[software] Rechten voor softwaregebruik - Serversoftware en clouddiensten

maandag 19 april 2010 17:53

Acties:

Topicstarter

Ik vraag me het volgende af hoe jullie dit onderscheppen...

Wanneer je gebruikers hebt die alleen gebruikersrechten hebben en dus niks mogen installeren/verwijderen en niets mogen bewerken in Windows en software (program files), hoe pak je dan het volgende aan:

1). Gebruiker moet veel software installeren en verwijderen wegens het testen ervan
2). Of gebruikers hebben vaak nieuwe software nodig maar krijg veel foutmeldingen dat er geen rechten zijn op de 'C:\program files/software map'

1). Geef je deze dan speciale rechten dat die wel software e.d. kan installeren/verwijderen en gebruiken, zo ja welke rechten?

2). Ga je dan iedere keer handmatig voor die software map rechten toekennen en in het register on user local_user > software > softwareprog. ?

Er zijn bedrijven die gebruiken constant allemaal dezelfde software, maar er zijn ook bedrijven/personen die nogal veel wisselen en van alles en nog wat willen hebben / testen.

Ik vraag me af hoe andere hiermee omgaan?

maandag 19 april 2010 18:00

Acties:

JasperE

Op mijn werk (~20 workstations, geen fulltime IT beheer) heb ik alle mensen met enig computerverstand (veelal ingenieurs en redelijk technisch aangelegde mensen) gewoon lokale admin rechten gegeven. Dit heeft in de afgelopen 3 jaar nog niet tot problemen geleid. Het uitschakelen en de instellingen van de virusscanner is nog wel met een wachtwoord beveiligd.

[ Voor 9% gewijzigd door JasperE op 19-04-2010 18:01 ]

maandag 19 april 2010 18:07

Acties:

DaVaRiOuS

Topicstarter

JasperE schreef op maandag 19 april 2010 @ 18:00:
Op mijn werk (~20 workstations, geen fulltime IT beheer) heb ik alle mensen met enig computerverstand (veelal ingenieurs en redelijk technisch aangelegde mensen) gewoon lokale admin rechten gegeven. Dit heeft in de afgelopen 3 jaar nog niet tot problemen geleid. Het uitschakelen en de instellingen van de virusscanner is nog wel met een wachtwoord beveiligd.

Dat is een mogelijkheid, maar dan komt het 2e probleem naar voren, stel ze gaan op een andere computer van een collega zitten, die toch ook dat programma op zijn computer heeft staan.
Maar daar heeft diegene dan geen lokale admin rechten en kan dan dus niks doen.

[ Voor 9% gewijzigd door DaVaRiOuS op 19-04-2010 18:15 ]

maandag 19 april 2010 19:25

Acties:

Turdie

JasperE schreef op maandag 19 april 2010 @ 18:00:
Op mijn werk (~20 workstations, geen fulltime IT beheer) heb ik alle mensen met enig computerverstand (veelal ingenieurs en redelijk technisch aangelegde mensen) gewoon lokale admin rechten gegeven. Dit heeft in de afgelopen 3 jaar nog niet tot problemen geleid. Het uitschakelen en de instellingen van de virusscanner is nog wel met een wachtwoord beveiligd.

Het is niet erg slim om je gebruikers local admin te geven. Wat er kan gebeuren dat een malafide programma onder die gebruiker (phising e-mail) draait, en zo kan het hele netwerk overgaan. Je moet een users niet rechten geven dan ze nodig hebben.Er zijn ook nog andere dingen te bedenken die ze kunnen doen die je als beheerder liever niet hebt. Ze zouden bijvoorbeeld per ongeluk een script kunnen draaien waar de rechten van bepaalde systeembestanden worden verandert, waar door de pc helemaal niet meer zal opstarten.

DaVaRiOuS schreef op maandag 19 april 2010 @ 18:07:
[...]

Dat is een mogelijkheid, maar dan komt het 2e probleem naar voren, stel ze gaan op een andere computer van een collega zitten, die toch ook dat programma op zijn computer heeft staan.
Maar daar heeft diegene dan geen lokale admin rechten en kan dan dus niks doen.

Via Group Policy kun je software distribueren aan specifieke users
How to assign software to a specific group by using Group Policy
Using Group Policy to Deploy Applications

edit:
Zie mijn toevoeging.

[ Voor 46% gewijzigd door Turdie op 19-04-2010 19:33 ]

maandag 19 april 2010 19:27

Acties:

DaVaRiOuS

Topicstarter

shadowman12 schreef op maandag 19 april 2010 @ 19:25:
[...]

Het is niet erg slim om je gebruikers local admin te geven. Wat er kan gebeuren dat een malafide programma onder die gebruiker (phising e-mail) draait, en zo kan het hele netwerk overgaan.

Dat is inderdaad ook een punt van zorg.
Kan je misschien een input geven hoe jij dit zou aanpakken?

maandag 19 april 2010 19:50

Acties:

DaVaRiOuS

Topicstarter

shadowman12 schreef op maandag 19 april 2010 @ 19:25:
[...]

Het is niet erg slim om je gebruikers local admin te geven. Wat er kan gebeuren dat een malafide programma onder die gebruiker (phising e-mail) draait, en zo kan het hele netwerk overgaan. Je moet een users niet rechten geven dan ze nodig hebben.Er zijn ook nog andere dingen te bedenken die ze kunnen doen die je als beheerder liever niet hebt. Ze zouden bijvoorbeeld per ongeluk een script kunnen draaien waar de rechten van bepaalde systeembestanden worden verandert, waar door de pc helemaal niet meer zal opstarten.

[...]

Via Group Policy kun je software distribueren aan specifieke users
How to assign software to a specific group by using Group Policy
Using Group Policy to Deploy Applications

edit:
Zie mijn toevoeging.

Ja dus dan moet die gebruiker iedere keer bellen mocht die WEER eens een ander softwarepakket op z'n computer willen gebruiken.
Dit dient dan voor ieder softwarepakket als nog handmatig toegekent te worden in de policy.

En het gaat hier niet om standaard Windows programma's, maar specifieke programma's voor de branche waarin het bedrijf werkzaam is.

Het moet dus te voorkomen zijn wanneer de beste persoon software wil gebruiken, niet iedere keer contact hoeft op te nemen om dit toe te staan.

maandag 19 april 2010 19:58

Acties:

Turdie

Even terzijde, maar ik ben gewend dat niet de gebruiker bepaalt welke software hij gebruikt, maar zijn werkgever dat bepaalt. Een werkgever moet tenslotte ook licenties aanschaffen voor de software die zijn werknemers gebruiken. Maar ja ach, dat ben ik.

Daarnaast zou je ook nog naar Citrix kunnen kijken, dat je op een aantal Terminal Servers alle software die nodig publiceert en dat de gebruikers het dan via Citrix kunnen gebruiken, met eventueel de mogelijkheid om per gebruiker te bepalen wat hij/zij wel/niet mag gebruiken. In Windows Server 2008 kan dit ook met o.a TS RemoteApp.

[ Voor 41% gewijzigd door Turdie op 19-04-2010 20:01 ]

maandag 19 april 2010 20:10

Acties:

alt-92

ye olde farte

DaVaRiOuS schreef op maandag 19 april 2010 @ 19:50:

Het moet dus te voorkomen zijn wanneer de beste persoon software wil gebruiken, niet iedere keer contact hoeft op te nemen om dit toe te staan.

dan geef je 'm beheerdersrechten op een test-PC (en niet z'n produktiemachine) en hoop je maar dat alles goed blijft gaan toch?

Support doe je dan op best-effort basis, valt gewoon buiten de reguliere oplostijden (lees: complete reinstall als het mis gaat oftewel verkloot iemand z'n PC heeft die persoon een probleem en niet jij).
Dat is dan het service-gevolg van alles zelf willen kunnen doen.

[ Voor 25% gewijzigd door alt-92 op 19-04-2010 20:12 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 19 april 2010 20:59

Acties:

DaVaRiOuS

Topicstarter

alt-92 schreef op maandag 19 april 2010 @ 20:10:
[...]

dan geef je 'm beheerdersrechten op een test-PC (en niet z'n produktiemachine) en hoop je maar dat alles goed blijft gaan toch?
Support doe je dan op best-effort basis, valt gewoon buiten de reguliere oplostijden (lees: complete reinstall als het mis gaat oftewel verkloot iemand z'n PC heeft die persoon een probleem en niet jij).
Dat is dan het service-gevolg van alles zelf willen kunnen doen.

Duidelijk!

Deze vraag was eigenlijk het gevolg van het volgende:
Een aantal bedrijven waarmee ik een contract heb lopen, die doen soms nogal moeilijk en 'zeuren' dat ze iedere keer tegen problemen aanlopen wat betreft rechten'probleem' dat er dus geen toegang is voor een persoon voor bepaalde onderdelen.

Dit is eenmaal de beveiliging van een netwerk, dat niet iedereen zomaar alles kan doen (aanpassen), maar ook niet zomaar kwaadwillende software over het netwerk verspreiden e.d.
Maar ze vinden het iedere zinloos om mij steeds remote in te laten loggen of on-site te komen om dit soort zaken steeds aan te passen.

Er is al zelfs 1 bedrijf die had er zo erg de pest in dat steeds aanpassingen verricht moesten worden, dat deze beste man de stekker eruit heeft getrokken en nu dus op zoek gaat naar een andere oplossing (geen windows server netwerk).
Dit betekend natuurlijk voor mij inkomstenverlies...

Aangezien meerdere bedrijven hierover 'klagen' vraag ik me af...
- zijn zei nou zo zeikerig en weten ze niet hoe een netwerk in elkaar steekt kwa beveiliging?
- of doe ik iets volledig fout?

Hetgeen wat me wel opvalt is dat vaak de directie hierover 'klaagt' dat ze zelf ook nooit iets op hun pc kunnen doen.
Medewerkers hoor ik eigenlijk nooit.

En om nu iedere directielid Administrator te maken en hopen dat het goed blijft gaan zit ik niet op te wachten.
Want als er iets volledig mis gaat, dan wordt ik daar op aangekeken/aangesproken.
(je weet net hoe dat gaat....)

maandag 19 april 2010 21:02

Acties:

MAX3400

XBL: OctagonQontrol

Ik lees: door het niet duidelijk voorlichten van mijn klant en een onduidelijkheid aan de kant van de klant omtrent licenties, BSA en andere zaken, liggen leverancier en klant constant in gevecht wie/wat/waar/wanneer moet en kan.

Ergo: als de klant zelf geen IT-beleid heeft opgesteld en het niet op prijs stelt dat jij als leverancier daar beperkingen/ideeen over oplegt, dan is het toch aan de klant om te eisen dat jij optie A en X open zet voor elke medewerker?

Denk dat een stukje consultancy en voorlichting van jouw kant heeeel veeeel voor je zaak kan doen en ook meer begrip kan kweken bij elke medewerker/directeur die nu constant in je haren zit.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

maandag 19 april 2010 21:17

Acties:

DaVaRiOuS

Topicstarter

MAX3400 schreef op maandag 19 april 2010 @ 21:02:
Ik lees: door het niet duidelijk voorlichten van mijn klant en een onduidelijkheid aan de kant van de klant omtrent licenties, BSA en andere zaken, liggen leverancier en klant constant in gevecht wie/wat/waar/wanneer moet en kan.

Ergo: als de klant zelf geen IT-beleid heeft opgesteld en het niet op prijs stelt dat jij als leverancier daar beperkingen/ideeen over oplegt, dan is het toch aan de klant om te eisen dat jij optie A en X open zet voor elke medewerker?

Denk dat een stukje consultancy en voorlichting van jouw kant heeeel veeeel voor je zaak kan doen en ook meer begrip kan kweken bij elke medewerker/directeur die nu constant in je haren zit.

Dat is nou net het punt...

Als deze beste man zegt dat ik bepaalde zaken moet open zetten, dan wordt dat ook opgevolgd.
nmaar het vervelende is dat wanneer iets gebeurd (bijv. een registerfout of een systeemcrash doordat er wijzigingen zijn aangebracht in het systeem), dat de telefoon dan gaat met een klant die niet blij is dat zijn systeem niet meer (goed) functioneert.

Uiteraard wordt dit dan z.s.m. opgelost en draait het systeem weer vrij snel, maar wordt de vraag gesteld...
Hoe kunnen we dit in de toekomst voorkomen?
Ja dat is dan vrij duidelijk... rechten beperken, maar daar wil die niet aan, want er moet gewoon een programma geinstalleerd kunnen worden als dit nodig is en niet dat ik daarvoor steeds moet opdraven.

Uiteraard is er voor het contract werd aangegaan duidelijk geformulierd wat de condities zijn, maar ook wat bepaalde zaken inhouden en de eventuele gevolgen ervan.

maar als ik zal aangeven dat wanneer ik de rechten open zet en daarbij vermeld dat ik niet aansprakelijk ben mocht er wat fout gaan, dan zal de klant hiermee nooit akkoord gaan, want waar betaald die dan voor?
Dus al met al best complex...

maandag 19 april 2010 21:32

Acties:

MAX3400

XBL: OctagonQontrol

DaVaRiOuS schreef op maandag 19 april 2010 @ 21:17:
[...]

Dat is nou net het punt...

Als deze beste man zegt dat ik bepaalde zaken moet open zetten, dan wordt dat ook opgevolgd.

Dat is 't 'm dus... Ik zie nog steeds geen IT-beleid.

Tuurlijk; zaken in het MKB willen wat sneller/makkelijker een tool of applicatie installeren want dat is "nu" handig. En de vraag is dan inderdaad; wie gaat dat doen en wie is er verantwoordelijk voor het positieve/negatieve resultaat.

Ik zou er zelf voor kiezen om bij klant X een inventarisatie te doen en te zeggen: oke, applicatie A, B en C kunnen zonder risico zelf geinstalleerd worden. Applicatie X, Y en Z zijn wat moeilijker. Als je iets nodig hebt uit de eerste reeks, zet ik een vinkje in AD en krijgt de medewerker de applicatie toegewezen. En als je iets uit de laatste reeks wil, maken we eerst een restore-point op het werkstation en als de applicatie niet werkt, dan zet ik het restore-point terug.

En zonder verdere info over de infra van een klant, kan je nog verder gaan denken... Staat er iets als WSUS of SCCM? Zitten er alleen maar "type-geiten" of zijn alle medewerkers zeer goed met PC's? Ook op basis daarvan kan je bepaalde taken aan een bepaald persoon daar geven qua uitrol/installatie. Als de eindverantwoordelijke (die dus betaalt en beslist) maar zelf zeer goed wordt ingelicht over zaken bij licentie-controle, verlengingen maar ook zaken als virussen in "semi-handige tools" en dergelijke.

In a nutshell: doe je ding, zeur niet...

Maar ga extra inkomsten genereren door bijvoorbeeld een blauwdruk van een bedrijf op te leveren (2 tot 4 uur eigen tijd) en dan "best practise" aanbevelingen naar dat bedrijf te sturen met risico's en voordelen?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

maandag 19 april 2010 21:33

Acties:

moppentappers

Ik zou niet weten waarom je geen contract op kan stellen waarin staat als ik X doe, is het gevolg Y en als aannemelijk is dat X de oorzaak is van uw probleem (Y) dan kunt u gaan betalen. Als de klant wil dat iedereen van alles en nog wat kan gaan installeren is het een logisch gevolg dat er dus ook malafide zaken geïnstalleerd kunnen worden die op z'n zachtst gezegd de bedrijfsvoering kunnen hinderen.

maandag 19 april 2010 21:56

Acties:

DaVaRiOuS

Topicstarter

IT-beleid op dit bedrijf is eigenlijk ver te zoeken.

Er wordt aangegeven dat er niet hoeft gedocumenteerd te worden hoe de infrastructuur in elkaar steekt want dat is niet nodig (volgens hen).

Manager/verandwoordelijke wil zelf programma's kunnen installeren/verwijderen bij zichtzelf en bij medewerkers, alleen het probleem is soms dat die niet zo goed weet hoe dit bij bepaalde pakketten moet.
Zeker als deze softwareprogramma's een database gebruiken die op een locatie gezocht moet worden (bijv. op een netwerklocatie).
Ja gaat dit dan maar eens telefonisch uitleggen, want on-site komen is no-go!

Systemen/netwerk moet goed beveilig zijn

Gebruikers mogen wel alles erop doen wat ze willen > alle site's bezoeken, msn'en, downloaden (kazaa, torrent, usenet).

De rest kun je zelf denk wel invullen... (niet echt scherp dus)

zinloze informatie: bedrijf telt 11 werkplekken/werknemers.

maandag 19 april 2010 23:11

Acties:

alt-92

ye olde farte

Zoek een andere klant.

Flauw, maar dit klinkt als de doorsnee geeneeraantebehaleneigenwijzebedrijfseigenaardiealleszelfbeterdenktteweten. ^{(c) (tm) (r) been there done that}
Die kun je geen onderhoudscontract aanbieden maar dan is het gewoon uurtje-factuurtjewerk als ie iets (laat) slopen.
Iemand die niet doorheeft dat ie met compleet tegengestelde eisen aankomt voor z'n IT omgeving kun je moeilijk overtuigen van iets anders.

[ Voor 6% gewijzigd door alt-92 op 19-04-2010 23:12 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 20 april 2010 20:12

Acties:

DaVaRiOuS

Topicstarter

alt-92 schreef op maandag 19 april 2010 @ 23:11:
Zoek een andere klant.

Flauw, maar dit klinkt als de doorsnee geeneeraantebehaleneigenwijzebedrijfseigenaardiealleszelfbeterdenktteweten. ^{(c) (tm) (r) been there done that}
Die kun je geen onderhoudscontract aanbieden maar dan is het gewoon uurtje-factuurtjewerk als ie iets (laat) slopen.
Iemand die niet doorheeft dat ie met compleet tegengestelde eisen aankomt voor z'n IT omgeving kun je moeilijk overtuigen van iets anders.

Mee eens... maar de inkomsten van deze klant zijn.... $_/-\o_$