Abgesicherter WinXP-Client im Firmennetzwerk

Piccolo Joined: 08 Oct 2004 Posts: 5

Moin Z,

wir bei uns sind auch gerade dabei abgesicherte Clients zu installieren. Wir haben die Geschichte mit den Treibern über einen Printserver gelöst. Auf diesem haben wir für jeden Druckertyp einen Dummydrucker eingerichtet, der alle Spoolaufträge in Richtung /dev/null feuert.

Wir connecten den Dummy über Netinstall, das installiert automatisch den Treiber, danach löschen wir die Connection wieder und installieren dann den "echten" Drucker über Skripte.

Das hat hauptsächlich ein Kollege von mir gemacht, folglich kann ich leider nicht genau sagen, wie die Mimik dahinter aussieht.

Gruß
Rolfenstein

Hallo miteinander,

wir setzen auch seit ca. einem Jahr konsequent auf Benutzer ohne Adminrechte!
Das ist nicht immer einfach (da erzähle ich nix Neues) und bedeutet wie schon geschrieben mitunter einen erhöhten Aufwand bei der Erstellung der Softwarepakete (bei uns über NetInstall).

Wir setzen bei uns auf folgendes Modell auf:

User, die nur mit Office, Project, SAP und anderem Bürozeugs arbeiten bekommen grundsätzlich keine Adminrechte, sondern sind Domänen-Benutzer

User, die mit unterschiedlichster Entwicklungssoftware arbeiten (z.B. div. Compiler) bekommen lokale Adminrechte.

Um da im Notfall eingreifen zu können, sichern wir das ganze über unterschiedliche VLANs ab, die wir entsprechend konfigurieren.

Alle Rechner mit lok. Adminrechten sind in einem separaten VLAN.

Bei Notebookusern setzen wir auch nur User ohne Adminrechte ein.

Für den Notfall bekommt hier jeder ein Kuvert mit, in dem die Zugangsdaten eines lok. Adminkontos stehen.
Dieses Adminkonto wird bei der Erstversorgung über NetInstall angelegt.
Damit mit diesem Konto kein Schindluder getrieben wird, startet bei jedem Anmeldevorgang automatisch ein Script über NetInstall, welches die Verwendung dieses Accounts abfragt und das im Fall der Fälle an die Admins weitermeldet.

Das klappt alles in allem ganz gut!

Das größte Problem war, den Usern zu verklickern, dass diese "Beschneidung" der Rechte aus Sicherheitsgründen unumgänglich ist Smile

!

Im Officebereich haben wir auf neuere MS- Officeprodukte umgestellt, bei anderer Software auch, somit entsteht nur noch vereinzelt das Problem, dass ein Paket nicht richtig laufen will unter "normalen Rechten". In diesen Fällen habe ich das aber bis jetzt alles mit Reg/Filemon auf die Reihe bekommen.

Das Ganze setzt natürlich eine konsequente Umsetzung der Software in NetInstall (oder einem anderen Versorgungstool) voraus, auch alle Treiber müssen da konsequent über NI laufen, sonst wird es stressig für die Admins.

Wir sind damit eigentlich rundum zufrieden!
Die Probleme mit "verbogenen" Rechnern sind sehr deutlich zurückgegangen!
Bei den Entwicklungsrechnern mit Adminrechten lassen wir uns bei der Übergabe ein Merkblatt unterschreiben, dass im Problemfall sofort neu versorgt wird. Auch das klappt hervorragend!

Ich kann es nur empfehlen, auf abgesicherte Clients zu setzen, man spart sich damit im Regelfall eine menge Ärger!!

Magnum Joined: 14 Jun 2004 Posts: 43 Location: /dev/null

Quote:

Für den Notfall bekommt hier jeder ein Kuvert mit, in dem die Zugangsdaten eines lok. Adminkontos stehen.
Dieses Adminkonto wird bei der Erstversorgung über NetInstall angelegt.
Damit mit diesem Konto kein Schindluder getrieben wird, startet bei jedem Anmeldevorgang automatisch ein Script über NetInstall, welches die Verwendung dieses Accounts abfragt und das im Fall der Fälle an die Admins weitermeldet.

Simpel, aber sehr gut. Danke für diesen brauchbaren Hinweis Smile

Quote:

Das größte Problem war, den Usern zu verklickern, dass diese "Beschneidung" der Rechte aus Sicherheitsgründen unumgänglich ist Smile

!

Klar, das dürfte in den wenigsten Fällen auf Verständnis stoßen. Für manche User (zumindest bei uns) bedeutet das aber eher einen gewissen Schutz vor sich selbst Wink