Zentrale Benutzerverwalung Windows XP

Hallo Ihr Lieben!

Unsere 25 Rechner arbeiten alle als Administrator und das wollen wir nun irgendwie einschränken. Nun kenne ich nur die Möglichkeit auf jeden Rechner 2 Benutzer anzulegen, einmal Admin und einmal ein eingeschränktes Konto.

• Gibt es eine einfachere Möglichkeit, denn wir suchen was, was nicht so zeitintensiv ist?

• Gibt es da eventuell Programme, die einen unterstützen. (Wir haben einen Linux-Server!)

• Oder kennt jemand eine gute Internetseite, wo man sich mit meinem Problem beschäftigt - ich konnte leider nichts passendes finden…

Vielen Dank schon mal für Eure hilfreichen Antworten.

Marco

Hallo Marco,

eine solche (Nicht) Organisation ist vollkommen unüblich, und das mit gutem Grund. Praktisch in jedem Netzwerk mit mehr als 3-5 Rechnern wird eine zentrale Instanz zur Anmeldung verwendet, so dass es nur eine zentrale Verwaltung aller Benutzer, Gruppen und deren Rechte gibt.

Unter Windows ist das eine Windows-Domäne, bei Unix gibt es NIS usw. und dann gibt es noch systemunabhängige Versionen wie LDAP. Ohne zentrale Userverwaltung hätte ich mir längst einen Strick gekauft und mich erschossen.

Am besten informierst du dich über die Windows-Domänen, die kann man notfalls auch unter Linux erstellen, wenn man die linux-typischen Bedienprobleme in Kauf nimmt. Allerdings solltest du von vornherein davon ausgehen, dass Netzwerkverwaltung immer eine anspruchsvolle Aufgabe ist, egal welches System du verwendest.

Gruss Reinhard

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo Reinhard,

vielen Dank für deine schnelle Antwort.

Sicherlich hast du Recht, aber im Moment haben wir noch nicht die Zeit dieses Problem in diesem Ausmaß in Angriff zu nehmen. Die EDV-Geschichte läuft halt immer noch nebenbei, obwohl ich weiß dass sich mind. 20 Stunden/Woche jemand damit beschäftigen müsste.

Deshalb suche ich wie gesagt nach einer einfachen Möglichkeiten um die Sicherheit, evtl. mit einem Programm, etwas zu verbessern.

Hast Du da einen Vorschlag?

Hallo Marco,

ob meine Antwort „hilfreich“ ist muss ich dahinstellen aber, bei der genannten Netzwerkgröße helfen nur ein Domänenserver (Windows oder Linux / UNIX) und ein hauptamtlicher VOLLZEIT(!)Administrator!
Die Frage ist: Was ist gewollt bzw. was soll das System hinterher „können“? Nur Benutzerverwaltung oder auch Dateiverwaltung, Datensicherung, EMail, Druckersteuerung, etc.
Können / sollen Arbeitsabläufe (Einkauf, Verkauf, Planung, Marketing, Entwicklung usw.) in Deiner Firma durch die EDV unterstützt werden?
Klar, das kostet Geld.
Klar, das kostet Zeit und Nerven (die des „neuen“ Admin )!
Danach habt ihr aber:
Ein zentral laufendes System mit (fast) beliebig abgestuften Benutzer- und Zugriffsrechten,
ein (relativ) sicheres Netzwerk,
zentrale Datensicherung,
und, und, und

Relativ einfach ist ein Linuxserver a la „c’t-Server“. Die Software ist kostenlos, der Aufbau relativ simpel und nicht sehr zeitaufwendig. Die Pflege und eventuelle Anpassung an spezielle Programme kann allerdings „tricky“ werden.
Bei Microsoft wäre ein 2003- oder eventuell ein SBS-Server die richtige Wahl. Kostet in der Anschaffung (Hard- und Software) wesentlich mehr ist aber, bei reiner Windowsumgebung, recht stringent zu verwalten.
Grundsätzlich gilt aber: System- und Netzwerkadministration ist kein Nebenjob den man(n) so einfach nebenher macht! Dabei wird 100% am falschen Ende gespart!
Ich habe selbst einmal in einer Firma als Admin gearbeitet wo es anfangs nur hieß: „Hier ist ihr Arbeitsplatz, wir wollen EDV, machen sie mal!“ Sprich: Es gab keine wirkliche Idee was genau gewollt war aber, alle anderen hatten Computer - das brauchen wir auch. (Hat mich gefühlte 10 Jahre meines Lebens gekostet das Ding zu stemmen - hat aber funktioniert )

Fazit: Sprich mit Deinem Chef und mache ihm klar, dass bei dieser Netzwerkgröße das Wohl der Firma von einer funktionierenden EDV-Infrastruktur abhängt (echt kein Witz!)-> Plötzlich ist die Festplatte von Mitarbeiter XYZ kaputt wo alle Umsatzdaten drauf waren - und ein Backup wurde nie erzeugt!
…!

stefan

Hallo […],
vielen Dank für deine ausführliche Schilderung.

Ich weiß, dass du zu mindestens zum Teil Recht hast, aber ganz so schlimm ist es nicht. Wir haben einen Linux-Server mit Sicherungslaufwerk für unsere Warenwirtschaft - das Herzstück unserer ganzen Arbeit. Dann haben wir noch einen etwas älteren Linuxrechner als E-Mail-Lösung und Dateiablage für Word und Excel-Dokumente. (Der wird zurzeit extern neu eingerichtet und dann ausgetauscht.)

Die einzelnen Rechner werden „eigentlich“ nur für die Warenwirtschaft genutzt. Nur mittlerweile will jeder Mitarbeiter Internet haben. Ohne E-Mails gehts auch nicht mehr, also haben alle Outlook. Zusätzlich haben einige ActiveFax (Fax der auf einen Arbeitsplatz-Rechner mit ISDN-Karte als Server läuft) MessageBob um Nachrichten hin und her zu schicken.

Also ich will es nur etwas sicherer machen. Und hatte mir wie gesagt überlegt ein eingeschränktes Benutzerkonto anzulegen oder evtl. ein Programm anzuschaffen, wo man einfach nur Häkchen macht, wenn jemand z. B. Programme installieren darf… mehr nicht.

Hallo Marco,

wenn es so „einfach“ bleiben darf dann schaue einmal nach dem c’t Sonderheft „Netzwerke“. Da gibt es unter anderem die Software und Beschreibung eines recht guten Linuxservers für kleine Netzwerke. Selbst wenn der bei Euch nicht zum Einsatz kommt so sind dort doch auch einige Tipps und Kniffe zur allgemeinen Infrastruktur drin.

stefan

Hallo Stefan,

ich werde mir das Heft auf jeden Fall besorgen und mal weiter sehen.

Vielen Dank für dein wirklich hilfreichen Antworten.

Grüße aus dem Münsterland

Marco

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo Marco!

Unsere 25 Rechner arbeiten alle als Administrator und das
wollen wir nun irgendwie einschränken. Nun kenne ich nur die
Möglichkeit auf jeden Rechner 2 Benutzer anzulegen, einmal
Admin und einmal ein eingeschränktes Konto.

• Gibt es eine einfachere Möglichkeit, denn wir suchen was,
  was nicht so zeitintensiv ist?

Ich kann jetzt das Problem nicht sehen.
Egal, wie du dein System einrichtest, die 25 User musst du in jedem Falle anlegen. Und sooo lange dauert das doch nun auch wieder nicht.

Hallo Stefan!

ob meine Antwort „hilfreich“ ist muss ich dahinstellen aber,
bei der genannten Netzwerkgröße helfen nur ein Domänenserver

Volle Zustimmung.

(Windows oder Linux / UNIX) und ein hauptamtlicher
VOLLZEIT(!)Administrator!

Das wiederum ist völliger Unfug.
Ich werfe hier ein ähnliches Netzwerk (20 Arbeitsstationen, 1 Datenserver, 1 email/Webserver) als reinen Nebenjob. Eigentlich bin ich Laborleiter.
Und wenn man fit ist, hat man nach ein paar Wochen das System so weit unter Kontrolle, das man nur eine handvoll Stunden pro Wochen für Kleinkram braucht.

Bei Microsoft wäre ein 2003- oder eventuell ein SBS-Server die
richtige Wahl. Kostet in der Anschaffung (Hard- und Software)
wesentlich mehr ist aber, bei reiner Windowsumgebung, recht
stringent zu verwalten.

Ein ganz einfacher Windows 2000-Server tut’s auch. Lizenz wird dir auf ebay hinterher geworfen.

Grundsätzlich gilt aber: System- und Netzwerkadministration
ist kein Nebenjob den man(n) so einfach nebenher macht!

Das hängt ganz von den Wüschen ab.
Bei einem einfachen System ohne nennenswerte Datenbak-Applikationen kann ein Netzwerk in dieser Größenordnung durchaus nebenher geworfen werden.
Die Frage in diesem Falle ist nur, wie sieht das Backup des Waren-Wirtschaftssystems aus?

Hallo Marco,

mit anspruchsvoll meinte ich nicht unbedingt den Zeitaufwand, sondern die nötige Ahnung von der Sache. Wenn man das System mit Hilfe dieser Ahnung gut einrichtet, braucht man sicher weniger als 5 Std/Woche für die weitere Pflege. Ein neuer User für die Domäne ist in 2 Minuten eingerichtet, wenn er die gleichen Rechte usw. wie die anderen haben soll.

Wie die anderen Experten auch habe ich keinen ernsthaften Vorschlag ohne Domäne o.ä. - du must ja die 25 User nicht nur auf den einzelnen Rechnern einrichten, sondern auch auf dem (bzw. jeden) Server, um Rechte zu vergeben. Wenn du das vermeiden willst indem du für alle die da kommen einen Gastzugang einrichtest, untergräbst du die Sicherheit so, dass du dir die ganze Aktion gleich sparen kannst.

Gruss Reinhard

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo auch,

eine Domäne würde Dir bei 25 Rechnern wahrscheinlich durchaus Vorteile bringen, aber das konkrete Problem nicht lösen.

„irgendwie einschränken“ ist ein wenig zu nebelig. „Ich möchte mich irgendwie fortbewegen“ reicht auch nicht um Dir eine Gerätschaft zwischen Sportschuh, Trittroller, Dielsellokomotive und Ferrari zu empfehlen.

Eine praktikable Lösung, einem Konto ohne Ab- und Anmeldung „einfach mal schnell“ ein paar Rechte zu geben oder zu nehmen gibt es unter Windows nicht. Stichwort „Security-Token“ in der Doku weist Dir die Wege, wenn Du es genau wissen möchtest.

Ich veruchs mal mit einem Schnellkursus in Windows Rechtervergabe (lokal, keine Domäne)

* Man bekommt Rechte sinnvoller Weise durch Zugehörigkeit zu einer Gruppe. Auf einer Windows 2000/XP ohne Domäne gibt es vier Gruppen: Administratoren (dürfen gar alles), Hauptbenutzer (dürfen fast alles) und Benutzer (dürfen ein wenig was), und Gäste (dürfen garnichts). XP kennt auch noch noch einige „Operatoren“ Gruppen, die liegen irgendwo dazwischen.

Details zu einzelnen Rechten (es gibt einige hundert davon …) und Listen, welche der vorhendenen Gruppen nun per Default welche Rechte hat, und deren historisch gewachsene „Details“ (na wer darf denn nun einen Druckertriber für einen lokalen Drucker installieren, wenn Windows einen signierten Treiber mitbringt, der aber nicht passend ist, und man einen neueren, funktionierenden, aber leider nicht signierten Treiber aus dem Internet hat) bitte selber nachlesen.

Und dann nochmals darüber nachdenken, ob der „Sicherheitsgewinn“, der mit einer massiven Einschränkung bei der Benutzung der Maschine (aus der Sicht von jemandem, der es bisher gewohnt ist, vollen Zugriff auf so ziemlich alles zu haben) verbunden ist, tatsächlich einer ist, oder nur ein Hirngespinst im Zeitalter einer ziemlich hysterisch geführten Sicherheitsdebatte.

* In der mächtigen Gruppe „Administratoren“ sitzt per Default nur der „Administrator“, und der darf alles. Man sollte von dem Konto tunlichst die Finger lassen, man braucht es zur Fernadministration und zum Einstieg im Notfall. Dem Konto „Administrator“ also Rechte wegnehmen wollen ist ein Schuss nach hinten.

Wenn die bestehenden Benutzer alle Administratoren sind heißt das, dass sie entweder sich alle als „Administrator“ anmelden, oder dass jeder ein anderes Konto benützt, das der Gruppe „Administratoren“ hinzugefügt wurde. Trifft ersteres zu musst Du in den sauren Apfel beißen und auf jedem Rechner für jeden Benutzer ein Konto anlegen, und die Benutzerumgebung (Einstellungen und Dateien) vom „Administrator“ Konto auf das neue Konto kopieren, sonst gibt es wahrscheinlich Knatsch mit den Benutzern, weil neue Konten was Daten und Einstellungen betrifft immer bei null beginnen. Stichwort: Benutzerprofil von einem Benutzer auf einen anderen Benutzer kopieren (–> Anleitungen im Internet lesen). Trifft zweiteres zu, hast Du Glück.

Wenn jeder Benutzer nun sein eigenes Konto hat (oder jede Computer ein neues Konto z.B. „MeinUser“ - wenn Du nur ein einziges Konto auf allen Rechnern haben willst) musst Du entscheiden, ob Du Deine Sicherheitsbedürfnisse dadurch befriedigen kannst, dass Du das Benutzerkonto „MeinUser“ in eine der vordefinierten Gruppen (Außer Administrator) packst, deren vordefinierte Rechte Dir gefallen. Wenn ja, prima. Wenn nein, hast Du zwei Wege: Du gibst dem Konto „MeinUser“ genau die notwendigen Rechte, oder Du arbeitest mit einer eigenen Gruppe „MeineLokalenBenutzer“, Mitglied: „MeinUser“, der Du Recht für Recht genau die gewünschten Rechte gibst, oder Du verwendest eine der bestehenden Gruppen und veränderst ihre Rechte. Stilistisch einwandfrei und zukunftssicher ist die Lösung mit einer eigenen Gruppe.

Bei 25 Maschinen istd as auch von hand problemlos zu machen.

Du kannst es aber natürlich auch automatisieren. Entweder, wenn Du des Scriptings mächtig bist, über den Windows Script Host (WSH), und die WMI Schnittstelle, oder „zu Fuß“ per Stapeldatei, die Du dann einmal auf jedem Rechner als Administrator laufen lässt. Sie würde dann in etwa so aussehen:

rem setzte dem Admin Konto ein neues Passwort
net user Administrator xxxxxxxx
rem mach ein neues Konto mit Passwort
net user MeinBenutzer xxxxxxx /add
rem mach eine neue lokale Gruppe, und füge den benutzer hinzu
net localgroup MeineLokaleGruppe /add
net localgroup MeineLokaleGruppe MeinBenutzer /add
ntrights +seSystemTimePrivilege -u MeineLokaleGruppe

der letzte Befehl setzt die Berechtigungen, Details siehe hier:
http://support.microsoft.com/kb/279664/de

SOlltest Du später an den Rechten was ändern wollen: ntrights kennt den -m Parameter, damit kannst Du das aus der Ferne machen (und Du würdest dazu den uneingeschränkten „Administrator“ Account brauchen, da der angemeldete Benutzer wohl nicht das Recht hat, sich selber Rechte zu geben). Bleibt dann das Problem, dass der Benutzer sich ab- und anmelden muss damit die Rechte „greifen“.

Und dass der ganze Prozess bei einem Laptop, er sich gerade in Hindustan befindet, wo der Benutzer sich gerade einen Druckertreiber installieren muss, auf ein leitungstechnisches Problem laufen könnte, aber das ist alles auf einer anderen Ebene

…Armin