort-Manager welcher das Kennwort kennt, aber nicht über die Tastatur eingibt sondern eine RDP-Sitzung öffnet, ohne dass das Kennwort nach außen gelangt ... ggf. eine Idee zum Eigenbau?
Bitte warten ..
Mitglied: Lochkartenstanzer
18.10.2013 um 17:54 Uhr
Zitat von petere:

Kann mir jemand das mit den ACLs erklären. Ich bin auf dem Stand, dass sich jeder Admin über die ACL-Einstellungen
hinwegsetzen kann.

Wenn er den Besitz der Datei übernimmt, kann er sich sehr wohl üeb rdie ACLs hinwegsetzen. Alelrdigns fällt das auf, da sich der besitzer gändert hat. Und wenn Du die Trigger richtig setzt, meldet Dir das System auch, wenn derjenige die Datei auch nur schief anschaut.

Ansonsten zum Einstieg:

http://technet.microsoft.com/en-us/library/cc770749.aspx

lks
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate

NT-Password (NT Hash) unter Windows generieren

gelöst Frage von PedantVerschlüsselung & Zertifikate7 Kommentare

Hallo, es muss doch irgendwie möglich sein ein NT-Password (einen NT-Hash) unter Windows zu erzeugen!? Es ist doch ein ...

Papierkorb

NT Password booting the kernel

Frage von Ghost108Papierkorb8 Kommentare

Hallo zusammen, habe hier ein Notebook mit Windows 10, bei dem der User das Passwort vergessen hat. Wollte dieses ...

Server-Hardware

Alternative zu Emulex 10 Gigabit OCe14102 NT - S2D

Frage von StfnCstrServer-Hardware2 Kommentare

Hallo Zusammen, ich suche RDMA fähige 10Gbit Kupfer FA-Interface. Die Emulex sollen doch sehr "Exotisch sein" Die Intel X500 ...

Windows XP

Windows XP - Mit Windows NT 4.0 erstellte Basisvolumes

Frage von MetacrawlerWindows XP1 Kommentar

Hallo, ich versuche gerade mittels MDT 2013 Update 1 in einer VM eine Windows XP testinstallation durchzuführen. Ich habe ...

Neue Wissensbeiträge
Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 2 TagenAusbildung35 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 4 TagenSpeicherkarten5 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 4 TagenSicherheit1 Kommentar

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 4 TagenHardware4 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Passwortwechsel Zeitpunkt festlegen
Frage von Looser27Windows Userverwaltung27 Kommentare

Guten Morgen liebe Kolleginnen und Kollegen, da es eine Userin in meinem Urlaub geschafft hat, sich vom AD vollständig ...

Windows Server
Probleme im AD am Außenstandort
gelöst Frage von emeriksWindows Server19 Kommentare

Hi, wir haben ein Problem mit AD und GPO am Außenstandort und ich stehe momentan mächtig auf dem Schlauch. ...

Windows 10
Windows 10 Spracherkennung - Eure Meinungen?
Frage von honeybeeWindows 1014 Kommentare

Hallo, wollte heute mal aus Neugier die Spracherkennung unter Windows 10 (Version 1803) ausprobieren und war mehr wie enttäuscht. ...

Switche und Hubs
POE-Switche
gelöst Frage von MiStSwitche und Hubs13 Kommentare

Guten Morgen, ich überlege ob ich in unserem Netzwerk die aktuellen Switche (D-LINK DGS-1210-28) durch PoE-Switche ersetzen soll. Der ...