Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VS-Entwickler ohne Admin-Rechte?

Frage Microsoft Windows Userverwaltung

Mitglied: jsysde

jsysde (Level 2) - Jetzt verbinden

28.07.2011 um 20:23 Uhr, 7560 Aufrufe, 13 Kommentare

Mahlzeit,

wir diskutieren im Kollegenkreis seit einiger Zeit die Frage, ob ein Entwickler an seiner Maschine tatsächlich Adminrechte benötigt - eure Meinung würde mich interessieren.

Gegeben ist: Windows Active Directory, User arbeiten eigentlich ohne Adminrechte unter XP Pro SP3 und 7 Pro SP1. Die Entwickler haben lokale Admin-Rechte, da mitunter auch Dienste entwickelt werden, die sich wiederum ohne Admin-Rechte nicht installieren/testen lassen.

Wie löst ihr dieses Dilemma?

Cheers,
jsysde
Mitglied: DerWoWusste
28.07.2011 um 21:02 Uhr
Hi.

Das Thema ist doch unendlich groß. Wenn Du mit nur zwei Sätzen Ausgangsbeschreibung ohne konkrete Fragen nach einzelnen Sachverhalten loslegst, dann wird das ein Endlosthread.

Wie löst ihr dieses Dilemma?
Ein Dilemma wird es doch erst, wenn es konkrete Gründe gegen Adminrechte gibt. Hat man halbwegs firme und verantwortungsvolle Entwickler (kann nicht für alle gelten, schon klar), dann würde ich immer vorschlagen, ihnen ein Schriftstück vorzulegen, das besagt, dass sie die Adminrechte nur für bestimmte Zwecke bekommen und alles darüber Hinausgehende bitteschön weiterhin die Admins machen.

Einen Blick oder eine Überlegung wert ist vielleicht http://www.beyondtrust.com/Products/PowerBroker-Desktops-Windows-Editio ... - state of the art was Rechtebeschneidung angeht. Es kann mehr als die Bordmittel hergeben und kann als Freeware eingesetzt werden, wenn man den Aufwand nicht scheut, es einzeln zu konfigurieren.
Bitte warten ..
Mitglied: jsysde
28.07.2011 um 21:49 Uhr
Moin,

interessanter LInk, vielen Dank. Muss ich mir in Ruhe anschauen und nach meinem Urlaub mal antesten.

Ja, das mit den zwei Sätzen war wohl etwas kurz gefasst, ich versuchs mal:
Eigentlich gibt es die Anweisung, dass auch und gerade die User mit lokalen Adminrechten nichts installieren dürfen, ohne sich vorher die Erlaubnis dazu geholt zu haben, dabei geht es nur um kleine Tools wie Editor X oder Anwendung Y; "grössere" Installation wie VS2008/2010 + ServicePacks, SSMS etc ist sowieso Adminsache.

Unsere Security-Suite verfügt über eine Application Control und genau auf diesem Weg fällt immer mal wieder auf, was sonst so noch auf den Maschinen insalliert wird, das reicht von veralteten Browsern (Firefox in diesem Fall) über google Earth bis Zattoo - alles Dinge, die ich nicht in "meinem" Netz haben will bzw. wenn, dann in aktuellen Versionen, die zentral ausgerollt werden.

Und "ein bisschen schwanger" gibts ja nun nich, entweder Admin oder eben nicht.

Die Frage, die sich daraus eigentlich ergibt: Kann ein Entwickler ohne Admin-Rechte überhaupt vernünftig arbeiten? Visual Studio 2008/2010 bzw. für "ältere" Applikation Visual Basic 6.

Cheers,
jsysde
Bitte warten ..
Mitglied: DerWoWusste
28.07.2011 um 21:54 Uhr
Warum greift Ihr denn nicht durch? Sie dürfen nichts installieren - fertig. Wenn ihr es bemerkt, folgen Sanktionen - Ihr hatte darauf hingewiesen, sie haben sich nicht daran gehalten.
Ich bekomme sofort E-Mails, weil wir eventgetriggert Mails verschicken. Nutzt einer den Windows Installer, kriege ich Post... und die Ärger.

Kann ein Entwickler ohne Admin-Rechte überhaupt vernünftig arbeiten?
Die Tücke wird immer im Detail liegen - da können Dir Leute noch soviele Wege vorschlagen, wie es gehen könnte.
Bitte warten ..
Mitglied: Lochkartenstanzer
28.07.2011 um 22:23 Uhr
Eigenes Netz isoliert von regulären LAN und Internet. Die KIsten dann unter der eigenen Verwaltung des Entwicklers inklusive der vollen Verantwortung für "Mißgeschicke".

Ist eine Möglichkeit unter vielen.
Bitte warten ..
Mitglied: dog
28.07.2011 um 22:54 Uhr
Ganz ehrlich: Als Programmierer würde ich mich weigern ohne Adminrechte etwas zu machen.
Genauso wie sich jeder Admin normalerweise weigert ohne Adminrechte zu arbeiten.
Das merkt man, wenn man beide Sachen schon lange genug gemacht hat.

Es gibt Leute die Computer benutzen (Buchhaltung etc.) und es gibt Leute, die mit Computern arbeiten: Admins und Programmierer.
Dazu auch: http://www.codinghorror.com/blog/2010/08/vampires-programmers-versus-we ...

Bei meinem Arbeitgeber läuft das ganz einfach:
Wenn jemand Admin-Rechte auf seinem PC will, dann kann er die gegen eine Gebühr (natürlich über die Kostenstelle) beantragen, fertig.
In einem IT-Unternehmen kommt man nicht sonderlich weit, wenn die Entwickler alle 2 Minuten durch eine "Verboten!"-Meldung behindert werden.
Bitte warten ..
Mitglied: StefanKittel
28.07.2011 um 22:57 Uhr
Hallo,

frage ich doch mal andersrum: was spricht den gegen lokale Admin-Rechte?
- der User/PC kann eine Gefahr für andere werden
Klare Spielrgeln, er soll ja arbeiten können

- das OS geht "kaputt"
Image zurückspielen und ihm die Ohren lang ziehen

Bei den meisten kleineren Kunden ohne IT Personal arbeiten die Mehrheit eh mit lokalen Adminrechten.
Nachträglich die Rechte von Usern beschneiden führt immer zu endlosen politischen Diskussionen um Vertrauen und Mißbrauch.

Stefan

Anekdote: Wir hatten 2002/2003 für eine recht große Firme gearbeitet die sehr restriktive Regeln hatten.
- Email-Postfach 200MB, ab 175MB kann man nichts mehr verschicken, ab 200MB gehen die Emails an den Absender zurück
- Beim Abmelden werden die Eigenen Dateien und der Desktop gelöscht
Aber das ist eher die Ausname. Schade
Bitte warten ..
Mitglied: Xaero1982
28.07.2011 um 23:08 Uhr
Zitat von DerWoWusste:
Ich bekomme sofort E-Mails, weil wir eventgetriggert Mails verschicken. Nutzt einer den Windows Installer, kriege ich Post... und
die Ärger.


Hi,

wie funktioniert das?

VG
Bitte warten ..
Mitglied: jsysde
28.07.2011 um 23:09 Uhr
Wow, die Reaktionen sind klasse!

Warum greift Ihr denn nicht durch? Sie dürfen nichts installieren - fertig. Wenn ihr es bemerkt, folgen Sanktionen
Theoretisch ne gute Idee, aber praktisch?
Womit willst du einen Nerd sanktionieren? Tageslicht, UV-Lampe?

Ich bekomme sofort E-Mails, weil wir eventgetriggert Mails verschicken. Nutzt einer den Windows Installer, kriege ich Post
Technisch gesehen eine gute Lösung. Nutzt aber bei -unabhängig von der Entwickler/Admin-Rechte-Geschichte- bei portablen Programmen leider nichts. Und die sind (leider) immer noch auf dem Vormarsch.


Eigenes Netz isoliert von regulären LAN und Internet. Die KIsten dann unter der eigenen Verwaltung des Entwicklers inklusive der vollen Verantwortung für
"Mißgeschicke".
Das haben wir bereits durch - hat nicht funktioniert. Letztlich landet jeder auf diesem Weg "geschrottete" Rechner doch wieder bei den Admins und die Nerds machen Druck, wann sie endlich wieder programmieren können. So much code, so less time...
Und kannst du ohne google und Code-Snipplets aus dem Netz arbeiten? Ich nicht.


Nachträglich die Rechte von Usern beschneiden führt immer zu endlosen politischen Diskussionen um Vertrauen und Mißbrauch.
Nö. Das wurde angekündigt, im Rahmen dessen haben wir viel automatisiert, klappt eigentlich prima.

Es gibt Leute die Computer benutzen (Buchhaltung etc.) und es gibt Leute, die mit Computern arbeiten: Admins und Programmierer.
Jepp, so sehe ich das persönlich auch. Leider sagt das nichts darüber aus, wieviel Ahnung vom System selbst auch der beste Programmierer hat. Der Link ist btw klasse - ich bin also ein Werwolf *lach*


In einem IT-Unternehmen kommt man nicht sonderlich weit, wenn die Entwickler alle 2 Minuten durch eine "Verboten!"-Meldung behindert werden.
Full ACK - aber würden Sie das wirklich, wenn man ihnen die Admin-Rechte entzieht?


Wir haben mal den Gedanken lt. ausgesprochen, ohne Admin-Rechte zu arbeiten und stattdessen einen Account im AD anzulegen, der über passende Rechte verfügt. Unter XP war das mit "Ausführen als" sehr umständlich bzw. bei MSI-Paketen gar nicht direkt möglich (nur via cmd im passenden Kontext). Unter Windows 7 sieht das dank UAC schon deutlich anders aus. Anders gefragt: Wenn hier Entwickler mitlesen, könntet ihr damit leben, für alles, was Admin-Rechte benötigt, User/Kennwort separat einzugeben? Und welche Vorgänge benötigen denn überhaupt Admin-Rechte?

Cheers,
jsysde
Bitte warten ..
Mitglied: DerWoWusste
29.07.2011 um 07:44 Uhr
Warum greift Ihr denn nicht durch? Sie dürfen nichts installieren - fertig. Wenn ihr es bemerkt, folgen Sanktionen

Theoretisch ne gute Idee, aber praktisch?
Womit willst du einen Nerd sanktionieren? Tageslicht, UV-Lampe?
UV-Lampe, Rolläden hoch und statt Mails nur noch Briefpapier. Zusätzlich rosa Plüschbezug auf der Maus. Ernsthaft: es reicht schon aus, ihn anzurufen, während er noch am Installieren ist (die Mails kommen oft schon, bevor sie fertig sind) und mal nachzufragen, was das soll - danach fragen die Leute meist artig nach.
Ich bekomme sofort E-Mails, weil wir eventgetriggert Mails verschicken. Nutzt einer den Windows Installer, kriege ich Post
Technisch gesehen eine gute Lösung. Nutzt aber bei -unabhängig von der Entwickler/Admin-Rechte-Geschichte- bei portablen Programmen leider nichts. Und die sind (leider) immer noch auf dem Vormarsch.
Ach was. Die bekommen auch nicht alles, was sie gerne hätten portabel.

@xaero
Der Windowsinstaller erzeugt Eventlogeinträge mit der selben Kennnummer. Und man kann seit Vista Aktionen an ein Event heften (siehe Eventviewer). Auch auf xp gab es schon die eventtriggers.exe
Bitte warten ..
Mitglied: nEmEsIs
29.07.2011 um 08:09 Uhr
Hi

Schonmal über ne Kiste nahgedacht auf der für die Nerds Zugriff haben ala ESXi oder XEN auf ein mit Adminrechten versehenes System via RDP zugreifen können ???
Am Pc programmieren und dann in die virtuelle Umgebung hochladen. => brauchen keine Adminrechte lokal und wenn der VM irgendwas passiert ... snapshot ...

MFG Nemesis
Bitte warten ..
Mitglied: jsysde
29.07.2011 um 14:05 Uhr
Am Pc programmieren und dann in die virtuelle Umgebung hochladen.
Auch keine schlechte Idee, solange die Anzahl der Entwickler noch einigermassen überschaubar ist. Ausserdem ne Kostenfrage, auch ne VM benötigt ne Lizenz.

Oder meintest du das so, dass z.B. pro 10 Entwickler _eine_ VM zur Verfügung gestellt wird, in der sie ihre Programme testen können?


Cheers,
jsysde
Bitte warten ..
Mitglied: nEmEsIs
29.07.2011 um 16:38 Uhr
Hi

Also ich denke mal beide Ansätze haben ihre Vorteile. In dem Fall eine VM für alle kannst du deinen Programmierern ja auch verschiedene Betriebssysteme anbieten, XP Vista W 7 etc. Da du leider nicht erwähnst was eure Programmierer so programmieren.
Im anderen Fall kann jeder Programmierer seine Komponenten selber auswählen, die er auf der VM gerne haben möchte.
Das würde ich in deinem Fall ggf. Mit diesen absprechen.

Ein einfacher Server mit nem kostenlosen ESXi drauf und 10 xp / Win 7 Lizenzen kosten auch nicht die Welt. Ich habe mindestens 10 von beiden für den Notfall auf Halde. Edit: (bei mir nicht für dich )

Und im ersten Fall hättest du 2 bzw 3 Lizenzen verbraucht wenn alle eine gemeinsame Maschine verwenden Xp Vista Win7.

MfG Nemesis

Ps kannst ja mal mitteilen, wofür du dich entscheidest.

PPS vorallem wenn da mal was kaputt geht ist es nicht so wild kurz die vm von nem Speicher auf den esxi und schon läufts wieder.
Und wenn eure Proframmierungen weitreichender sind dann kann man auch das verhalten in einer Dimain testen und ohne Domain bzw. Gpo's. Ist für manche Programme auch wichtig, da du ja geschrieben hast das es was mit Diensten zu tun hat.
Bitte warten ..
Mitglied: jsysde
05.09.2011 um 12:20 Uhr
Danke für eure Meinungen.

Cheers,
jsysde
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 7
Dataline Office benötigt zum starten Admin-Rechte (3)

Frage von ingoue zum Thema Windows 7 ...

Windows Userverwaltung
Domain Admin Rechte auf FileServer (3)

Frage von BlueShadow9 zum Thema Windows Userverwaltung ...

Windows 10
gelöst Bitlocker und Admin-Rechte (5)

Frage von quin83 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...