Guten Tag, ich bin als Entwicklungsingenieur bei einem großen Konzern angestellt. Wir arbeiten in einer kleinen (<10 Mann) und neuen Abteilung im Bereich Zustandsüberwachung von Maschinen. Dabei stört mich die interne IT extrem, ich kann nicht mal die IP Adresse meines Laptops ändern, geschweige denn eine .EXE ausführen oder ein Programm installieren. Wir haben zwei Laptops ohne jegliche Administration jedoch nervt mich dieses parallele arbeiten sehr und diese stehen auch nicht immer zur Verfügung. Nun frage ich mich wie dies in anderen Firmen gehandhabt wird. Eine Lösung wäre immer mehr "illegale" Laptops zu betreiben aber das ist auch keine zufriedenstellende Lösung. Wie macht ihr das? Viele Grüße Max
Max schrieb: > geschweige denn eine .EXE ausführen oder ein Programm installieren Jedes mal wenn du so etwas tun willst, rufst du bei der IT-Abteilung an. Wenn sie dir damit nicht helfen, fragst du deinen Vorgesetzten, was du tun sollst. Wenn die zum 3. Mal am Tag antanzen müssen um irgendwas zu installieren überlegen sie sich vielleicht eine andere Lösung.
Max schrieb: > ich bin als Entwicklungsingenieur bei einem großen Konzern angestellt. > Wir arbeiten in einer kleinen (<10 Mann) und neuen Abteilung im Bereich > Zustandsüberwachung von Maschinen. Dabei stört mich die interne IT > extrem, ich kann nicht mal die IP Adresse meines Laptops ändern, Das ist in einem Unternehmensnetzwerk, wo IP-Adressen per DHCP verwaltet und zugewiesen werden, auch meistens keine gute Idee. > geschweige denn eine .EXE ausführen oder ein Programm installieren. Aus Adminsicht ist es eine gute Sache, daß Du keine Schädlinge installieren kannst... ;-) Nein, im Ernst: die wollen ja nix Böses, Dir das Leben schwer machen oder Deine Arbeit behindern, sondern haben in der Regel gute Gründe dafür, warum sie bestimmte Dinge einschränken oder verbieten. Es ist deren Job, gleichzeitig ihre Rechner und Netzwerke abzusichern, genauso ist es aber auch ihr Job, Dir eine Umgebung zu bieten, in der Du so effizient und reibungslos wie möglich arbeiten kannst. > Wir > haben zwei Laptops ohne jegliche Administration jedoch nervt mich dieses > parallele arbeiten sehr und diese stehen auch nicht immer zur Verfügung. > > Nun frage ich mich wie dies in anderen Firmen gehandhabt wird. Eine > Lösung wäre immer mehr "illegale" Laptops zu betreiben aber das ist auch > keine zufriedenstellende Lösung. Wie macht ihr das? Sauberes Anforderungsprofil erstellen und dann mit der IT reden, wie das realisiert werden kann. Eigenmächtigkeiten können mit einer fristlosen Kündigung enden!
Max schrieb: > ich kann nicht mal die IP Adresse meines Laptops ändern, > geschweige denn eine .EXE ausführen oder ein Programm installiere Dienst nach Vorschrift. Jedes mal, wenn du eine "Verbotene" Sache machen willst, bei deinem Admin anrufen, und ihn das machen lassen. Solange: Kaffeepause, Däumchen drehen, dich beim Vorgesetzten beschweren, dass der Admin soo lange braucht, bis er endlich da ist und dein Programm startet, und wieviel Arbeitszeit dadurch verloren geht. Max schrieb: > Wie macht ihr das? Einmal durchgesetzt, dass ich als Entwickler gerne Linux auf meinem Arbeitsrechner habe. Seitdem lässt die IT die Finger davon. Windows kann ich bei Bedarf in einer VM nutzen, das ist dann auch Admin-frei.
Permanente Admin Rechte beantragen. Haben bei uns viele Entwickler sich einrichten lassen. Geht ja schon los, wenn man einen Atmel ICE Debugger an einen USB Port anschließen will. Schon will Windows Admin Rechte haben. Aber wer weiß schon genau welchen USB Port er bei letzten mal verwendet hat. Also wieder IT nerven oder bei der Installation der SW gleich alle USB Ports einmal benutzten. Dann richtet Windows sich für jeden korrekt ein und man muß die IT nicht mehr nerven.
Chris K. schrieb: > Geht ja schon los, wenn man einen Atmel ICE Debugger an einen USB Port > anschließen will. Schon will Windows Admin Rechte haben. Aber wer weiß > schon genau welchen USB Port er bei letzten mal verwendet hat. Wie mies ist das denn programmiert. Mit WinUSB oder libusb wäre das gar kein Problem...
Schwarzseher schrieb: > Einmal durchgesetzt, dass ich als Entwickler gerne Linux auf meinem > Arbeitsrechner habe. Seitdem lässt die IT die Finger davon. Oder anders herum. Ich habe Linux in einer VM laufen. Die Admins können den Rechner ganz normal Administrieren und ich arbeite in meiner VM mit (m)einem eigenen kleinen Netzwerk (2. Netzwerkkarte, die nur der VM gehört und ein kleiner Switch). Die Programme kommen per Cygwin/X auf meinen Desktop und ich kann arbeiten, als wäre alles "nativ" auf dem Windows-Rechner.
Max schrieb: > Dabei stört mich die interne IT > extrem, ich kann nicht mal die IP Adresse meines Laptops ändern, > geschweige denn eine .EXE ausführen oder ein Programm installieren. Wenn Entwicklungsingenieure unter nativen Windows arbeiten wollen oder müssen ... das klingt nach Generation Arduino!
Wie machen die Kollegen das? Was sagt der Abteilungsleiter? Statt einer individuellen Bastellösung sollte das abteilungseinheitlich geklärt sein. Wenn ich sehe wie einfach hier bei uns Leute dazu gebracht werden unbekannte Links oder Dateien anzuklicken/auszuführen ist das ein lebensnotwendiges Verhalten der IT. Beispiel (Security Test): Eine Mail, die anscheinend von Inhaus kam und in der beschrieben wurde daß in einem Kühlschrank in einem Büro in USA geklaut wird und deshalb jetzt eine Webcam installiert wurde auf die jeder zugreifen kann. Mehr als 50% der User hier in DE im Büro haben bedenkenlos auf diese angebliche Webcam URL geklickt.
Walter K. schrieb: > Wenn Entwicklungsingenieure unter nativen Windows arbeiten wollen oder > müssen ... das klingt nach Generation Arduino! Genau, weil Entwicklungsumgebungen wie MSVC nur Anfänger-Quatsch sind und die hohe Kunst bei VIM+make+gcc zu finden ist? Viele (gute) Software im Industriebereich wie z.B. Vector CANoe ist Windows-Only.
Der Andere schrieb: > Mehr als 50% der User hier in DE im Büro haben bedenkenlos auf diese > angebliche Webcam URL geklickt. Wenn das bloße Anklicken eines Links die IT gefährdet läuft aber auch was falsch.
genau das ist der Grund warum es in größeren Firmen immer eine Schatten-IT gibt. Der Dienstleister gibt das Grundgerüst an die MA, die eigene Abteilung vwerwaltet eigene Rechner/Server in einem eigenem Adressbereich die mit einer Firewall verschaltet sind. Lokale Adminrechte könnnen unter bestimmten Vorraussetzungen zeitlich begrenzt erteil werden. Alles keine saubere Lösung. Zumal ich im Abteilungsnetz (z.B. mit dem LAborrechner) nicht auf den Arbeitsplatzrechner per RDP bzw. vice visa komme. Wäre ja das mindeste, dann könnte ich auch vom Arbeitsplatz arbeiten und muss nicht im dunklen LAbor hocken. Seitdem der VPN bei uns den Netzwerkport blockiert kannst Du auf einer Dienstreise 1xLAptop (für eMail und Daten), 1xLaptop (für Diagnose), 1xOszilloskop, 1xTablet (zum Surfen im Hotel) mitschleppen...
Chris K. schrieb: > Permanente Admin Rechte beantragen haben wir auch, abberdings mit dem zusatz "wer adminrechte hat, der hat auch admin pflichten". da wird man dann von den möchtegern-admins immer blöd angeschaut.
c.m. schrieb: > da wird man dann von den möchtegern-admins immer blöd angeschaut. Das kann ich ja besonders leiden, wenn sich ein Admin-Systemelektroniker als schlauer als ich (MSc Inf) aufspielt und mir Vorschriften macht weil ich ja nicht mit Computern umgehen kann.
Dr. Sommer schrieb: > Wenn das bloße Anklicken eines Links die IT gefährdet läuft aber auch > was falsch. Gib ihm die verlangten Adminrechte und schon wirds deutlich gefährlicher. Wie gesagt das war nur ein Sicherheitstest um die Leute ein bischen aufzuwecken.
Der Andere schrieb: > Gib ihm die verlangten Adminrechte und schon wirds deutlich > gefährlicher. Wenn ihr nicht gerade XP nutzt, sollte der Browser nicht mit Adminrechten laufen, selbst wenn es sich um ein Admin-Konto handelt (nur UAC aktiviert).
Vielen Dank erst mal für eure Kommentare! Ich versuche das jetzt mit meinem Vorgesetzten und der IT zu klären aber wirklich zuversichtlich bin ich da nicht. Die Aktion kann sich ja über Wochen ziehen und so lange kann und möchte ich nicht warten. Problem bei der aktuellen Notlösung ist ja, dass es funktioniert. Die IT und auch mein Vorgesetzter werden dann kein Handlungsbedarf sehen und ich kann hier weiter Spagat machen ...
Max schrieb: > Nun frage ich mich wie dies in anderen Firmen gehandhabt wird. Haben (hatten) wir auch. Angefangen hat es im PM und Marketing und zuletzt hatten praktisch alle Entwickler ein Notebook mit dem sie arbeiten mussten. Nannte sich Clean Desk System verbunden mit dyamischem Arbeiten: Jeder verschwindet mit seinem Zeug irgendwo hin und nimmt das book am Besten noch mit nach Hause, damit er auch Nachst noch für die Firma werkeln kann. Die Fremdadministration ist an sich schon ein Graus, weil wegen jedem Furz ein Anruf in der IT zu erfolgen hatte, die einem dann die ADMIN-Rechte gibt, um einen schnöden Treiber zu installieren. Damit sind dann 2 Personen (Ich und der IT-Mann) oft eine Viertel- oder Halbe Stunde beschäftigt, weil es mehrfach probiert werden muss, statt dass es automatisch geht. Bei jeder Library, jedem Paket-Update und jedem Eingriff in die Registry mus die IT mit dabei und da wir selber SW entwickeln, die ins System eingreift, kommt das täglich vor. Normalerweise paketierten wir 2-3mal die Woche und erstellten neue LIBs und SW und immer wieder muss dazu tief ins System eingegriffen werden. Dazu kommt die Doku, die Zugriffe auf den Teamserver und das wechseln der Software und Compilerversionen. Früher hatte man dazu einen autarken Entwicklungsrechner mit Dongle und Einzelplatzlizenz den man selber beackern konnte, aber heute ist ja die Software, mit der entwickelt wird, irgendwo auf dem Server oder sie braucht die Lizenz und Zugang zu den Libs und IPs, also muss ein LAN-Zugang ran, also muss es ein IT-Rechner sein, also muss der administriert sein. Hinzu kommt, dass die Kisten elend langsam sind und beim Compilieren eher schleichen, als rennen und morgens allein zum Hochfahren 20min brauchen. Wenn man einigermassen arbeiten wollte brauchte man 2 Rechner, weil immer gerade ein Treiberupdate vom Hersteller der Software, der Zulieferhardware oder vom was Neues vom Projektpartner kam. Mit einem konnte man etwas machen, der andere wurde von einem IT-Mann gepflegt. Dann kam jemand auf die Idee, im IT-Service zu sparen, bzw weil die Firma gewachsen ist und die nicht mitwuchsen, kam es immer öfters zu Engpässen. Einmal habe Ich 3 Tage gewartet, bis einer kam. Der Grund des Übels sind die Viren und die Totalvernetzung. Schuld sind auch die Blödmänner, die den ganzen Tag auf irgendwelchen Spielseiten rumsurfen und sich die Trojaner einfangen. Die Enwickler waren am Ende immer mehr genervt. Das Fass zum Überlaufen gebracht hat dann die neue Strategie des Meeting-Point Systems, wo jeder überall rumrennen und sich hinstellen sollte, wo gerade Platz war. Die Arbeitsplätze wurden aufgelöst und es gab keine festen Sitzplätze mehr. Die einen sind dann rausgerannt, die anderen haben sich auf die Treppe gesetzt. Die meisten begaben sich zu den Stehpulten, wo mittags gegessen wird und morgens der Frühstücksbäcker seinen Stand aufbaut. Das Ganze sollte jung, dynamisch, modern, hipp und cool sein. XXX Das Geilste war zu Schluss, dass auch noch die Besuchergruppen werbewirksam durchgeführt wurden, die uns dann wie Affen im Zoo anglotzen konnten, wie wir mit 2 Notebook unterm Arm die Flucht ergriffen, um etwas Ruhe zu bekommen. Ein Kollege hat das so gelöst, dass er dann mit dem Notebook aufs Klo gegangen ist und sich eingeschlossen hat. Ich habe meine Notebooks irgendwann zur IT gebracht und mir in der PA die Lohnsteuerkarte geben lassen. Die ist seither woanders geparkt.
Sheeva P. schrieb: > Nein, im Ernst: die wollen ja nix Böses, Dir > das Leben schwer machen oder Deine Arbeit behindern, Doch, abschließendes Ziel vieler Admin ist ein nicht benutzbares System, denn ein System das nicht benutzt wird, das user-frei ist, ist am einfachsten zu administrieren. Wir reden von einer Einstellungssache, Admins die sich nicht als Dienstleister für User sehen, sondern User als Schädlinge in ihrem System sehen, sind weit verbreitet.
Jack schrieb: > Sheeva P. schrieb: >> Nein, im Ernst: die wollen ja nix Böses, Dir >> das Leben schwer machen oder Deine Arbeit behindern, > > Doch, abschließendes Ziel vieler Admin ist ein nicht benutzbares System, > denn ein System das nicht benutzt wird, das user-frei ist, ist am > einfachsten zu administrieren. > > Wir reden von einer Einstellungssache, Admins die sich nicht als > Dienstleister für User sehen, sondern User als Schädlinge in ihrem > System sehen, sind weit verbreitet. Ich weiß ja nicht, was für komische Erfahrungen Du mit Admins gemacht hast, könnte mir aber vorstellen, daß es sich dabei um eine Art selbsterfüllender Prophezeihung handelt. Wenn Du mir mit so einer Einstellung gegenübertreten würdest, die mir von vorneherein Faulheit und Schlimmeres unterstellt, dann wäre meine Motivation, Dir zu helfen und Dein Problem zu lösen, sicher auch nicht überragend groß. Es mag Dich überraschen, aber die meisten Admins sind im Nebendasein auch ganz normale Menschen, und wie man dann in die Admin-Abteilung hineinruft, so schallt es wieder heraus. Darüber hinaus wissen alle mir persönlich bekannten Admins, daß ein nicht benutztes System auch kein Admin-Gehalt erwirtschaftet -- und nicht einmal eines Admin bedarf.
Hier noch ein IT-Gefangener in einem international operierenden Unternehmen. Als Entwickler ist das System hier einfach kaum zu gebrauchen. Keine Admin-Rechte. Wenn man eine Software installiert haben muss, dann dauert es bis zu 2 Wochen, bis die Admins das erledigen. Das ist so abgestimmt mit den Admins, sie haben 2 Wochen Zeit. Ja wirklich. Weiter ist das komplette System verschlüsselt, falls unterwegs das Notebook gestohlen wird. Es wird nicht die HW-Verschlüsselung der Festplatte sondern eine SW-Verschlüsselung. Dadurch braucht mein aktuelles Projekt 5 Minuten für ein Rebuild. Auf einem "normalen" Rechner nur 30 Sekunden. Jeden Tag läuft gegen 12:00 Uhr der Virenscanner los und scannt das gesamte System. Das dauert ca. 1 Std., CPU-Last dann 50-90% durch das scannen. Dann braucht man einen Build kaum noch starten. Das Ticketsystem ist so grottig, dass man nur noch ein Ticket aufmacht, wenn man anders nicht mehr weiter kommt. Aber danach kommt immer eine Mail mit einem Link, wie zufrieden man mit dem Support war :-D U.s.w. Es ist unglaublich. Nein, die Admins können nichts dafür hier.
Gefangener schrieb: > Dadurch braucht mein > aktuelles Projekt 5 Minuten für ein Rebuild. Auf einem "normalen" > Rechner nur 30 Sekunden. Uralte Prozessoren ohne AES-Beschleuniger? Auf aktueller Hardware ist die Verlangsamung durch Software-Verschlüsselung nicht spürbar. Die HW-Verschlüsselung von Festplatten ist sowieso nicht vertrauenswürdig. Gefangener schrieb: > Jeden Tag läuft gegen 12:00 Uhr der Virenscanner los und scannt das > gesamte System. Perfekter Zeitpunkt um Mittag zu machen... Gefangener schrieb: > Das ist so abgestimmt > mit den Admins, sie haben 2 Wochen Zeit. Ja wirklich. Was passiert eigentlich, wenn man im wöchentlichen Status-Meeting eine schöne Powerpoint-Präsi über die Software auf die man gerade wartet hält, wie man sich deren Nutzung so vorstellt (inkl. Screenshots aus dem Netz), und was du damit machen willst? Das ganze einfach als ingenieurstechnisches Problem angehen - statt darüber zu berichten dass der IC sowieso in dieser und jenen Schaltung nicht tut und du jetzt Lösungsansatz X probierst, erzählst du dass du auf Installation der Software wartest. Warten scheint ja auch die gewünschte Tätigkeit zu sein...
Dr. Sommer schrieb: > Viele (gute) Software im Industriebereich wie z.B. Vector CANoe ist > Windows-Only. was sich irgendwann ganz sicher rächen wird...
Jack schrieb: > Wir reden von einer Einstellungssache, Admins die sich nicht als > Dienstleister für User sehen, sondern User als Schädlinge in ihrem > System sehen, sind weit verbreitet. Bei geschätzte 90-99% aller Computernutzer haben giwisse Bildungslücken hinsichtlich "Datensicherung", IT-Sicherheit und Admin-Tätigkeiten Dass die IE-Turbo-Reklame-Toolbar, Wechat-for-Windows und noch tausend andere Sachen auf dem Computer landen, MUSS man als Admin unterbinden. Dass auf wirklich alles gecklicht und das Passwort in wirklich überall eingetippt wird, muss man auch verhindern. Dr. Sommer schrieb: > Wenn das bloße Anklicken eines Links die IT gefährdet läuft aber auch > was falsch. Na ja, Java/Flashplayer/was-auch-immer ist nicht frei von Sicherheitslücken und wegen Kompatibilitätstests kommen Softwareupdates erst nach eine oder zwei Wochen. Darauf zu verzichten geht nicht, weil es immer irgendwelche Anwendungen gibt, die das benötigen.
Jack schrieb: > Doch, abschließendes Ziel vieler Admin ist ein nicht benutzbares System, > denn ein System das nicht benutzt wird, das user-frei ist, ist am > einfachsten zu administrieren. > > Wir reden von einer Einstellungssache, Admins die sich nicht als > Dienstleister für User sehen, sondern User als Schädlinge in ihrem > System sehen, sind weit verbreitet. Das Gefühl habe ich bei unserer IT-Abteilung auch. Drei Leute - der Abteilungsleiter, bei dem Können und Ego in antiproportionalem Verhältnis stehen (leider in der Variante mit positivem Vorzeichen bei Ego), der der Meinung ist, daß er als Chef der IT allen vorzuschreiben hat, wie sie zu arbeiten haben, statt sich anzuschauen, wie die IT-Produkte die produktiv arbeitenden Kollegen optimal unterstützen kann. Einer, der an seinem ersten Tag in der Entwicklung (alles studierte, größtenteils Informatiker) rumgeprahlt hat, er könne und wisse ja alles besser, er sei ja FACHinformatiker, und nur hörig seinem Abteilungsleiter hinterhechelt. Und letztlich einer, der fähig und zu den Usern freundlich ist, aber leider unter seinem Chef nix zu melden hat. Wie sehr vom Fach Nummer 1 und 3 sind, wurde vor einer Weile klar, als ein Stromausfall uns heimsuchte und die USV die Server runterfahren ließ - und auf halbem Weg nach unten die acht Jahre alten Akkus schlapp gemacht haben. Der Stromausfall selbst dauerte keine 10 Minuten, dafür dauerte es bis zum nächsten Morgen, bis alle Server wieder voll einsatzbereit waren. Echt klasse, die Bande.
Schreiber schrieb: > Na ja, Java/Flashplayer/was-auch-immer ist nicht frei von > Sicherheitslücken und wegen Kompatibilitätstests kommen Softwareupdates > erst nach eine oder zwei Wochen. Tjaha, und bei uns hat die IT ein neues Sicherheits-Proxy-Wasauchimmer dazwischen geschaltet, das Updates des Flashplayers jetzt verbietet. Meine Version ist so alt, ich traue mich kaum, nachzuschauen, wie alt sie wirklich ist. Den Full-Installer bekommt man bei Adobe ja nur nach Registrierung.
> Dadurch braucht mein aktuelles Projekt 5 Minuten für ein Rebuild. > Auf einem "normalen" Rechner nur 30 Sekunden. Hey, hast Du mein vormaliger Rechner? Mein Vollbuild dauerte aufm neuen Kübel (4x HT Cores) gleich lange wie auf dem Vorgänger (1x HT Core), wegen zwingendem Live Antivirus. Ohne AV auch 5x schneller. (AV nur zur Mittagspause wäre ein Traum gewesen) Mir wurde gekündigt wg. "Zu langsam". Oder wars weil ungeplant sporadisch mehrfach täglich mein neuer Kübel den SVN-server -im LAN, selbes Gebäude- nicht finden konnte? Ich meine wie soll man sich gegenüber AG verhalten wenn nach 4..6 Mte solche Betriebsmittel/Werkzeug/Infrastruktur-probleme (ausserhalb meiner Kompetenz) nichtmal angegangen werden? ...der eigene Chef der Entwicklung auch der Chef über der IT ist? Mit daheimbleiben bis es geflickt ist, ist man sofort am kürzeren Hebel :-(
Max schrieb: > Nun frage ich mich wie dies in anderen Firmen gehandhabt wird. Kleine Firma, schnelles MacBook, alle Rechte (auch für Privatnutzung), kann während der Arbeitszeit auch mal Facebook oder was weiß ich ansurfen... Wegen jedem Furz zur IT traben, nein danke.
Habe jetzt jemanden bei der IT gefunden der das Thema VM mit mir angehen möchte. Wir testen das nächste Woche und schauen wie wir das mit den internen IT Richtlinien vereinbaren können. Wenn dann alles gut geht und funktioniert können wir das als Standardlösung auch den Kollegen anbieten. Drückt die Daumen :) Und danke für die vielen Kommentare! Liebe Grüße
Max schrieb: > Habe jetzt jemanden bei der IT gefunden der das Thema VM mit mir angehen > möchte. Oh sei froh.Ich wünsch dir viel Glück. Hier kann ich davon nur träumen. Hier wird direkt abgewunken, wenn man das anspricht.
Ich habe dafür ein Notebook mit Adminrechte. Ist auch für den Privatgebrauch gedacht.
> Re: Entwickler mit Firmenlaptop durch Administration ist frustriert
Warum frustriert ?
Es ist schon richtig das nicht jeder Wasserträger, der meint er müßte in
der Software rumwursteln und keinen blassen Dunst von dem hat was er
verbockt, administrative Zugangsrechte auf dem Firmen PC hat.
Auf deinem privaten kannst du machen was du willst, aber auf dem
Firmenlaptop tragen andere, der Admin, die Verantwortung.
Irgendwie sollte ja Ordnung in den Laden kommen.
Kommt mir bekannt vor. Lösung war die IT wegen jedem Shaizz anzurufen und die Hände in den Schoß legen. Wenig Später wurde der privilligierte Benutzer eingeführt, eine Art lokaler Admin wobei die Aktionen protokolliert werden. Nur im Netzwerk bin ich einfacher User, aber das tut nicht weh. Der sonstige Rechnerzoo bei dem ich selber Admin bin geht NIE ans Hausnetz.
Zocker_52 schrieb: >> Re: Entwickler mit Firmenlaptop durch Administration ist frustriert > > Warum frustriert ? > > Es ist schon richtig das nicht jeder Wasserträger, der meint er müßte in > der Software rumwursteln und keinen blassen Dunst von dem hat was er > verbockt, administrative Zugangsrechte auf dem Firmen PC hat. Aha: das soll die Begründung sein für dass das mir als Hindernis beim erledigen meiner Arbeitsaufgaben (konkret: SW-Entwicklung f. Embedded Geräte mit einer Vielzahl an Schnittstellen) im Wege stehen darf? Will sagen: da werden einem disfunktionale Werkzeuge aufgezwungen und gleichzeitig von einem prompte und effektive Aufgabenerledigung erwartet? In der Art von: "Hier bekommst ein Rennrad, darfst treten aber nicht den Gang wechseln und musst damit (von München aus) nach Basel und gleichentags zur Besprechung um 15 Uhr wieder zurück sein um mir zu berichten, ich will schließlich zeitig Feierabend machen".
Kannst du nicht ein Notebook für solche Arbeiten nehmen das nicht ans Firmennetz gekoppel ist? So machen wir das. INet übers WLan.
Andy H. schrieb: > Kannst du nicht ein Notebook für solche Arbeiten nehmen das nicht ans > Firmennetz gekoppel ist? So machen wir das. INet übers WLan. Konfigurationsdateien, Doku und Messdaten kann man ja per Turnschunetzwerk (USB-Speicher) austauschen. Aber VNC/RDP/X11/... geht ganz schlecht durchs Tunschuhnetzwerk. Bleibt wohl nur noch RFC-1149/2549/6214.
Das hört sich hier ja wirklich schlimm an. Ich war bisher noch immer Admin auf meinen Firmenlaptops, mit Richtlinien die von der Domäne/Virenscanner vorgegeben wurden (Passwortlänge, Passwort alle x Monate wechseln, Virenscanner der 1mal pro Woche loslegt). Bei meinem jetzigen Arbeitgeber hat mir der IT Mensch beim überreichen der Maschine explizit dazugesagt ich habe Admin Rechte, damit ich mir den Rechner so einrichten kann wie gebraucht. Der vorherige Arbeitgeber hatte leider ziemliche Krücken als Laptops, da hab ich mir dann kurzerhand selbst eine SSD eingebaut und das Windows Image im IT Shop neu bestellt und installiert. Bezüglich selbst in die Hand nehmen und gefeuert werden: kommt natürlich immer auf die persönliche Situation an, aber da für mich die Alternative wäre gleich zu kündigen ist das nicht mehr allzu abschreckend. Wenn ich wegen sowas nicht arbeiten kann empfinde ich das tatsächlich als schlimmer als zu arbeiten, bin nicht so der Däumchendreher.
Wir haben das Problem gelöst, indem Entwickler-PCs eine VMware Workstation installiert bekommen, die über eine eigene Netzwerkkarte in einem separaten Netzwerk arbeitet. Dieses Netzwerk ist nach innen per Firewall deutlich abgeschottet, dafür nach aussen relativ offen, um den Entwicklern Zugang zu Werkzeugen, Plugins, Updates etc zu ermöglichen. Im Ergebnis sind so beide Seiten zufrieden. Seitens der IT sind das jederzeit frisch wiederherstellbare Standard-PCs ohne lokale Daten, ohne Spezialsoftware und ohne Sonderlocken für Internet-Zugang. Die Entwickler wiederum haben innerhalb von VMs volle Admin-Freiheit und freien Internet-Zugang - aber auch die Verantwortung, ihre VMs selbst auf USB-Disk zu sichern.
:
Bearbeitet durch User
Das klingt auf den ersten Blick sehr gut, erfordert aber trotzdem Adminrechte auf dem PC / Laptop und schafft damit die Möglichkeit, diesen von Außen zu übernehmen. Der Conqueror kommt dann zwar nicht tief in das System vor, hat aber trotzdem Zugang zu den sensiblen Entwicklerdaten. Wie werden die geschützt? Im MIL-Umfeld würde das Konzept nicht funktinieren.
Wo ich im Praxissemester gearbeitet hab, war das so gehandhabt dass auf den Rechnern eine kleine Software in der Taskleiste war, mit einem Button ala "Adminrechte beantragen". Dort musste man seinen Grund angeben und wie lange man die Rechte brauchen würde, aber dann wurde das auch ziemlich schnell - fast sofort freigeschaltet.
Ja, convenient, sicher, aber eben nicht gut gegen Angriffe geschützt. Das Sauberste ist nach wie vor, man bootet den Rechner in einem Admin-Modus mit Zugang zu den kritischen Dateien inklusive Bitlocker und installiert nur in diesem Modus. Dann raus und als User weiterarbeiten. Das erfordert natürlich eine sinnvolle Verwaltung der Daten und Partitionen. Z.B. eine gesonderte für die Windows-Installation und die Nutzerdaten. Leider klappt das nicht, weil viele schlamperte Programmierer immer noch Nutzerdaten in den Systemverzeichnissen oder dem Standardnutzerverzeichnis hinterlegen wollen und klaglos absaufen, wenn man ihnen das verhindert. Wir schlagen und damit täglich herum.
Ja, absolute Sicherheit ermöglicht das nicht, aber immerhin können so nicht alle Rechner gleichzeitig angegriffen werden und auch mit Adminrechten kann man nichts löschen was nicht schnell wiederhergestellt werden kann, da auf externen Servern etc. Gegen Datenklau hilft das natürlich nicht. Da müssen zusätzliche Schutzschichten her. Ich hatte z.B. nicht die Berechtigung das Gesamtprojekt aus Git lokal zu kopieren. Nur die Teile die ich für meinen Bereich brauchte.
Wer schützt dann das Gesamt-Repository vor einem uoload mit defekten und infizierten Files?
Bei uns kann man als Entwickler einen separaten admin-Account für einen bestimmten PC (oder mehrere) erhalten. Es gibt ein fertiges Formular, in dem man den Grund schreibt, ein bisserl Text dabei für das verantwortungsvolle Nutzen des Accounts und dann unterschreibt man das. Der Account ist also nicht (!) ident zum normalen Nutzeraccount; dadurch ist man auch von den Schreib/Leserechten zu den Projektverzeichnissen, etc. sauber entkoppelt. Der Account läuft idR nach ein paar Monaten ab und man fragt ihn erneut an. Lizenz- und Rechenserver wie z.B. für COMSOL, ABAQUS oder die IAR-Workbench laufen auf einer virtuellen Maschine, auf der ich und ein paar andere Kollegen ebenfalls admin-Rechte haben - die Maschinen haben aber z.B. keinen Internetzugang.
Beitrag #5551088 wurde von einem Moderator gelöscht.
Jack schrieb: > Admins die sich nicht als > Dienstleister für User sehen, sondern User als Schädlinge in ihrem > System sehen, sind weit verbreitet. Aber User SIND nun mal Schädlinge im System! Warum sollte man das anders betrachten?
Bernd K. schrieb: > Aber User SIND nun mal Schädlinge im System! Warum sollte man das > anders betrachten? Die user sind aber zuzulassende Gefahren, während die nicht-User nicht zuzulassende Gefahrenquellen darstellen. Diesbezüglich gilt es feinsäuberlich zu unterscheiden und in entsprechend charakterisierten IT-Umgebungen wird dies auch ganz genau so getan. Alles zuzusperren, ist eine äusserst simple, aber kontraproduktive Vorgehensweise. Das deutlich Zweckmässigere ist, den Angriff zu antizipieren und die Auswirkungen einzudämmen. Z.B. durch Sicherstellen der Kommunikation per Verschlüsselung und Gegenprüfung bei Änderungen. Auch ausdrückliche Authentifizierung von Änderungen an Dateien sind da inbegriffen. Im Datenbanksektor wird das exzessiv getant. Dort, wo Windows mit seinen automatischen Spielfunktionen und Spionfunktionen benutzt wird, ist das naturgemäss schwer.
Dr. Sommer schrieb: > c.m. schrieb: >> da wird man dann von den möchtegern-admins immer blöd angeschaut. > > Das kann ich ja besonders leiden, wenn sich ein Admin-Systemelektroniker > als schlauer als ich (MSc Inf) aufspielt und mir Vorschriften macht weil > ich ja nicht mit Computern umgehen kann. Okokok, da hak ich mal ein. Erfahrene und Gute Admins sind IMMER besser als irgendein Studierter Informatiker, mein lieber. Jeder hat seinen Arbeits und Wissensbereich und das eine hat mit dem anderen gar nichts zu tun. Ich bin beides und hab in beidem lange Berufserfahrung. Und aus Adminsicht sind studierte Informatiker teilweise die schlimmste Kundenpest. Auch aus reiner Selbstüberschätzung "Ich hab das doch studiert!" Um wieder etwas entgegen zu kommen, denn man soll ja nicht pauschalisieren, ich habe genausogut diese faulen Hobbyisten-Admins kennengelernt, die einen als User unzufrieden machen, egal ob Du Fachnah oder totaler Dau bist. Administration ist eine gelungene Mischung aus Schaffung einer sicheren und stabilen Umgebung und dem schaffen von Freiräumen für den User. Ich hatte jahrelang ca. 1400 User in einer vollgemanagten Umgebung, in der ich mir Anfangs den Vorwurf des Faschismus anhören durfte, weil ich die Adminrechte nicht rausgerückt habe. Dann kam später eine Umgebung mit ca 800 Usern hinzu, wo alle selber rumschrauben durften. Letzteres war die Vollkatastrophe. Und zu dem o.g. Argument mit Linux : Da kamen auch so ein paar schlaue an, die sich das so gedacht hatten. Klar, die hatten die Freiheit ! Aber ohne Netz und ohne Zugriff auf Firmenressourcen. Zu dem Beispiel in der Techniklastigen Firma : Klar muss man den Nutzern mehr Handlungsspielraum mit Hardwarenahem Zugriff zugestehen. Aber auch das muss reglementiert sein. Ich sach nur : Governance und Policies ! Klare Regeln, wer was darf, und wer was zu liefern hat. Sanktionierungsmöglichkeiten für beide Seiten und die dementsprechende Durchsetzungsfähigkeit. Und wenn der faule Admin net spurt, tatsächlich den Vorgesetzten solange auf den Sack gehen, bis das im Rahmen geregelt wird. Die Firma hat Arbeitsmittel bereitzustellen. Und wenn sie nicht in der Lage ist, das zu liefern, Pech gehabt. Kann man so machen, dann wirds halt Scheisse. Allerdings muss ich mal zugeben, von renitenten Terrorusern und faulen Faschistenadmins gibts in der Regel mal so eine Handvoll. Meistens findet man auf Arbeitsebene ja faire Lösungen. So, bam, das musste mal dazu raus, sorry :-P
Bernd K. schrieb: > Jack schrieb: >> Admins die sich nicht als >> Dienstleister für User sehen, sondern User als Schädlinge in ihrem >> System sehen, sind weit verbreitet. > > Aber User SIND nun mal Schädlinge im System! Warum sollte man das > anders betrachten? Ja, aber als Admin bist Du WEGEN der User da ... nicht umgekehrt.
Jürgen W. schrieb: > Bei uns kann man als Entwickler einen separaten admin-Account für einen > bestimmten PC (oder mehrere) erhalten. Es gibt ein fertiges Formular, in > dem man den Grund schreibt, ein bisserl Text dabei für das > verantwortungsvolle Nutzen des Accounts und dann unterschreibt man das. > > Der Account ist also nicht (!) ident zum normalen Nutzeraccount; dadurch > ist man auch von den Schreib/Leserechten zu den Projektverzeichnissen, > etc. sauber entkoppelt. > > Der Account läuft idR nach ein paar Monaten ab und man fragt ihn erneut > an. Lizenz- und Rechenserver wie z.B. für COMSOL, ABAQUS oder die > IAR-Workbench laufen auf einer virtuellen Maschine, auf der ich und ein > paar andere Kollegen ebenfalls admin-Rechte haben - die Maschinen haben > aber z.B. keinen Internetzugang. Hey Leute, der Kollege beschreibts genau wie mans richtig macht. Wer ihm dafür Minus gegeben hat, hats wohl nicht geblickt, sorry
Wickentler schrieb: > Andy H. schrieb: >> Kannst du nicht ein Notebook für solche Arbeiten nehmen das nicht ans >> Firmennetz gekoppel ist? So machen wir das. INet übers WLan. > > Konfigurationsdateien, Doku und Messdaten kann man ja per > Turnschunetzwerk (USB-Speicher) austauschen. > Aber VNC/RDP/X11/... geht ganz schlecht durchs Tunschuhnetzwerk. > > Bleibt wohl nur noch RFC-1149/2549/6214. Ah, 6214 kannte ich noch nicht, Sehr gut, setze ich moin mal ne Testumgebung auf, Danke !
Jörch B. schrieb: > Ich sach nur : Governance und Policies ! Klare Regeln, wer was darf, und > wer was zu liefern hat. Sanktionierungsmöglichkeiten für beide Seiten > und die dementsprechende Durchsetzungsfähigkeit. Wie sehen die aus? Wie sanktioniert ein Informatiker mit seinem Entwicklungs-PC die IT, welche ihn mit den erdachten Regularieren zur Unproduktivität verdammt? Der IT ist doch bilanztechnisch entkoppelt, stellt tickets aus und arbeitet als eigenes profit cencter. Die haben meistens kein Interesse die Arbeit des Nutzers zu optimieren. Im Gegenteil: Sie optimieren ihre eigene Arbeit, adminsitrieren jeden PC gleich (office) und erstellen für jede Anfrage ein Ticket, statt es zu lösen.
> Wie sehen die aus? Wie sanktioniert ein Informatiker mit seinem > Entwicklungs-PC die IT, welche ihn mit den erdachten Regularieren zur > Unproduktivität verdammt? > > Der IT ist doch bilanztechnisch entkoppelt, stellt tickets aus und > arbeitet als eigenes profit cencter. Die haben meistens kein Interesse > die Arbeit des Nutzers zu optimieren. Im Gegenteil: Sie optimieren ihre > eigene Arbeit, adminsitrieren jeden PC gleich (office) und erstellen für > jede Anfrage ein Ticket, statt es zu lösen. Na kommt drauf an wie das Firmen- oder Institutionsgefüge geschaffen ist. In einer Firma, die so funzt wie Du beschreibst, geht die Arbeitseffizienz steil nach unten und die Frustration steil nach oben. Leider funktionieren viele Firmen und Institutionen so. ich würde mir wünschen, dass mehr davon in die Pleite fahren, damit das Management mal daraus lernt. Bilanztechnische Entkoppelung etc. Ist nur ein Symptom. Für gescheites IT-Service-Management holt man Beteiligte ins Boot und nicht nur die Zahlmeister-Schlipsies und Powerpoint-Blender. Und man holt sich keine Admins von der Strasse, denen man nur ein wenig über Hartz bezahlt und man sich nicht traut, sie aus dem Keller zu holen. Kaviar bestellen und nur Schnitzel bezahlen wollen ... das ist EIN Problem der IT-Service-Wüste. Dass hier in D nach der FI-Ausbildung keine gescheite Möglichkeit für einen Aufstieg in Richtung Techniker oder Meister besteht ist ein Unding. Wir haben eine qualifizierte Servicelücke in dem Bereich zwischen Fachinformatikern und ausgebildeten Bsc/Msc-Informatikern. Aber naja, das schweift ganz schön ab ... Gruß
Jörch B. schrieb: > Okokok, da hak ich mal ein. Erfahrene und Gute Admins sind IMMER besser > als irgendein Studierter Informatiker, mein lieber. Also ich hab auch schon so diverses administriert. Ich frag mich, warum ich es schaffe, für meinen Popels-Verein alle internen Seiten per HTTPS und gültigem Zertifikat anzzbieten, während die Vollprofis in der IT der aktuellen Firma alles per HTTP machen? Ist vermutlich sicherer, was? Am Geld für ein Zertifikat kanns nicht mangeln, wenn man sich das sonstige Equipment so anschaut. Man hört immer dies ist nicht möglich, das geht nicht... vermutlich weil die Konfigurations GUI vom Windows Server keine Klicki Bunti Möglichkeit bietet, das einzustellen.
Dr. Sommer schrieb: > Jörch B. schrieb: >> Okokok, da hak ich mal ein. Erfahrene und Gute Admins sind IMMER besser >> als irgendein Studierter Informatiker, mein lieber. > > Also ich hab auch schon so diverses administriert. Ich frag mich, warum > ich es schaffe, für meinen Popels-Verein alle internen Seiten per HTTPS > und gültigem Zertifikat anzzbieten, während die Vollprofis in der IT der > aktuellen Firma alles per HTTP machen? Ist vermutlich sicherer, was? Am > Geld für ein Zertifikat kanns nicht mangeln, wenn man sich das sonstige > Equipment so anschaut. > > Man hört immer dies ist nicht möglich, das geht nicht... vermutlich weil > die Konfigurations GUI vom Windows Server keine Klicki Bunti Möglichkeit > bietet, das einzustellen. Wieder aus eigener Erfahrung : Scheißegal welches Betriebssystem, es gibt keine Ausreden. Es geht (fast) alles mit allem, man muss nur wollen (oder sollen). In deinem Fall : Dann gibts halt einfach nur noch HTTPS ! Scheiß auf das Gemecker, dass man jetzt ein s mehr eingeben muss. Eine gute Kundenerziehung gehört soweiso mit dazu. Oder nennen wirs mal Awareness, das hört sich hipper an.
Jörch B. schrieb: > In deinem Fall : Dann gibts halt einfach nur noch HTTPS Ja eben nicht. Die IT schafft es nicht, die internen Dinge (GitLab, Personal Management und so) per HTTPS anzubieten. Daher darf man auch von außen nicht drauf, nur per VPN... was nicht jeder bekommt. Top.
Max schrieb: > Guten Tag, > > ich bin als Entwicklungsingenieur bei einem großen Konzern angestellt. > Wir arbeiten in einer kleinen (<10 Mann) und neuen Abteilung im Bereich > Zustandsüberwachung von Maschinen. Dabei stört mich die interne IT > extrem, ich kann nicht mal die IP Adresse meines Laptops ändern, > geschweige denn eine .EXE ausführen ... Sorry, was sind das für Ingenieure die im Konzernnetz die IP ändern wollen - und exe ausführen wollen? Man sollte Euch besser Rechenschieber geben - sofern ihr mit logarithmischen Skalen noch was anfangen könnt!
Max schrieb: > Nun frage ich mich wie dies in anderen Firmen gehandhabt wird. Eine > Lösung wäre immer mehr "illegale" Laptops zu betreiben aber das ist auch > keine zufriedenstellende Lösung. Wie macht ihr das? Ich habe lokal admin-Rechte. Ganz hochoffiziell von der IT bekommen. Die IP kann ich aber auch nicht ändern. Dafür verwende ich USB-Ethernet-Adapter. Auf denen kann ich frei werken. Das mit den EXE geht ja schon los, wenn man ein selber programmiertes Tool starten will - wir haben oft kleine Debug-Tools für die meisten Platinen, die direkt mit den µC kommunizieren. Müsste ich jedes von der IT freigeben lassen, könnte ich gleich aufgeben.
soso... schrieb: > Ich habe lokal admin-Rechte. Ganz hochoffiziell von der IT bekommen. Stand heute: Keine Admin-Rechte, mehr Hacker-Laptop Aber das Geld kommt pünktlich. Max
Walter K. schrieb: > Max schrieb: >> Guten Tag, >> >> ich bin als Entwicklungsingenieur bei einem großen Konzern angestellt. >> Wir arbeiten in einer kleinen (<10 Mann) und neuen Abteilung im Bereich >> Zustandsüberwachung von Maschinen. Dabei stört mich die interne IT >> extrem, ich kann nicht mal die IP Adresse meines Laptops ändern, >> geschweige denn eine .EXE ausführen ... > > Sorry, was sind das für Ingenieure die im Konzernnetz die IP ändern > wollen - und exe ausführen wollen? Solche, deren IT ihnen keine CAD-Software installiert. "Das ist ja Spezialsoftware, das können wir nicht auch noch abdecken". Aber dafür können sie eine Gruppenrichtlinie (vermutlich) erstellen, die bei jedem Windows-Neustart die Cursoranimation beim Tippen wieder aktiviert (Windows-Taste+Pause -> Erweiterte Systemeinstellungen -> Tab: Erweitert -> Leistung-Einstellungen -> Steuerelemente und Elemente innerhalb von Fenstern animieren). Macht mich beim Tippen vollkommen verrückt. MfG, Arno
Dr. Sommer schrieb: > Jörch B. schrieb: >> In deinem Fall : Dann gibts halt einfach nur noch HTTPS > > Ja eben nicht. Die IT schafft es nicht, die internen Dinge (GitLab, > Personal Management und so) per HTTPS anzubieten. Daher darf man auch > von außen nicht drauf, nur per VPN... was nicht jeder bekommt. Top. Gouvernance-Problem ... nochmal : "Der Arbeitgeber hat die nötigen Arbeitsmittel zur Verfügung zu stellen" Wenn er das nicht macht, dann hoffe ich wie gesagt, dass das Unternehmen durch Mißerfolg evolutionär ausgesondert wird. Ganz einfach. Eigentlich gehöre ich einer anderen politischen Strömung an, aber was das angeht, bin ich da mittlerweile radikal Marktorientiert. Solche Arbeitsverhältnisse darf man auf gar keinen Fall durch Überengagement unterstützen, am Ende noch mit Privatgeräten arbeiten oder dann lieber Entwicklungsarbeiten in der Freizeit daheim machen, weil man da alles zur Verfügung hat. NEIN. Wenn viele Arbeitnehmer solche Verhältnisse untertützen, ändert sich nie was. Engagierte Menschen gehören in Arbeitsverhältnisse, die dem gerecht werden. Ich kann da nur raten, einen sanften Übergang von der inneren in die äußere Kündigung anzustreben. Hey, glaub mir, das ist nicht nur einfach dahergesagt, ich weiß wie der Arbietsmarkt läuft und dass das kein Ponyhof ist ... aber wenn ein paar mehr Leute mal anfangen würden, sich auf 100% gute Arbeit zu konzentrieren anstatt zu 200% unnötigen Overhead zu produzieren, würds uns allen besser gehen. Wenn die Prozesse Scheiße sind, lass die Prozessbesitzer das spüren. Dafür haben die mehr Streifen auf der Schulter und die höheren Gehaltsgruppen. Schmerzen müssen immer nach oben geschoben werden. Anderersiets bringts nix, diese Schmerzen nur bei der IT abzuladen, meistens machen die auch nur ihren Job und kommen mit Projekten nicht hinterher. Ich hab Jahrelang über 2000 Patienten in 3 ADs incl. Exchange und Gedöns mit ca. 50 Servern im 5er-Team betreut. Da bleiben Dinge einfach liegen. Wer Service will muss Stellen schaffen. Punkt. Tipp : Red doch mal mit den ITlern. Selbst wenn Du nicht inhaltlich vorwärts kommst, vielleicht entwickelst Du mehr Vertständnis ODER erzeugst mehr Verständnis auf deren Seite für Deine Belange. Meistens stellt man auf diesem Wege fest, dass man irgendwie im selben Boot sitzt und das Problem woanders liegt. Blöd ist z.B. wenn die IT tatsächlich nur aus arbeitsscheuen, dilettierenden Hobbyisten besteht oder gar auf einem anderen Kontinent sitzt ... klar ... solche Fälle gibts immer. Wie gesagt, ich geb nix allgemeingültiges von mir. So, schaffeschaffe ;-)
Arno schrieb: > Walter K. schrieb: >> Max schrieb: ... > > Solche, deren IT ihnen keine CAD-Software installiert. "Das ist ja > Spezialsoftware, das können wir nicht auch noch abdecken". > > Aber dafür können sie eine Gruppenrichtlinie (vermutlich) erstellen, die > bei jedem Windows-Neustart die Cursoranimation beim Tippen wieder > aktiviert (Windows-Taste+Pause -> Erweiterte Systemeinstellungen -> Tab: > Erweitert -> Leistung-Einstellungen -> Steuerelemente und Elemente > innerhalb von Fenstern animieren). Macht mich beim Tippen vollkommen > verrückt. > > MfG, Arno Jepp, Hobbyisten halt ...
Walter K. schrieb: > > Sorry, was sind das für Ingenieure die im Konzernnetz die IP ändern > wollen - und exe ausführen wollen? Moment. Aus Admin-Sicht kann man erstmal sagen "Ja, warum eigentlich?" . Allerdings sollten die dann auch drüber nachdenken, ob man einer Gruppe die das benötigt nach gemeinsamer Planung einen eigenen Bereich zugesteht. Eigenens VLAN, Privates Netz, eigenens FW-Segment o.ä. > Man sollte Euch besser Rechenschieber geben - sofern ihr mit > logarithmischen Skalen noch was anfangen könnt! Der Kommentar ist doof und unqualifiziert, kann man nicht anders sagen.
Hey Max, ganz konkret, geh doch mit deinen Admins mal n Käffchen trinken oder so. Ein bissi socializing kann manchmal einiges bewegen. Man darf nicht immer so viel Angst vor Korruption und dem kurzen Dienstweg haben ;-)
Chris K. schrieb: > Permanente Admin Rechte beantragen. Haben bei uns viele Entwickler sich > einrichten lassen. Nachdem ich den Wisch durchgelesen habe welchen ich dafür unterschreiben soll, habe ich dankend abgelehnt und schreibe weiterhin jedesmal ein Ticket an die IT wenn ich was installieren muss.
Non-Admin schrieb: >>> Permanente Admin Rechte beantragen > Nachdem ich den Wisch durchgelesen habe Genau da ist das Risiko. Wenn man die Tür zu weit aufmacht, kommt aller Mist rein. Schulungsrechnern habe ich grundsätzlich kastrierte Rechte vergeben. Das hatte den großen Vorteil das sich mancher Virus NUR an dem EINEN armen User austoben konnte. Mit Adminrechten wäre der Schaden größer gewesen. Deswegen sollte man den Leuten nur die Rechte geben, die sie für ihre ARBEIT brauchen. Andererseits kann ich auch den Ärger verstehen, wenn immer was nicht erlaubt ist.
Change the company, or change the company.
> Autor: Tipp (Gast) > Datum: 12.09.2018 11:28 > Change the company, or change the company. Quatschkopp !
>> Man sollte Euch besser Rechenschieber geben - sofern ihr mit >> logarithmischen Skalen noch was anfangen könnt! > > Der Kommentar ist doof und unqualifiziert, kann man nicht anders sagen. Nein, das ist der ultimative Admintraum: die Maus kann in x-&y- beliebig geschoben werden. ZU VIEL! Den Stab des Rechenschiebers nur in x-Richtung und sogar noch begrenzt in der Laenge! GRUPPENRICHTLINIEN auf HW-Ebene... ;-) >> Sorry, was sind das für Ingenieure die im Konzernnetz die IP ändern >> wollen - und exe ausführen wollen? > > Solche, deren IT ihnen keine CAD-Software installiert. "Das ist ja > Spezialsoftware, das können wir nicht auch noch abdecken". Das sind Ingenieure welche nebst der neuesten Produktelinie des AGs zu entwickeln, auch die Legacy-Produktepalette desselben AG zu betreuen haben. (Alles Embedded-Geraete, mit uCs/DSPs aus diversen Familien u. Generationen wie PXA, AVR, m68k, TI, ...) Diese Geraete haben mal Ethernet mal USB mal RS-232 mal ModBus mal $FAVHWIF und wollen in diversen Konfigurationen getestet sein, resp. gemeldete Kundefälle (mit vom Kunden vorgegeben IP-Ranges) und auch diverse Debugadapter (mal ParPort, mal RS-232, mal USB, mal Ethernet). Ja, da sind viele *.EXEs dabei welche im hause des AGs entstanden und für gutes Geld an viele Kunden verkauft wurden. Ja, diese *.EXEs entstanden vor vielen Jahren denn die Firma (AG) ist viele Jahrzehnte alt und mach solide langlebige, bei den Kunden geschätzte Produkte. Da sind auch viele *.EXEs dabei welche für viel Geld vor vielen Jahren mal von uP-Herstellern gekauft wurden um uP-basierte Entwicklung überhaupt machen zu können. Solche *.EXEs müssen dann und wann mal aus dem Schrank geholt werden wenn ein Support-Fall ansteht. Der AG rüstet auch wohlweislich den Arbeits-PC des Softwerkers mit 4x Ethnernet-Steckkarte aus - nebst der Onboard fuer's Firmen-LAN. Dann will die Debugfunktion von der WindRiver Workbench fuer VxW 5.x (ja: das RTOS das vom Mars-Rover) einfach nicht zum laufen kommen. Das ist ein Produkt mit dessen Installation die IT überfordert ist und laesst es die Softwerker selber machen. Der Lieferant dieses Produktes wird herbestellt und übt ebenso 1-2 Tage daran rum und findet nicht heraus warum. Halt: DOCH! Es stellt sich heraus dass die 4x Ethernetkarte (PCi, von der IT empfolen weil "haben wir auch in Kundenanlagen zu Dutzend verbaut") nichtmal fuer WXP (!) passende Treiber hat weil die letzten nur fuer WNT waren. Wem darf nun die verplemperte Zeit in Rechnung gestellt werden? Der IT sicher nicht: diese stellt nur Rechnungen an andere Abteilungen aus. Per Definition des AGs. ...und das war nur die Ethernet-Variante dieser Kat. von Geschichten. Es gibt sie auch in den Varianten USB, RS-232 (braucht ja kein mensch mehr seit iMacs...), u.v.m. GRRR! Georg B. schrieb: > Der IT ist doch bilanztechnisch entkoppelt, stellt tickets aus und > arbeitet als eigenes profit cencter. Die haben meistens kein Interesse > die Arbeit des Nutzers zu optimieren. Im Gegenteil: Sie optimieren ihre > eigene Arbeit, adminsitrieren jeden PC gleich (office) und erstellen für > jede Anfrage ein Ticket, statt es zu lösen. Jede vernünftige IT welche was von sich hält, hat eine dermassen imposante Ansammlung an offenen UND alten Tickets dass alleine damit mindestens 3 Antiquariatsläden 4 Jahreszeiten lang beliefert werden können. Ausserdem wächst die Menge dieser Tickets bei seriösen IT-Abteilungen zwar monoton aber mehr als die Menge an effektiv gelösten Tickets: schliesslich kommen zu den in Betrieb befindlichen Standardprodukte Monatlich neue Updates und Patches, von den ganz neu erst noch einzuführenden Produkte will ich gar nicht anfangen. Eine IT-Abt. hat also ein Ticketing-System nicht um die Fälle zu lösen, sondern um die Ticket-Sammlung zu bewirtschaften... :-/
bis zur Kuendigung Administrieter Softwerker schrieb im Beitrag #5554054: > Nein, das ist der ultimative Admintraum: die Maus kann in x-&y- beliebig > geschoben werden. ZU VIEL! Natürlich muss man das unterbinden. Das OS ist in C geschrieben, da gibts sofort einen Überlauffehler, mit dem man dann beliebigen Schadcode ausführen kann. Wäre nicht das erste Mal.
> Autor: Jörch B. (captainbee) > Datum: 12.09.2018 15:39 > > Tipp schrieb: > > Change the company, or change the company. > Guter Spruch ! Schwachsinn !
> > Eine IT-Abt. hat also ein Ticketing-System nicht um die Fälle zu lösen, > sondern um die Ticket-Sammlung zu bewirtschaften... > > :-/ Interessant ... ich hatte mal n Chef der auch immer TicketING-System gesagt und geschrieben hatte ... lustigerweise der Chef einer große IT-Service-Einrichtung, von der er nahzu Null Ahnung hatte ... Ticketing ist für Flugbuchungen gedacht ... aber das nur mal als kleiner Klugschiss am Rande
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.