Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Grundsatzfrage IT Administration - Berechtigungen der Admins

Frage Microsoft Windows Netzwerk

Mitglied: Marco-83

Marco-83 (Level 1) - Jetzt verbinden

25.09.2013 um 14:25 Uhr, 4654 Aufrufe, 11 Kommentare, 5 Danke

Hallo liebe Administrator Kollegen. Ich habe einmal eine Grundsätzliche Frage, wie es in euren Firmen in der IT Abteilung abläuft. Ich betreue mit einem Kollegen zusammen alleine ca. 120 Arbeitsplätze an verschiedenen Standorten und ca. 10 Server. Darunter auch Webserver / Firewall / VMware Vsphere / Exchange 2010 / 2012 Server / 2003 Server / 2008 Server und div. Linux.

Erst einmal eine grundsätzliche Frage. Gibt es eine grobe Faustregel, wieviele Admins auf welche Anzahl von Benutzern bzw. Servern zum einsatz kommen sollten? Klar ist es eine Frage wie komplex die IT Struktur ist. Bei uns z.B CAD Software mit Lizenzservern, ERP Software aus eigener Entwicklung, Wlans , VPN mit 4 weiteren Standorten, VPN User mit OpenVPN Clients, Verwaltung der Telefonanlage mit UC Client auf den PC's (Hipath 4000)
Und zu allem Überlauf noch die Verwaltung von Mobilfunkgeräten und Sim Karten.

Ich hätte einfach gerne mal eine Meinung von euch dazu, mit wieviel Personen ihr ähnliches bewerkstelligt. Da mein Kollege und ich auch noch andere Aufgaben wie z.B den Support der eigens entwickelten Software bei Kunden haben, geraten wir langsam ein wenig ins rotieren ;)

Nun soll noch ein weiterer zu Hilfe kommen. Natürlich möchte man nicht einem neuen sofort die Admin Passwörter für seine Systeme geben. Die Server / Switch und sonstige Infrastruktur soll quasi weiter durch meinen Kollegen und mich betreut werden. Der neue Soll Aufgaben wie die Installation von Software auf PC's von Benutzern bewerkstelligen. Einige Benutzer haben bei uns in der Domäne lokale Admin Rechte, da es aus div. Gründen wie z.B IP Umschaltung / Installation von Komponenten für die Entwicklung nicht anders möglich ist.

Andere Benutzer haben nur die normalen rechte die ein User am Arbeitsplatz haben sollte. Jetzt meine Frage, wie bekomme ich es hin, dass z.B der neue Software auf PC's installieren kann, ohne dass ich ihm unser Admin Kennwort nenne. Einen eigenen User anlegen, klar. Aber dieser muss ja dann aich Rechte auf den lokalen Clients haben. Klassisches Beispiel: die Aktualisierung von Flash Player,Java,Firefox

Die Client's sind zu 85% Win7 Pro. Notebooks und Arbeitsplatz PC's 15% sind noch Windows XP Pro basiert.

Mitglied: Mantigul
25.09.2013 um 14:38 Uhr
Hallo,

also wie viele Admins wie viele Rechner/Server/Außenstellen administrieren können kann man nicht sagen. Es kommt auf eure Umgebung an und wie alles eingerichtet ist.
Ich Hab eine Umgebung erlebt von 500 Clients, die 2 Mann gemacht haben und das locker und auch eine mit 25 Clients, wo 3 Mann sich die Zähne ausgebissen haben.
Es kommt immer darauf an was die Admins noch nebenbei machen müssen. Sim-Karten, Homepage etc. verwalten, dann braucht man logischerweise mehr.

Zu deinem Neuen Kollegen:
Einfachste Möglichkeit: Erstell eine Gruppe im AD und nimm Ihn auf. Per Script/GPO kannst du diese Gruppe bei den ganzen Clients zu den lokalen Administratoren hinzufügen --> Problem gelöst.

Um euch auf Dauer Arbeit zu sparen lohnt sich bei der Größe aber schon eher eine Software-Verteilung. So spart ihr eine Menge Zeit --> Empfehlung ist kostenlos Opsi oder wenn Ihr ein wenig Geld ausgeben wollt baramundi. Hat den Vorteil, von baramundi kommen im Monat immer alle neusten Java, Flash , ... Versionen, die Ihr einmal Monatlich automatisch verteilen könnt. so habt ihr keine wirklich keine Arbeit mehr mit solch Kleinzeug. Auch Client Installationen könnt Ihr Delegieren. Ihr erlaubt euren Mitarbeiter Softwareinstallationen über baramundi, aber er selber benötigt keine Adminrechte.

Nach der Einführung von baramundi bei uns hab ich innerhalb von 4 Wochen 80% meiner Arbeit automatisiert und ein weiterer Vorteil war, dass die Domäne homogen wurde. So hat der Admin auf Dauer auch nur Vorteile.


So wie es klingt ist es bei euch das reinste Chaos --> Kenn ich
Bitte warten ..
Mitglied: Rudbert
25.09.2013 um 14:57 Uhr
Hallo,


wir haben hier in etwa die gleiche Umgebung:

- 120 Clients
- 15 Server
- 16 Standorte (6x LWL Anbindung, 10x DSL Business per VPN an CompanyConnect in Zentrale)
- 40 Drucker, davon 10 Großgeräte mit Wartungsvertrag
- Firewall-Cluster Sophos UTM und SonicWALL NSA
- vSphere Cluster mit 3 Hosts an iSCSI Storage
- Telefonanlage, Handys (BlackBerry), 40 verschiedene Fachanwendungen (kommunale Software für eine Stadtverwaltung)

Wir betreuen alle EDV-Belange selbst und lassen uns neue Anschaffungen beispielsweise vSphere in einem Workshop von DL einrichten und administrieren diese dann im Anschluss selbst. Wartung für HW und SW natürlich direkt vom Hersteller.

Dazu haben wir noch ca. 120 Schul-PCs mit Wächtersoftware.


Eine kürzlich durchgeführte Stellenbemessung durch den BKPV (kommunaler Prüfungsverband in Bayern) hat eine Gesamtsumme von 2,05 Stellen für diese Umgebung ergeben (inkl. den 120 Schul-PCs). Hätte da auch mit mind. 3 Stellen gerechnet. Aber nun ersetzen wir halt die Schul-PCs voraussichtlich durch 120 virtuelle Desktops und hosten diese auf unserem vSphere-Cluster vor Ort.


Meinen früheren Recherchen kann man mit einer Zahl von 50-150 Clients pro Admin rechnen, die natürlich stark von der Umgebung abhängig ist. Eine homogene VDI-Infrastruktur mit 1000 gleichen Desktops braucht natürlich weniger Admins als eine heterogene Struktur mit vielen Außenstellen, div. Anbindungsvarianten, verschiedenen Betriebssystemen und gemischter Hardware auf Desktop-Seite.


mfg -sd
Bitte warten ..
Mitglied: DerWoWusste
25.09.2013, aktualisiert um 17:40 Uhr
Hi.

Zur "Faustregel": da teile ich Mantiguls Meinung.
Zu Deiner Adminrechtvergabe an Nutzer: Für's Netzwerkkonfigurieren gibt es seit xp für genau diesen Zweck die Gruppe Netzwerkkonfigurationsoperatoren - Nutzer rein, Adminrechte fortan überflüssig. Bei UAC-Betriebssystemen beachten, dass der Nutzer beim Konfigurieren lediglich ein zweites Mal sein eigenes Kennwort eingeben muss, obwohl Windows ein Adminkennwort haben möchte (Beschriftungsfehler).
Zur Softwareverteilung: Gerade zu Deinen Flash Player,Java,Firefox gibt es doch MSI-Pakete, so dass Du sie per GPO aktuell halten kannst. Für Firefox jedoch nicht von Mozilla, sondern von Frontmotion - genannt Community Edition, ist aber baugleich http://www.frontmotion.com/FMFirefoxCE/download_fmfirefoxce.htm
Zu Deinem "Hilfssheriff": wie schon genannt: AD-Gruppe Hilfsadmins erstellen, sein Konto rein und dann die Gruppe per GPO-Funktion "eingeschränkte Gruppen" in die lokalen Admingruppen aufnehmen. Nachtrag: Achtung: diese GPO natürlich nicht auf Servern zur Anwendung bringen, auf denen er nicht Admin sein darf.
Bitte warten ..
Mitglied: Dirmhirn
25.09.2013 um 15:22 Uhr
hi!

Wir sind bald 8 (davon 3 Vollzeit Admins) für ~200 PCs + 15 Server im gesamten Unternehmen
und es kracht hinten und vorne.
SAP, Firewalls, ...
Website ist ein eigenes Team.

Ich bin der Meinung dass es massiv an der Automatisierung und Koordination scheitert. Drucker, Software, ... soweit wie möglich per GPO o.ä.. CAD Installation kannst du fast immer out-of-the-box scripten oder halt mit AutoIT o.ä.
Das ist halt mal ein Stunde, aber dann startest du das und es läuft durch und du musst nichts dabei tun - keine fehlkonfig ....

ninite.com auch sehr zu empfehlen
keine Bestandslisten per Excel die viel Arbeit machen und immer falsch sind - es gibt Tools ab 200€ die das super machen.

Damit komprimiert man die "einfachen" aber langwierigen Routine Aufgaben.

Win7 und XP Misch ist zach Office vermutlich auch noch ein durcheinander!?

ja, vieles über das ich mich ärgere, aber was ich damit sagen will: Organisation ist alles bei der IT!!! Dann müsst ihr euch nur mehr um die spannenden Ausnahmen kümmern

sg Dirm
Bitte warten ..
Mitglied: clSchak
25.09.2013 um 17:31 Uhr
Hi

wir sind mit 2 Admins und einem Azubi für 450 Clients, 40 Servern verteilt über 7 Standorte (EU & USA) zuständig. Wir haben im April eine Softwaredeployment inkl. OS Deployment eingeführt und alleine das OS Deployment für die Clients spart pro Monat ca. 40-60h ein, einfach PXE Boot an, Sprache auswählen und der Rest wird von selbst installiert und das Gerät landet ordentlich mit korrekten DNS Namen im AD.

Wir haben das Glück, das wir fast alles auf Windows 7 und Office 2010 haben (die XP und Office 2007 Rechner kann man einer Hand abzählen).

Kostengünstig aber mit vielen netten Features (Self-Service Portal usw.) ist Dell Kace oder matrix42 eine gute Wahl. Die bieten nebst der reinen Softwareinstallation auch ein Patchmanagement (inkl. automatischen Booten via WOL und anschließenden herunterfahren usw,).

Die Verwaltung der Mobilfunkkarten usw. machen wir alles über das Asset-Management der Kace, so haben wir auch eine Übersicht was der Kollege alles von uns erhalten hat
Bitte warten ..
Mitglied: Marco-83
26.09.2013 um 16:34 Uhr
Danke für eure zahlreichen Antworten. Ist doch sehr interessant, wie unterschiedlich es in den verschiedensten Firmen "abgeht" Aber eins steht wohl ganz klar, die geordnete Struktur ist das A und O einer jeder IT Umgebung. Wir werden uns dann jetzt einmal daran begeben unsere Hausaufgaben zu erledigen ;)

Danke@all für die Tipps und nützlichen Hinweise zu Programmen bzw. Tools zum Management von Updates ;) Wieder etwas schlauer draus geworden

Noch kurz etwas zum "Hilfsadmin":

Ist es nicht so, wenn ich eine Gruppe per GPO zu den lokalen Admin's hinzufüge, dass die vorhandene Gruppe der lokalen Admin überschrieben wird? Ich erinnere mich an einen Vorfall vor einigen Jahren bei einem Kunden. Oder gibt es mittlerweile noch andere mir ferngebliebene Möglichkeiten ;)
Bitte warten ..
Mitglied: DerWoWusste
26.09.2013 um 16:51 Uhr
Ist es nicht so, wenn ich eine Gruppe per GPO zu den lokalen Admin's hinzufüge, dass die vorhandene Gruppe der lokalen Admin überschrieben wird?
Jein. Es gibt zwei Konfigurationsmöglichkeiten, von denen die eine hinzuaddiert zu vorhandenen Admins und die andere wie von Dir beschrieben platt macht und dann hinzuaddiert.
Bitte warten ..
Mitglied: Marco-83
27.09.2013 um 10:13 Uhr
@DerWoWusste: Hast Du zufällig gerade beide aufm Schirm ;)? Ich kenne nur die, wo die lokale überschrieben wird ;( finde ich gerade nichts anderes...
Bitte warten ..
Mitglied: DerWoWusste
27.09.2013 um 10:54 Uhr
In der Policy sind zwei Bereiche zu sehen und eine Hilfe gibt es auch
Bitte warten ..
Mitglied: Marco-83
27.09.2013 um 11:10 Uhr
Schaue ich mir später einmal an ;) bedankt.
Bitte warten ..
Mitglied: MartinBinder
27.09.2013 um 12:23 Uhr
"Gruppe ist Mitglied von" und "Gruppe hat Mitglieder".
Erstere fügt eine Domänengruppe einer lokalen Gruppe hinzu, ohne bestehende Mitgliedschaften zu ändern.
Zweitere konfiguriert die Mitglieder einer lokalen Gruppe und entfernt alles, was nicht konfiguriert ist.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Microsoft
NTFS Berechtigungen - Vererbung (10)

Frage von Bierkasten zum Thema Microsoft ...

Windows Server
gelöst Skript per GPO ausführen - Berechtigungen? (13)

Frage von honeybee zum Thema Windows Server ...

Windows Server
AD-Berechtigungen von zwei Servern miteinander vergleichen (3)

Frage von s0m3ting zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...

Peripheriegeräte
Wlan stört Funkmaus (11)

Frage von Falaffel zum Thema Peripheriegeräte ...

Peripheriegeräte
gelöst USB Festplatte verliert Laufwerksbuchstabe (9)

Frage von cese4321 zum Thema Peripheriegeräte ...