Guten Tag allerseits,
eine Frage zur Benutzerkontrolle. Kann es innerhalb einer DATEV-Instanz zwei Hauptadministratoren geben? Oder ist das technisch nicht möglich?
Danke und Gruß
Oliver Zopf
Gelöst! Gehe zu Lösung.
Hallo Herr Zopf,
das geht problemlos - einfach in der Benutzerverwaltung den Mitarbeiter anklicken und den Haken für Hauptadministrator setzen.
Beste Grüße
Andreas Briefs
Danke für die schnelle Rückmeldung Herr Briefs.
Wie ich gerade feststelle wird allerdings gefordert das der zusätzliche Admin vorher aus allen anderen Gruppen entfernt werden muss.
Stellt aber kein Problem für uns dar denke ich.
Grüße aus München
Oliver Zopf
Wie ich gerade feststelle wird allerdings gefordert das der zusätzliche Admin vorher aus allen anderen Gruppen entfernt werden muss.
Hauptadministrator ist halt Hauptadministrator, da gibt es dann keine Einschränkungen mehr durch andere Gruppen. Der Benutzer kann dann alles, das sollte vorher beachtet werden.
richtig !
... und wenn dann noch volle Rechte im Windows-Betriebssystem gewährt werden, hätte auch eine Malware 'freie Hand'.
Ich weiß, eine alte Leier, aber die saubere Trennung von Administrationsrechten und Benutzerrechten hat seinen Sinn. Benutzer ohne Administrationsrechte 'sitzen nicht in der zweiten Reihe' sondern 'auf einem bequemeren Stuhl' und nicht direkt an der Front.
VG
Michael Vogtsburger
Nachtrag:
Ich selbst verwende für die 'normale' Arbeit meinen Benutzeraccount und nur für Administrationsarbeiten den Administrator-Account.
.... hat sich bewährt ....
Ich weiß, eine alte Leier, aber die saubere Trennung von Administrationsrechten und Benutzerrechten hat seinen Sinn.
Diese Aussage kann ich nur unterstreichen, vor allem kann es auch Schutz davor dienen um nicht DATEV aus versehen oder Unwissenheit zu "verrudern…"
Und genau an dieser Stelle hat die Rechteverwaltung die Sicherheitslücke.
Der Hauptadministrator ist, damit die RZ Rechte bearbeitet werden können, an seine SmartCard gebunden, für bestimmte Aktionen benötigt der Hauptadministrator auch Adminrechte im AD. Für die tägliche Arbeit benötigt der Hauptadmin aber auch seine SmartCard. Ist also nicht nur so, dass der DATEV Admin mit DATEV Anwendungen "vorne" steht sondern auch mit dem AD.
Und genau an dieser Stelle hat die Rechteverwaltung die Sicherheitslücke.
Nein, das sehe ich nicht so, was hat das mit Sicherheitslücke zu tun.
Einen Administrator kann man nicht einschränken, würde auch überhaupt keinen Sinn machen. Ein eingeschränkter Administrator, ist für mich kein Administrator mehr.
Ich denke, das ist eine Frage der Organisation. Was spricht dagegen diesen "Administrator" bzw. diesen Mitarbeiter eine SmartCard zur Verfügung zu stellen und dementsprechend die Rechte freizuschalten für das was er tun darf?
richtig !
... und wenn dann noch volle Rechte im Windows-Betriebssystem gewährt werden, hätte auch eine Malware 'freie Hand'.
Grundsätzlich ja, aber der Hauptadministrator hat so gar nichts mit den Windows-Benutzerrechten zu tun. Im Gegenteil, es kann innerhalb der DATEV-Welt mit "Hauptadminrechten" gearbeitet werden, auch wenn ich im AD oder auf dem lokalen Rechner nur "Benutzer" bin.
Malware kann hier nur mit den Windows-/Betriebssystemrechten agieren.
Grüße
Chr.Ockenfels
Hallo Herr Ockenfels,
deshalb hatte ich ja geschrieben "... und wenn dann noch volle Rechte im Windows-Betriebssystem gewährt werden ....".
Mir ist der Unterschied zwischen Datev-Admin und Windows-Admin schon klar.
.... aber was nützt ein Datev-Admin, der zu wenig Rechte für Datev-Aktualisierungen hätte.
Der Einfachheit halber habe ich den Windows-Administrator auch zum Datev-admin 'ernannt'. Somit darf der Datev-Admin neben Datev-Aktualisierungen auch Systemwartungen, Updates und Änderungen im AD usw. machen.
In unserer kleinen Kanzlei erschien mir diese Personalunion als sinnvoll.
In Großkanzleien hat man sicher andere Strukturen und Bedarfe.
Der Windows-Administrator arbeitet bei uns aber nicht standardmäßig mit diesem Account in Datev
VG
Michael Vogtsburger