Navigation auf uzh.ch

Suche

Zentrale Informatik

Admin by Request

"Admin By Request" ist eine innovative Lösung, die speziell entwickelt wurde, um mehr Sicherheit und Kontrolle über den administrativen Zugriff auf unsere IT-Systeme zu bieten. Mit dieser Software können wir die Verwaltung der Zugriffsrechte für Administratoren an der Universität Zürich effizienter und sicherer gestalten.

Mit "Admin By Request" können wir sicherstellen, dass nur autorisierte Benutzer administrative Rechte erhalten und auf sensible Systeme zugreifen können. Dies reduziert das Risiko von unbefugten Zugriffen und schützt Unternehmensdaten vor Missbrauch oder Fehlverhalten.

Unsere Lösung basiert auf dem Prinzip des Just-in-Time-Zugriffs, was bedeutet, dass administrative Rechte nur dann vergeben werden, wenn sie wirklich benötigt werden. Dies gewährleistet, dass Administratoren nur für bestimmte Aufgaben oder Projekte temporäre Zugriffsrechte erhalten und diese Rechte nicht dauerhaft behalten.

Eine weitere wichtige Funktion von "Admin By Request" ist die umfassende Protokollierung. Dies erleichtert die Einhaltung von Compliance-Vorschriften und stellt sicher, dass Sie den Anforderungen Ihrer Branche gerecht werden.

Wir bieten zwei Varianten an, wobei Variante 1 bereits auf allen gemanagten Geräten der ZI vorhanden ist:

Variante 1 einmalige Rechte (Standard)

"Als Administrator ausführen" bedeutet, dass ein Benutzer eine Datei ausführt, die die Benutzerkontensteuerung (UAC) aktiviert. Dabei kann das Programm innerhalb einer geschützten Umgebung (Sandbox) ausgeführt werden, ohne dass der Benutzer lokal als Administrator angemeldet sein muss. In diesem Fall besitzt lediglich der Prozess (nicht der Benutzer selbst) Administratorrechte. Wenn der Benutzer versucht, eine Softwareinstallation auszuführen, erfolgt die Unterbrechung automatisch. Es muss zwingend pro Anwendung einen Antrag mit Grund angegeben werden. Alle Aktionen und Gründe werden im Auditlog festgehalten. Diese Variante steht auf allen durch die Zentralen Informatik verwalteten Geräte zur Verfügung.

 

Für Windows-Geräte

Für verwaltete Windows-Geräte erfolgt die Installation einer Anwendung wie folgt:

  1. Laden Sie die entsprechende Anwendung herunter.
  2. Öffnen Sie den Windows Explorer und navigieren Sie zum Verzeichnis der Anwendung.
  3. Klicken Sie mit der rechten Maustaste auf die Anwendung und wählen Sie "Als Administrator ausführen".
  4. Anschliessend ist es zwingend erforderlich, einen Grund anzugeben, da die Anfrage überprüft und genehmigt werden muss. (Dieser Schritt kann auch mehrere Tage dauern.)
  5. Sobald wir die Anwendung freigegeben haben, kann sie einmalig installiert werden. Wichtig ist, dass die Installationsdatei als Administrator (rechte Maustaste auf Installationsdatei > Als Administrator ausführen) ausgeführt wird.

Für macOS-Geräte

Admin by Request unterstützt sowohl Paketdateien (.pkg) als auch Anwendungsdateien (.app).

Für die Installation einer Anwendung auf einem verwalteten macOS-Gerät sind die folgenden Schritte erforderlich:

  1. Laden Sie die entsprechende Anwendung herunter.
  2. Starten Sie die Anwendung aus dem Dock oder dem entsprechenden Ordner.
  3. Ein Popup-Fenster von "Admin by Request" erscheint. Es ist zwingend erforderlich, einen Grund anzugeben, da die Anfrage überprüft und genehmigt werden muss. (Dieser Schritt kann auch mehrere Tage dauern.)
  4. Nach der Freigabe kann die Anwendung einmalig installiert werden.
  5. Wichtig: Die .dmg Dateien können nicht via Admin by Request installiert werden. --> Bitte nicht auf Variante 2 ausweichen, stattdessen erstellen Sie bitte ein Ticket (Mail an support@zi.uzh.ch)

Variante 2 dauerhafte Rechte (muss beantragt werden)

Ebenso besteht die Option, für einen Zeitraum von 10 Minuten Administratorrechte anzufordern, welche keine Bewilligung benötigen. Diese Option ist für User gedacht, welche vermehrt oder täglich lokale Adminrechte benötigen. Falls dies Option benötigt wird, füllen Sie folgendes Formular aus. Danach können zu jederzeit die 10 Minuten Administratorrechte angefordert werden, ohne dass eine Überprüfung stattfindet. 

Formular (Dies sollte vorrangig erledigt werden.)

Für Windows-Geräte:

  1. Klicken Sie mit der rechten Maustaste auf das "Admin By Request"-Symbol in der Taskleiste (unten rechts auf Ihrem Bildschirm).
  2. Wählen Sie im Kontextmenü "Request administrator access".
    Admin Session Windows
  3. Bestätigen Sie mit "Yes", dass Sie die Administratoren Rechte für 10 Minuten wünschen.
  4. Der Countdown beginnt und wird unten rechts angezeigt. Sie haben jederzeit die Möglichkeit, ihn abzubrechen.

Für macOS-Geräte:

  1. Klicken Sie auf das Symbol von "Admin By Request" in der Menüleiste oben rechts auf Ihrem Bildschirm.

  2. Wählen Sie im Dropdown-Menü "Request administrator access"

    Admin Session MacOS

  3. Bestätigen Sie mit "Yes" und danach "OK", dass Sie die Administratoren Rechte für 10 Minuten wünschen.

  4. Der Countdown beginnt und wird unten rechts angezeigt. Sie haben jederzeit die Möglichkeit, ihn abzubrechen.

Mit dieser Variante 2 ist es aber weiterhin nicht möglich Systemtools wie PowerShell oder auf macOS Befehle mit "sudo" auszuführen. Diese Berechtigung benötigt eine Ausnahmebewilligung, welche durch das Betriebsteam und der IT-Sicherheit bewilligt. Die Bewilligung ist lediglich  für einen Zeitraum eines Jahres gültig.