Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Empfehlungen für den Einsatz von Zweigstellen-Admins

Frage Microsoft Windows Server

Mitglied: creyzee

creyzee (Level 1) - Jetzt verbinden

06.07.2010 um 13:47 Uhr, 2755 Aufrufe, 5 Kommentare

Hallo,

wir haben in unserer Firma mehrere Standorte. In allen Standorten steht mind. 1 Server. Die Administration ist zentralisiert. Jetzt habe ich mir überlegt, bestimmten MitarbeiterInnen in den Standorten das Recht zu geben, einige Aktionen direkt an dem lokalen Server durchzuführen, um die zentrale IT zu entlasten. In der Fachliteratur habe ich dazu mal den Begriff "Zweigstellen-Administrator (ZS-Admin)" gefunden.

Da keiner von diesen MitarbeiterInnen wirklich Ahnung von der Serverbetreuung hat und auch wegen möglichen Sicherheitsrisiken möchte ich den Zugriff natürlich weitestgehend einschränken.

Ich habe mir dafür ein Schema überlegt, dass ich hier gern mal zur Diskussion stellen möchte:
- die entsprechenden User-Accounts kommen in eine domänenlokale Gruppe ZAdmin (je Site eine eigene Gruppe)
- in einer GPO wird der Gruppe die lokale Anmeldung gewährt, der Loopbackverarbeitungsmodus ist aktiviert
- die GPO gilt nur für die entsprechenden Server und die Gruppe ZAdmin (Sicherheitsfilterung)
- in den Benutzereinstellungen der GPO habe ich dann verschiedene Einstellungen konfiguriert; es bleiben nur die Aktionen erlaubt, welche die ZS-Admins auch ausführen sollen

Jetzt habe ich aber ein Problem, bei dem ich nicht weiter komme: ich kann keine Zugriffsberechtigungen für den TaskPlaner in der GPO setzen (die User sollen Tasks starten und beenden können). Normalerweise haben ja nur Sicherungsoperatoren und Administratoren Zugriff auf den TaskPlaner.

Ein weiteres Problem: auf einigen Servern laufen Anwendungen, für die ein Administrator angemeldet sein muss (srvany & co. funktionieren nicht). Diese Server sind natürlich gesperrt. Und die Sperrung kann nur der Administrator oder der angemeldete Benutzer (=Administrator) aufheben. Wenn es jetzt Probleme mit dem Server gibt, dann soll der ZS-Admin sich lokal anmelden können. Das geht aber nicht, solange dieser nicht Mitglied der lokalen Administratorgruppe des Servers ist...

Ich möchte den ZS-Admins keine Administratorenrechte auf den Servern geben, weil sie so auch im Filesystem in Verzeichnisse reinkommen, für die sie sonst gesperrt wären. Zudem hängen da noch weitere Rechte dran, die nur Fachleute haben sollten.


Wie würdet ihr das angehen? Ich freu mich auf eure Antworten.

Bis denne sagt der creyzee
Mitglied: goscho
06.07.2010 um 15:01 Uhr
Hallo creyzee.
Da keiner von diesen MitarbeiterInnen wirklich Ahnung von der Serverbetreuung hat und auch wegen möglichen Sicherheitsrisiken möchte ich den Zugriff natürlich weitestgehend einschränken.

Ein weiteres Problem: auf einigen Servern laufen Anwendungen, für die ein Administrator angemeldet sein muss (srvany & co. funktionieren nicht). Diese Server sind natürlich gesperrt. Und die Sperrung kann nur der Administrator oder der angemeldete Benutzer (=Administrator) aufheben. Wenn es
jetzt Probleme mit dem Server gibt, dann soll der ZS-Admin sich lokal anmelden können. Das geht aber nicht, solange dieser nicht Mitglied der lokalen Administratorgruppe des Servers ist...

Ich möchte den ZS-Admins keine Administratorenrechte auf den Servern geben, weil sie so auch im Filesystem in Verzeichnisse reinkommen, für die sie sonst gesperrt wären. Zudem hängen da noch weitere Rechte dran, die nur Fachleute haben sollten.

Das scheint ein Teufelskreis zu sein, aus welchem du selbst nur den Ausweg finden kannst, bspw. indem die MitarbeiterInnen ausreichend geschult werden oder weitere fähigere Mitarbeiter eingestellt werden.
Dann sollten auch Admins auf den Servern in den Außenstellen machbar sein.
Bitte warten ..
Mitglied: creyzee
06.07.2010 um 15:16 Uhr
Hallo goscho,

da hast du schon Recht, aber meine Lösung soll ja keine Vollwartung der Site-Server werden. Mir geht es darum, dass kleine Routineaufgaben von Nicht-Fachleuten ausgeführt werden können. Ich kann diesen MitarbeiterInnen durchaus diese Tätigkeiten beibringen, aber:
- ich möchte den Tätigkeitsbereich exakt abgrenzen, um mögliche Fehler auszuschließen
- den Zugriff auf vertrauliche Daten vermeiden, den ein Serveradministrator ja durchaus hat

Und gerade dem zweiten Punkt ist mit der besten Schulung der Welt nicht beizukommen... Klar, man muss seinen Admins vertrauen. Aber bring mal der GL bei, dass jetzt einige Leute Zugriff auf sensible Daten haben könnten und wir im Gegenzug die zentrale IT entlasten...

Mein Ansatz sieht vor, dass für die üblichen Aufgaben und Serverproblemchen fertige Scripte auf dem Server liegen, welche der ZS-Admin ausführen (aber nicht ändern) kann. Einige dieser Scripte sind auch in Tasks fertig eingebunden, die bei Bedarf manuell ausgeführt werden sollen. Aber speziell an die Tasks komme ich ja als ZS-Admin ohne lokale Adminrechte nicht ran...

Hast du da vielleicht noch ne Idee?

der creyzee
Bitte warten ..
Mitglied: goscho
06.07.2010 um 15:59 Uhr
Nein, hier habe ich keine weitere Idee.

Wenn das admins sein müssen, hast du nur die Möglichkeit, diese admins zu sensibilisieren und zu schulen, regelmäßige Dasi helfen auch.
Bitte warten ..
Mitglied: creyzee
06.07.2010 um 21:17 Uhr
Hallo,

also für mein Taskplanerproblem habe ich eine Lösung gefunden:
1) mit cacls den ZS-Admins Vollzugriff auf den Ordner C:\Windows\Tasks geben
2) mit der GPO AdministrativeVorlagen\Windows-Komponenten\Taskplaner
- das Erstellen von Tasks verhindern
- das Löschen von Tasks nicht zulassen

Das Ergebnis: der ZS-Admin kann Tasks starten und beenden (und diese werden dann ja im hinterlegten Kontext ausgeführt), aber Löschen oder Erstellen funktioniert nicht. Es bleibt nur die Änderung von bestehenden Aufgaben.

Leider reichen beim cacls keine Leserechte aus, um Tasks starten bzw beenden zu können. Aber so reicht mir das schon.

Nun bleibt nur noch das Problem mit der Computersperre. Diese kann ja nur von Administratoren oder dem angemeldeten User aufgehoben werden. Mir fällt momentan nur ein, das Ganze organisatorisch zu lösen:
1) auf Servern, die eine dauerhafte Anmeldung erfordern, müssen sich die Admins der zentralen IT mit RDP anmelden und die Sitzung offen lassen
2) dann kann sich ein ZS-Admin lokal direkt am Server anmelden.


Welche Einstellungen würdet ihr denn für mein Vorhaben konfigurieren, um den ZS-Admins nur die nötigsten Rechte zu geben? Mein aktueller Stand: die ZS-Admins
- haben lokale Benutzerrechte (das ist ja schon mal recht minimal)
- können den Server neustarten, aber nicht herunterfahren
- können von mir vorgesehene Dienste über Scripte neustarten/starten
- Tasks starten/beenden
- können im FileSystem nur die Verzeichnisse/Dateien sehen, für die sie im NTFS vorgesehen sind
- können DruckJobs verwalten
Die Systemsteuerung, Eingabeaufforderung, und einige andere Konfigurationsmenüs sind natürlich nicht freigegeben.

Hat noch wer eine Idee?

Viele Grüße vom creyzee
Bitte warten ..
Mitglied: 60730
24.07.2010 um 12:01 Uhr
Moin,

genauspo - wie du das Tasks Problem gelöst hast - wirst du auch dein "Programm braucht Adminrechteproblem" lösen.

- glaub mir - ich hab nicht nur fette A Promi Software hier laufen - auch manche Konzerninterne Krücke - die bei unseren Schwestern schon immer unter Adminrechten liefen. - Jetzt auch nicht mehr.
Hier läuft das stinknormal unter daurechten - man muß nur das rechtekonzept entweder auf File oder Reg Ebene anpassen.
Von daher - ich hab auch keinen Server - der eine dauerhafte Anmeldung braucht.

Ok ein paar Kisten machen was wildes - das sind aber z.B irgendwelche Officemakros die auf einer VM laufen, die in einer anderen Domain stehen - die nur einen einseitigen Trust hat.

Ich denke - für jeden geschmack ist da immer was dabei und da die Geschmäcker unterschiedlich sind - auch die Rezepte mit denen man kocht.


Gruß
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Zeiterfassung in der Zweigstelle
Frage von NickerNetzwerke4 Kommentare

Hallo, ich habe ein dringendes Problem bei dem ich mal nen Anstoss benötige: Umgebung: Windows SBS 2003 Netzwerk im ...

Rechtliche Fragen
Einsatz von Wireshark
gelöst Frage von TeilzeitotakuRechtliche Fragen3 Kommentare

Guten Tag Folgende Situation: Ich mache gerade eine Ausbildung zum Fachinformatiker für Systemintegration und befinde mich gerade in der ...

Sonstige Systeme
Einsatz eines Ticketsystem
gelöst Frage von gamerffSonstige Systeme14 Kommentare

Hallo Forum, Was haltet ihr von einem einsatz eines Ticketsystems im EDV Bereich?

Switche und Hubs
Suche Router für AP Einsatz
gelöst Frage von KarlikaSwitche und Hubs32 Kommentare

Hallo, ich suche für ein Netzwerk im MIetshaus noch 3 Wlan APs. Dafür würde ich Router nehmen die so ...

Neue Wissensbeiträge
Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 2 StundenMac OS X

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser ereichbar sind. Leider fehlt ...

Datenschutz

Weitere Inforamtionen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 9 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 10 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 14 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1017 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...