Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Netzwerk

Grundsatzfrage IT Administration - Berechtigungen der Admins

Mitglied: Marco-83

Marco-83 (Level 1) - Jetzt verbinden

25.09.2013 um 14:25 Uhr, 5022 Aufrufe, 11 Kommentare, 5 Danke

Hallo liebe Administrator Kollegen. Ich habe einmal eine Grundsätzliche Frage, wie es in euren Firmen in der IT Abteilung abläuft. Ich betreue mit einem Kollegen zusammen alleine ca. 120 Arbeitsplätze an verschiedenen Standorten und ca. 10 Server. Darunter auch Webserver / Firewall / VMware Vsphere / Exchange 2010 / 2012 Server / 2003 Server / 2008 Server und div. Linux.

Erst einmal eine grundsätzliche Frage. Gibt es eine grobe Faustregel, wieviele Admins auf welche Anzahl von Benutzern bzw. Servern zum einsatz kommen sollten? Klar ist es eine Frage wie komplex die IT Struktur ist. Bei uns z.B CAD Software mit Lizenzservern, ERP Software aus eigener Entwicklung, Wlans , VPN mit 4 weiteren Standorten, VPN User mit OpenVPN Clients, Verwaltung der Telefonanlage mit UC Client auf den PC's (Hipath 4000)
Und zu allem Überlauf noch die Verwaltung von Mobilfunkgeräten und Sim Karten.

Ich hätte einfach gerne mal eine Meinung von euch dazu, mit wieviel Personen ihr ähnliches bewerkstelligt. Da mein Kollege und ich auch noch andere Aufgaben wie z.B den Support der eigens entwickelten Software bei Kunden haben, geraten wir langsam ein wenig ins rotieren ;)

Nun soll noch ein weiterer zu Hilfe kommen. Natürlich möchte man nicht einem neuen sofort die Admin Passwörter für seine Systeme geben. Die Server / Switch und sonstige Infrastruktur soll quasi weiter durch meinen Kollegen und mich betreut werden. Der neue Soll Aufgaben wie die Installation von Software auf PC's von Benutzern bewerkstelligen. Einige Benutzer haben bei uns in der Domäne lokale Admin Rechte, da es aus div. Gründen wie z.B IP Umschaltung / Installation von Komponenten für die Entwicklung nicht anders möglich ist.

Andere Benutzer haben nur die normalen rechte die ein User am Arbeitsplatz haben sollte. Jetzt meine Frage, wie bekomme ich es hin, dass z.B der neue Software auf PC's installieren kann, ohne dass ich ihm unser Admin Kennwort nenne. Einen eigenen User anlegen, klar. Aber dieser muss ja dann aich Rechte auf den lokalen Clients haben. Klassisches Beispiel: die Aktualisierung von Flash Player,Java,Firefox

Die Client's sind zu 85% Win7 Pro. Notebooks und Arbeitsplatz PC's 15% sind noch Windows XP Pro basiert.

Mitglied: Mantigul
25.09.2013 um 14:38 Uhr
Hallo,

also wie viele Admins wie viele Rechner/Server/Außenstellen administrieren können kann man nicht sagen. Es kommt auf eure Umgebung an und wie alles eingerichtet ist.
Ich Hab eine Umgebung erlebt von 500 Clients, die 2 Mann gemacht haben und das locker und auch eine mit 25 Clients, wo 3 Mann sich die Zähne ausgebissen haben.
Es kommt immer darauf an was die Admins noch nebenbei machen müssen. Sim-Karten, Homepage etc. verwalten, dann braucht man logischerweise mehr.

Zu deinem Neuen Kollegen:
Einfachste Möglichkeit: Erstell eine Gruppe im AD und nimm Ihn auf. Per Script/GPO kannst du diese Gruppe bei den ganzen Clients zu den lokalen Administratoren hinzufügen --> Problem gelöst.

Um euch auf Dauer Arbeit zu sparen lohnt sich bei der Größe aber schon eher eine Software-Verteilung. So spart ihr eine Menge Zeit --> Empfehlung ist kostenlos Opsi oder wenn Ihr ein wenig Geld ausgeben wollt baramundi. Hat den Vorteil, von baramundi kommen im Monat immer alle neusten Java, Flash , ... Versionen, die Ihr einmal Monatlich automatisch verteilen könnt. so habt ihr keine wirklich keine Arbeit mehr mit solch Kleinzeug. Auch Client Installationen könnt Ihr Delegieren. Ihr erlaubt euren Mitarbeiter Softwareinstallationen über baramundi, aber er selber benötigt keine Adminrechte.

Nach der Einführung von baramundi bei uns hab ich innerhalb von 4 Wochen 80% meiner Arbeit automatisiert und ein weiterer Vorteil war, dass die Domäne homogen wurde. So hat der Admin auf Dauer auch nur Vorteile.


So wie es klingt ist es bei euch das reinste Chaos --> Kenn ich
Bitte warten ..
Mitglied: Rudbert
25.09.2013 um 14:57 Uhr
Hallo,


wir haben hier in etwa die gleiche Umgebung:

- 120 Clients
- 15 Server
- 16 Standorte (6x LWL Anbindung, 10x DSL Business per VPN an CompanyConnect in Zentrale)
- 40 Drucker, davon 10 Großgeräte mit Wartungsvertrag
- Firewall-Cluster Sophos UTM und SonicWALL NSA
- vSphere Cluster mit 3 Hosts an iSCSI Storage
- Telefonanlage, Handys (BlackBerry), 40 verschiedene Fachanwendungen (kommunale Software für eine Stadtverwaltung)

Wir betreuen alle EDV-Belange selbst und lassen uns neue Anschaffungen beispielsweise vSphere in einem Workshop von DL einrichten und administrieren diese dann im Anschluss selbst. Wartung für HW und SW natürlich direkt vom Hersteller.

Dazu haben wir noch ca. 120 Schul-PCs mit Wächtersoftware.


Eine kürzlich durchgeführte Stellenbemessung durch den BKPV (kommunaler Prüfungsverband in Bayern) hat eine Gesamtsumme von 2,05 Stellen für diese Umgebung ergeben (inkl. den 120 Schul-PCs). Hätte da auch mit mind. 3 Stellen gerechnet. Aber nun ersetzen wir halt die Schul-PCs voraussichtlich durch 120 virtuelle Desktops und hosten diese auf unserem vSphere-Cluster vor Ort.


Meinen früheren Recherchen kann man mit einer Zahl von 50-150 Clients pro Admin rechnen, die natürlich stark von der Umgebung abhängig ist. Eine homogene VDI-Infrastruktur mit 1000 gleichen Desktops braucht natürlich weniger Admins als eine heterogene Struktur mit vielen Außenstellen, div. Anbindungsvarianten, verschiedenen Betriebssystemen und gemischter Hardware auf Desktop-Seite.


mfg -sd
Bitte warten ..
Mitglied: DerWoWusste
25.09.2013, aktualisiert um 17:40 Uhr
Hi.

Zur "Faustregel": da teile ich Mantiguls Meinung.
Zu Deiner Adminrechtvergabe an Nutzer: Für's Netzwerkkonfigurieren gibt es seit xp für genau diesen Zweck die Gruppe Netzwerkkonfigurationsoperatoren - Nutzer rein, Adminrechte fortan überflüssig. Bei UAC-Betriebssystemen beachten, dass der Nutzer beim Konfigurieren lediglich ein zweites Mal sein eigenes Kennwort eingeben muss, obwohl Windows ein Adminkennwort haben möchte (Beschriftungsfehler).
Zur Softwareverteilung: Gerade zu Deinen Flash Player,Java,Firefox gibt es doch MSI-Pakete, so dass Du sie per GPO aktuell halten kannst. Für Firefox jedoch nicht von Mozilla, sondern von Frontmotion - genannt Community Edition, ist aber baugleich http://www.frontmotion.com/FMFirefoxCE/download_fmfirefoxce.htm
Zu Deinem "Hilfssheriff": wie schon genannt: AD-Gruppe Hilfsadmins erstellen, sein Konto rein und dann die Gruppe per GPO-Funktion "eingeschränkte Gruppen" in die lokalen Admingruppen aufnehmen. Nachtrag: Achtung: diese GPO natürlich nicht auf Servern zur Anwendung bringen, auf denen er nicht Admin sein darf.
Bitte warten ..
Mitglied: Dirmhirn
25.09.2013 um 15:22 Uhr
hi!

Wir sind bald 8 (davon 3 Vollzeit Admins) für ~200 PCs + 15 Server im gesamten Unternehmen
und es kracht hinten und vorne.
SAP, Firewalls, ...
Website ist ein eigenes Team.

Ich bin der Meinung dass es massiv an der Automatisierung und Koordination scheitert. Drucker, Software, ... soweit wie möglich per GPO o.ä.. CAD Installation kannst du fast immer out-of-the-box scripten oder halt mit AutoIT o.ä.
Das ist halt mal ein Stunde, aber dann startest du das und es läuft durch und du musst nichts dabei tun - keine fehlkonfig ....

ninite.com auch sehr zu empfehlen
keine Bestandslisten per Excel die viel Arbeit machen und immer falsch sind - es gibt Tools ab 200€ die das super machen.

Damit komprimiert man die "einfachen" aber langwierigen Routine Aufgaben.

Win7 und XP Misch ist zach Office vermutlich auch noch ein durcheinander!?

ja, vieles über das ich mich ärgere, aber was ich damit sagen will: Organisation ist alles bei der IT!!! Dann müsst ihr euch nur mehr um die spannenden Ausnahmen kümmern

sg Dirm
Bitte warten ..
Mitglied: clSchak
25.09.2013 um 17:31 Uhr
Hi

wir sind mit 2 Admins und einem Azubi für 450 Clients, 40 Servern verteilt über 7 Standorte (EU & USA) zuständig. Wir haben im April eine Softwaredeployment inkl. OS Deployment eingeführt und alleine das OS Deployment für die Clients spart pro Monat ca. 40-60h ein, einfach PXE Boot an, Sprache auswählen und der Rest wird von selbst installiert und das Gerät landet ordentlich mit korrekten DNS Namen im AD.

Wir haben das Glück, das wir fast alles auf Windows 7 und Office 2010 haben (die XP und Office 2007 Rechner kann man einer Hand abzählen).

Kostengünstig aber mit vielen netten Features (Self-Service Portal usw.) ist Dell Kace oder matrix42 eine gute Wahl. Die bieten nebst der reinen Softwareinstallation auch ein Patchmanagement (inkl. automatischen Booten via WOL und anschließenden herunterfahren usw,).

Die Verwaltung der Mobilfunkkarten usw. machen wir alles über das Asset-Management der Kace, so haben wir auch eine Übersicht was der Kollege alles von uns erhalten hat
Bitte warten ..
Mitglied: Marco-83
26.09.2013 um 16:34 Uhr
Danke für eure zahlreichen Antworten. Ist doch sehr interessant, wie unterschiedlich es in den verschiedensten Firmen "abgeht" Aber eins steht wohl ganz klar, die geordnete Struktur ist das A und O einer jeder IT Umgebung. Wir werden uns dann jetzt einmal daran begeben unsere Hausaufgaben zu erledigen ;)

Danke@all für die Tipps und nützlichen Hinweise zu Programmen bzw. Tools zum Management von Updates ;) Wieder etwas schlauer draus geworden

Noch kurz etwas zum "Hilfsadmin":

Ist es nicht so, wenn ich eine Gruppe per GPO zu den lokalen Admin's hinzufüge, dass die vorhandene Gruppe der lokalen Admin überschrieben wird? Ich erinnere mich an einen Vorfall vor einigen Jahren bei einem Kunden. Oder gibt es mittlerweile noch andere mir ferngebliebene Möglichkeiten ;)
Bitte warten ..
Mitglied: DerWoWusste
26.09.2013 um 16:51 Uhr
Ist es nicht so, wenn ich eine Gruppe per GPO zu den lokalen Admin's hinzufüge, dass die vorhandene Gruppe der lokalen Admin überschrieben wird?
Jein. Es gibt zwei Konfigurationsmöglichkeiten, von denen die eine hinzuaddiert zu vorhandenen Admins und die andere wie von Dir beschrieben platt macht und dann hinzuaddiert.
Bitte warten ..
Mitglied: Marco-83
27.09.2013 um 10:13 Uhr
@DerWoWusste: Hast Du zufällig gerade beide aufm Schirm ;)? Ich kenne nur die, wo die lokale überschrieben wird ;( finde ich gerade nichts anderes...
Bitte warten ..
Mitglied: DerWoWusste
27.09.2013 um 10:54 Uhr
In der Policy sind zwei Bereiche zu sehen und eine Hilfe gibt es auch
Bitte warten ..
Mitglied: Marco-83
27.09.2013 um 11:10 Uhr
Schaue ich mir später einmal an ;) bedankt.
Bitte warten ..
Mitglied: MartinBinder
27.09.2013 um 12:23 Uhr
"Gruppe ist Mitglied von" und "Gruppe hat Mitglieder".
Erstere fügt eine Domänengruppe einer lokalen Gruppe hinzu, ohne bestehende Mitgliedschaften zu ändern.
Zweitere konfiguriert die Mitglieder einer lokalen Gruppe und entfernt alles, was nicht konfiguriert ist.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
IT-Admin Software zur Verwaltung
gelöst Frage von PharITNetzwerke6 Kommentare

Guten Morgen allerseits (ich hoffe, den lasst Ihr mir um viertel nach elf noch durchgehen ;-) ), Ich wollte ...

Java
Grundsatzfrage zur Objektorienteirung
Frage von bobcat22Java4 Kommentare

Guten Abend, ich fange gerade erst an mich mit Programmierung und vor allem OOP zu befassen und habe eine ...

Windows Systemdateien
Keine Berechtigung trotz Domänen-Admin User
Frage von M.MarzWindows Systemdateien10 Kommentare

Hallo zusammen, ich würde gerne die NTFS-Berechtigung in einer Ordnerfreigabe anpassen, da sich die Konfigs zerschossen haben. Da ich ...

Exchange Server
Wie kann ich als Admin die Berechtigungen für Kalenderfreigaben zentral verwalten?
gelöst Frage von Fish01Exchange Server4 Kommentare

Guten Morgen! Soeben wurde Migration auf Exchange 2010 durchgeführt (zuvor 2003) und ich bin verwundert, dass ich die Berechtigungen ...

Neue Wissensbeiträge
Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 4 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit13 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen10 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS10 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk9 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...