edriver
Goto Top

Rechte neuer IT-Mitarbeiter

Moin Zusammen!

Nachdem wir in der IT-Abteilung jahrelang als One-Man-Show und dann als Zweier-Team gut funktioniert haben wachsen wir nun stetig. Das bringt es natürlich mit sich, dass nun schnell weitere Mitarbeiter hinzukommen. Diese benötigen in den Bereichen Administration und Support nun mal hier und da Administrator-Rechte. Nun tue ich mich gerade bei ganz neuen Mitarbeitern seeehr schwer, diesen gleich den "Generalschlüssel" zu geben. Um diesen aber das Einarbeiten und die Arbeit nicht zu erschweren suche ich nun nach Möglichkeiten, ihnen sukzessive benötigte Rechte einzuräumen und nicht gleich zum Domänen-Admin herauf zu stufen. Also z.B. erst mal einen Account, der ihnen auf User-Rechnern lokale Admin-Rechte gibt, später User anlegen ... aber ohne gleich die Hosen runter zu lassen und Zugriff auf vertrauliche Unternehmensdaten zu geben. Welche Lösungsansätze nehmen die Profis hier dazu?

Content-Key: 326572

Url: https://administrator.de/contentid/326572

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: Vision2015
Vision2015 16.01.2017 um 18:08:25 Uhr
Goto Top
nabend..

also wenn du mich als admin einstellst- und ich bekomme nur rechte zum kaffee besorgen, würde ich dir die hose runterlassen!

ne ernsthaft- wenn der mitarbeiter admin ist, und es auch kann- dann soll er auch alles machen können!

der junge hat doch eh alle sicherheitsgedönse und schweigegelübde abgelegt, was willst du mehr ?

Frank
Mitglied: ketanest112
ketanest112 16.01.2017 aktualisiert um 18:37:39 Uhr
Goto Top
Ich schließe mich da meinen Vorrednern beiden an.
Prinzipiell bin ich (der Protokollier- und Nachverfolgbarkeit wegen) generell davon überzeugt, dass NIEMAND, und damit meine ich NIEMAND, das Passwort des Domain Admins kennen sollte. Dieses wird (am besten mit einem Passwort Generator) festgelegt (möglichst lang, damit sicher und schwierig zu merken), ausgedruckt, versiegelt und sicher abgelegt (z.B. Tresor). Nur wenns nicht anders geht wird das Siegel gebrochen (aber dann 4-Augen Prinzip).
Prinzipiell sollte auch kein "normaler" Benutzer, also auch kein Admin Benutzer Account, Adminrechte erhalten.
Hierfür sollten extra Accounts angelegt werden mit entsprechenden Privilegien, welche man gut kaskadieren kann. Admin Accounts erhalten z.B. bei uns in der Firma den Zusatz _a, sprich max.mustermann_a.
Damit funktioniert es eigentlich ganz gut. Auch sollte man nicht mit Berechtigungen um sich schmeißen, die "echten" Domain Admin Rechte, also die Zugehörigkeit in die Gruppe "Domain Admins" oder "Domänen Administratoren" sollte nur mit Bedacht vergeben werden und auch nur an einige wenige, welche beispielsweise Computer in die Domäne heben (um jetzt mal bei Windows zu bleiben).
Wie gesagt, Rechte kann man gut kaskadieren, sodass niemand mehr Rechte hat als er braucht.

Grüße
Ketanest

P.S. auf Unixoiden Systemen lässt sich das natürlich ähnlich handhaben.
Mitglied: n.o.b.o.d.y
n.o.b.o.d.y 16.01.2017 um 18:57:27 Uhr
Goto Top
Hallo,

Ich würde den neuen auch nicht gleich volle Rechte geben. Habe das auch gerade wieder hinter mir. Wir haben das so gemacht, dass für die in die neue Zuständig zu übergeben Systeme/Bereiche Adminrechte erteilt wurden. Dann gab es die Absprache, sich grundsätzlich um die Systeme zu kümmern, aber Änderungen immer mit den "Alten" abzustimmen. Nächster Schritt war dann das entlassen in die freie Wildbahn, sprich volle Verantwortung.
Mitglied: Dani
Dani 16.01.2017 um 19:49:27 Uhr
Goto Top
Moin,
Zitat von @n.o.b.o.d.y:

Ich würde den neuen auch nicht gleich volle Rechte geben. Habe das auch gerade wieder hinter mir. Wir haben das so gemacht, dass für die in die neue Zuständig zu übergeben Systeme/Bereiche Adminrechte erteilt wurden. Dann gab es die Absprache, sich grundsätzlich um die Systeme zu kümmern, aber Änderungen immer mit den "Alten" abzustimmen. Nächster Schritt war dann das entlassen in die freie Wildbahn, sprich volle Verantwortung.
sehe ich genauso wie Kollege @n.o.b.o.d.y


Gruß,
Dani
Mitglied: em-pie
em-pie 16.01.2017 um 21:13:46 Uhr
Goto Top
Würde es, ähnlich wie nobody und Pjordorf aufgezeigt haben, handhaben:

Grundsätzlich die ganzen Dom-Admin Tätigkeiten in verschiedene AD-Gruppen aufteilen:
  • AD-Admin (Objekte im AD verändern)
  • AD-User (Objekte im AD auslesen)
  • vmWare Admin
  • vmWare User
  • Citrix Admin
  • Citrix User
  • Exchange Admin
  • Exchange User
  • FileShare Admin
  • FileShare User
*....

Ihr "alten hasen" seit perse in allen "Admin-Gruppen" vertreten, mit einem separaten User und der Neuankömmling vielleicht nur erstmal elsend überall aber in seinen fachbereichen dann auch schreiben. z.B. in der Gruppe vmWare Admin, weil er hier vmWare Certified Expert ist (oder welche Titel es bei denen gibt) und mit wachsenden Aufgaben erhält er wachsende Berechtigungen.
Die obige Gruppierung hat auch den Vorteil, dass man auch mal Benutzer für ext. Diensteleister anlegen kann, denen entsprechende Fachberechtigungen erteilt und man denen im Supportfall nicht gleich alle Rechte geben muss...

Gruß
em-pie
Mitglied: emeriks
emeriks 16.01.2017 um 21:21:06 Uhr
Goto Top
Hi,
wir handhaben es genauso wie @ketanest112 beschrieben hat. Das hat nicht nur was damit zu tun, dass da neue Mitarbeiter kommen und jetzt möglicherweise die Felle neu verteilt oder etwa erst Vertrauen verdient werden müssen, sondern ganz einfach damit, dass jeder seinen Aufgabenbereich hat. Warum soll ich mit meinem Admin-Konto im SAP administrieren können, wenn meine Aufgabengebiete in der Netzwerk-Infrastruktur liegen? Admins, welche mit solchen Argumenten zu mir kommen, wie z.B.

Was man auch machen kann, sind mehrteilige Passwörter für "die großen" Admin-Konten, von welchen kein Admin der Firma alle Teile kennt. Wenn man sich mit so einem Admin-Konto anmelden muss, dann müssen immer min. zwei oder drei (je nach dem, wieviel Teile das Pwasswort hat) Admins anwesend sein und ihren Teil des Passworts eingeben.

E.
Mitglied: DerWoWusste
DerWoWusste 17.01.2017 um 22:20:05 Uhr
Goto Top
Hi.

Du hast mit keinem Wort erwähnt, welches Vorwissen Du hast. Darf man annehmen, dass Du schon bemerkt hast, dass es diese Unterscheidungen gibt, Rollen, die das OS mitbringt, Delegierungen die man machen kann über Gruppen usw.?

Wir können ja bei Adam und Eva anfangen, aber dazu braucht es Zeit.
Vieles liegt doch auf der Hand: man braucht nur eine Gruppe, die man in der Admingruppe der zu verwaltenden PCs einnistet ("restricted groups") und schon ist man ein großes Stück weiter. Zugriff zu Kennwortdatenbanken verwähren, keinen physikalischen Zugang zu Backups, möglichst auch nicht zu den Servern selbst, falls die Personen diese nicht eh verwalten sollen. Kein Zugang zu den GPOs von nicht zu verwaltenden PCs/Servern, keinen Zugang zu Verschlüsselungskeys - genau genommen, also nicht nur den Zugriff auf gewisse Dinge verwähren, sondern auch ausschließen, dass sich ein technisch begabter Mensch diesen auf Umwegen verschafft.
Mitglied: 117471
117471 19.01.2017 um 17:05:07 Uhr
Goto Top
Hallo,

bei uns ist es üblich, neue Kollegen "an die Hand zu nehmen".

D.h., ich würde ihn so 1-2 Wochen bei Bedarf anmelden, mir die Dinge von Ihm erklären lassen usw. usf.

Danach würde ich entscheiden was der darf und was nich nicht. Ich würde jedem einen eigenen Domänenadmin einrichten und jeden schriftlich(!) in die Verantwortung nehmen.

Gruss,
Jörg
Mitglied: jensoleandersen
jensoleandersen 14.06.2017 um 07:03:22 Uhr
Goto Top
Vieleicht www.adminbyrequest.com ?
Mitglied: DerWoWusste
DerWoWusste 14.06.2017 um 08:48:24 Uhr
Goto Top
Hi.

Hab mir mal adminbyrequest ansehen wollen, aber der Preis von 50€/Monat ist ja unfassbar.
Mitglied: emeriks
emeriks 14.06.2017 aktualisiert um 08:51:56 Uhr
Goto Top
Hi,
es wird sich hierbei auch um reine Werbung handeln.

E.
Mitglied: jensoleandersen
jensoleandersen 14.06.2017 um 15:14:53 Uhr
Goto Top
50 EUR ist für 50 User.
Mitglied: DerWoWusste
DerWoWusste 14.06.2017 um 15:36:18 Uhr
Goto Top
Ah. Ok, das hätte ich auch selbst sehen können. Mindestlaufzeit ist 12 Monate. Gut, das ist natürlich eine ganz andere Nummer.
Nutzt Du es selbst? Kannst Du Vergleiche ziehen zu beyondtrust powerbroker?
Mitglied: jensoleandersen
jensoleandersen 15.06.2017 um 07:28:55 Uhr
Goto Top
Erstmals - ich komme aus Dänemark und mein Deutsch ist leider nicht sehr gut aber ich will gerne besser sein und Übung macht den Meister face-smile Ich wohne und arbeitet in Dänemark.
Ich benutzte Admin By Request und habe eine menge kunden in Dänemark die das also benutzt und es funktioniert seht gut.

Ich kenne nich Beyound Trust aber es sieht gut aus - kennst du die preis für Beyond Trust?
Ich finde das Admin By Request sehr gut funktioniert und ist sehr einfach zu konfigurieren und benutzen. Ich mag besonders das whitelisting/blacklisting und AutoElevatedApps (und hardware/software inventory)

Ich war früher konsulent und sysadmin aber arbeitet heute als "Technical Presales" mit Microsoft (O365, Azure, Windows, Client Management) und Admin By Request passt gut.
Mitglied: DerWoWusste
DerWoWusste 15.06.2017 um 08:58:11 Uhr
Goto Top
Danke für die Info.

Powerbroker von beyondtrust ist auch recht teuer, ich hatte das vor Jahren mal angefragt und dann auf Grund des hohen Preises davon abgelassen. Ich erinnere den Preis nicht mehr.
Mitglied: Herbrich19
Herbrich19 18.11.2017 um 18:55:56 Uhr
Goto Top
Hallo,

Es gibt mehr als eine Administrator Gruppe in AD, Neben dieversen von zusätzlicher Software (z.B. Microsoft Exchange) angelegten Gruppen gibt es noch Windows Interne Gruppen. Und man kann auch selbst für eine OU Rechte vergeben und User inerhalb dieser bestimmten OU zum Admin machen.

Gruß an die IT-Welt,
J Herbrich