Samba unter FreeBSD mit oder ohne Active Directory Domain Controller?

Was hat das mit der DSGVO zu tun?
Bei den E-Mail-Clients ist man viel zu nah an persönlichem Schriftverkehr dran - da hält man auch als Firmen-Admin sich besser an die Regel „weniger ist mehr“ - das heißt man stellt den Client einmal am Anfang am PC des Users in dessen Gegenwart ein, und läßt dann die Finger davon.
 
Bei den E-Mail-Clients ist man viel zu nah an persönlichem Schriftverkehr dran - da hält man auch als Firmen-Admin sich besser an die Regel „weniger ist mehr“ - das heißt man stellt den Client einmal am Anfang am PC des Users in dessen Gegenwart ein, und läßt dann die Finger davon.
Die Mails liegen sowieso am Firmenserver. Es geht bei zentraler Verwaltung auch nicht darum, das ich die Mails der MA lese, sondern um Dinge wie Kalender, Mailserver, Signaturen, Designtemplates und Co zentral zu verwalten. Vielleicht möchte ich auch das Ausführen von Anhängen verhindern, die Darstellung von Richt Text Mails, ...

Davon Abgesehen sind EMails am Firmenrechner nicht persönlicher Schriftverkehr im Sinne des DSGVOs, bzw. nicht für den MA, sondern maximal für den Kunden, und da gilt die DSGVO zwischen Kunde und Unternehmen. Von daher bleib ich durchaus dabei, dass die DSGVO hier (Zwischen Unternehmen und MA) keine Anwendung findet.
 
...
... Vielleicht möchte ich auch das Ausführen von Anhängen verhindern, die Darstellung von Richt Text Mails, ...
Da gibt es schon rechtliche Einschränkungen, lange vor der DSGVO - ohne explizite Einwilligung der betroffenen User steht der sorglose Admin bzw. sein Chef mit einem Bein im Knast (ich habe auf die schnelle ein Excerpt aus einer BSI-Veröffentichung von 2012 wiedergefunden - s. unten). Die kenne ich deshalb so genau, weil ich in meiner damaligen Firma bei der ich den Spam-Filter aufgesetzt hatte, persönlich mit einer Einwilligungserkärung bei den Benutzern vorbeigegangen war, um die Unterschriften zu holen.

6.5.4 Tipps für rechtskonforme Mailfilterung

Allein das Vorliegen der Tatbestandsmerkmale sagt juristisch allerdings noch nichts darüber aus, ob letztlich auch eine Strafbarkeit vorliegt.

So schließt das Einverständnis des Empfängers in die Filtermaßnahmen bereits die Tatbestandsmäßigkeit der §§ 206 und 303a StGB und damit auch die Strafbarkeit aus. Äußert der Empfänger seine Zustimmung zum Löschen der Mails, so wird das Vertrauen der Allgemeinheit in die Wahrung des Post- und Fernmeldegeheimnisses nicht mehr berührt. Dieses Einverständnis muss allerdings ausdrücklich und insbesondere vor Beginn der Filterung von allen Betroffenen erteilt werden.

Eine mutmaßliche Einwilligung der Empfänger ist zumindest bei Spam nicht anzunehmen. Grundsätzlich darf und muss jeder Kunde damit rechnen, dass die an ihn adressierten Sendungen ohne eigenmächtige Handlungen des Vermittlers an ihn zugestellt werden und eine von ihm versandte E-Mail auch den Adressaten erreicht. Dies gilt insbesondere auch aufgrund der Tatsache, dass die Beurteilung einer E-Mail als „Spam” aus der Perspektive des Empfängers eine subjektive Angelegenheit ist. Was für den einen unerwünschter Werbe-Müll ist, ist für den anderen eine wertvolle Information. Es ist bei persönlich adressierten E-Mails nicht Sache des Providers oder Arbeitgebers, zu beurteilen, wann was der Fall ist. In der Regel wird der auch gar nicht beurteilen können, ob zum Beispiel ein Newsletter dem Empfänger gewollt oder ungefragt zugeht.

Daher bleibt den Anbietern in juristischer Hinsicht nur der Weg, im Vorfeld von den Nutzern die ausdrückliche Zustimmung zur Spamfilterung sowohl beim Empfang als auch bei der Versendung einzuholen. Bei Providern empfiehlt sich dies durch Aufnahme entsprechender Klauseln in ihre allgemeinen Geschäftsbedingungen, denen jeder Kunde bei Vertragsbeginn zustimmen muss. Alternativ dazu bietet sich ein durch den User konfigurierbares Menü zur Spamfilterung an, das der Nutzer selbst aktivieren muss.

Das Gleiche gilt im Prinzip für Unternehmen und Behörden. Juristisch unbedenklich ist eine Filterung im betrieblichen Bereich nur, wenn zuvor eine Betriebsvereinbarung abgeschlossen wurde, die die Löschung von E-Mails ausdrücklich vorsieht. Derartige Regelungen empfehlen sich ohnehin für jedes Unternehmen, um eine klare und für alle Seiten transparente Nutzung der elektronischen Medien am Arbeitsplatz zu ermöglichen. Zu beachten ist allerdings, dass die Zustimmung des Betriebsrats gemäß § 87 des Betriebsverfassungsgesetzes (BetrVG) zu der Einrichtung der Filter erforderlich ist, da sie potentiell zur Überwachung der Mitarbeiter geeignet sind. Alternativ zu einer Betriebsvereinbarung kann von jedem Mitarbeiter individuell die Zustimmung eingeholt oder diesem die volle Konfiguration des Filters übertragen werden. Behörden sollten entsprechende klare Dienstanweisungen zur Nutzung von E-Mail und Internet vorgeben.

Ebenfalls unbedenklich sowohl im betrieblichen Einsatz als auch bei Providern ist die Quarantänelösung, bei der als Spam erkannte E-Mails nicht gelöscht, sondern in separate Eingangsordner verschoben werden. In diesem Falle ist auch keine Einwilligung des Empfängers erforderlich.

Nochmal, der Firmen-Admin, der hier irgendwas möchte, darf das auf keinen Fall hinter dem Rücken der Benutzer tun. Die Mails auf dem Server sind natürlich auch tabu, und bei einer Ausrede, daß man die sowieso lesen könnte wenn man wollte, lacht sich jeder Jurist einen krummen Ast.
 
Nochmal, der Firmen-Admin, der hier irgendwas möchte, darf das auf keinen Fall hinter dem Rücken der Benutzer tun. Die Mails auf dem Server sind natürlich auch tabu, und bei einer Ausrede, daß man die sowieso lesen könnte wenn man wollte, lacht sich jeder Jurist einen krummen Ast.

Habe ich auch nicht behauptet. Zum einen hat die zentrale Verwaltung von Software, auch eines Mailclients immer noch nichts damit zu tun, zum anderen habe ich gefragt was es mit der DSGVO zu tun hat, was du so in den Raum geworfen hast.

Das es damit nichts zu tun hat, hast du jetzt selbst geschrieben..

Von daher bin ich hier raus, wenn du nichts zum ursprünglichen Posting von mir - zentrale Verwaltung - zusagen hast.
 
Zentrale Verwaltung von E-Mail-Clients? Ehrlich jetzt? Bei manchen Firmen ist offenbar die DSGVO in der Firewall stecken geblieben.
Ich verstehe auch nicht was das mit der DSGVO zu tun hat.

Der Exchange macht es ueber das Autodicovery und die Anmeldedaten kommen vom Client. Damit muss ein neues Outlook Profil genau eine Sache wissen: Die Email-Adresse. Der Rest geht automatisch.

Thunderbird hat aber in der Tat einen aehnlichen Mechanismus, bei dem E-Mail Adresse und Passwort angegeben werden muss. Der Rest (SMTP und IMAP Server) werden dann automatisch ermittelt.
 
@obsigna

Als Arbeitgeber solltest Du die private email-Nutzung immer untersagen, eben wegen der DSGVO-Problematik.
Da Du in diesem Fall als Arbeitgeber dann davon ausgehen darfst, dass sämtliche Mails betrieblichen Charakter haben und Du damit ziemlich freizügig Einblick nehmen darfst, scheitert eine zentrale Verwaltung von Mail (u. Mailclients) mit Sicherheit nicht an der DSGVO.
Wenn Du die private Nutzung gestattest, kriegst Du allerdings schon bei der Spamfilterung Probleme.
 
@obsigna

Als Arbeitgeber solltest Du die private email-Nutzung immer untersagen, eben wegen der DSGVO-Problematik.
Da Du in diesem Fall als Arbeitgeber dann davon ausgehen darfst, dass sämtliche Mails betrieblichen Charakter haben und Du damit ziemlich freizügig Einblick nehmen darfst, scheitert eine zentrale Verwaltung von Mail (u. Mailclients) mit Sicherheit nicht an der DSGVO.
Wenn Du die private Nutzung gestattest, kriegst Du allerdings schon bei der Spamfilterung Probleme.

Genau so sieht das bei uns auch aus, man verbietet die private Nutzung und gut ist (oft auch die gesamte Private nutzung nicht nur der Mailaddresse sondern auch gleich von Internet, dem Gerät selber etc)

Und selbsteinrichtende Mailclients sind ein segen wenn zb häufiger Geräte gewechselt werden - insb. natürlich bei steigender Nutzerzahl. Schon allein bei Neueinstellungen, interner Firmen, Standort und Abteilungswechsel sowie austritte wäre man einen guten Teil seiner Zeit mit som banalen Quatsch beschäftigt. Und mit DSGVO hat das dann nun wirklich garnichts zu tun.
 
@obsigna

Als Arbeitgeber solltest Du die private email-Nutzung immer untersagen, eben wegen der DSGVO-Problematik.
Da Du in diesem Fall als Arbeitgeber dann davon ausgehen darfst, dass sämtliche Mails betrieblichen Charakter haben und Du damit ziemlich freizügig Einblick nehmen darfst, scheitert eine zentrale Verwaltung von Mail (u. Mailclients) mit Sicherheit nicht an der DSGVO.
Wenn Du die private Nutzung gestattest, kriegst Du allerdings schon bei der Spamfilterung Probleme.
Wir werden das nicht untersagen, und brauchen das auch nicht, denn wir haben nicht das Kontrollbedürfnis über die E-Mail-Clients und anderes. In der Mittagspause dürfen die User die Geräte privat nutzen. Die Johnny Controlleties, die das verbieten wollen, nur damit sie nach Herzenslust ihre ADDCs auf die User jagen können, ohne Probleme mit der DSGVO und anderer Gesetzeswerke zu bekommen, sind ja wohl eher Teil des Problems als der Lösung.

Ich habe den Chef der im ersten Beitrag dieses Threads erwähnten kleinen Firma bereits überzeugt, daß wir ADDC nicht einsetzen werden, und neue Windows-Version werden auch sowieso nur noch Home-Versionen sein, den ganzen Pro-Kram braucht sowieso keine Sau.
 
Die Johnny Controlleties, die das verbieten wollen, nur damit sie nach Herzenslust ihre ADDCs auf die User jagen können, ohne Probleme mit der DSGVO und anderer Gesetzeswerke zu bekommen, sind ja wohl eher Teil des Problems als der Lösung.

Das kann man so nicht stehen lassen. Ein AD kann selbstverstaendlich auch eingesetzt werden, wenn die private Nutzung nicht verboten ist und hat damit auch nichts im geringsten zu tun. Die private Nutztung wird ausgeschlossen, wenn im Spam und Abwehverhalten grosszuegige Eingriffe vollzogen werden. Aber auch das muss nicht sein. Ich kenne dutzende Szenarien mit funktionierenden Quarantaene und Spam Filter, die DSGVO konform und eine private Nutzung erlaubt. Man muss halt dan nur etwas aufpassen. Ueber rechtskonforme E-Mail archivierung brauchen wir erst gar nicht anfangen.

Die Clients nun alle mit Home auszustatten ist legitim, wenn man auf einen AD verzichtet. Bei kleinen Netzwerken spricht auch gar nichts dagegen. Dann faellt halt RDP und Co weg, kann aber durch z.B. Anydesk wunderbar kompensiert werden. Einzig die Benutzerverwaltung und das daraus resultierende Management by Turnschuh wird dann irgendwann zu Zeitfresser. Patch Management? Wie werden die Programme aktuell gehalten? Benutzer haben eigene Kennwoerter? Was ist wenn die geaendert werden, zieht der File Server nach? Netzlaufwerke sind manuell zu hinterlegen. Rechner gehen kaputt und dann werden Profile neu von Hand angelegt. Wie gesagt, alles in Ordnung in kleineren Netzwerken.
 
In der Mittagspause dürfen die User die Geräte privat nutzen. Die Johnny Controlleties, die das verbieten wollen
Naja. Das Problem ist vielschichtiger als das man es mit so einer Argumentation begegnen könnte.
Erst mal sind Pausenzeiten ja Pausenzeiten. Die dienen zur Erholung. Wer +8 Stunden am Bildschirm sitzt, sollte das idealerweise nicht noch in der Mittagspause machen. Man stelle sich mal vor, auf einer Baustelle würden die Handwerker die ganze Zeit schweres Zeug schleppen das dann auch in der Pause machen.

Die zweite Geschichte ist die, das es da schnell mal zu Problemen kommen kann. Was ist denn jetzt, wenn der Mitarbeiter ein Mailanhang aus einer privaten Mail öffnet und da war Malware drin, die Kundendaten nach draußen trägt und die Infrastruktur außer Kraft setzt?
Außerdem muss ggf. der Arbeitgeber spezielle Vorkehrungen treffen. Ist ja nicht allein damit getan auf AD zu verzeichten. Schon allein sowas wie "im Cache vom Arbeitsgerät liegt privater Kram vom Arbeitnehmer" ist strenggenommen schon ein Problem.

Man hat so viele potentielle Probleme wenn man Privates und Arbeit vermengt. Ist keine gute Idee das zu machen. Und zwar nicht aus Schikane, sondern um beide(!) Seiten zu schützen.
 
Das kann man so nicht stehen lassen. Ein AD kann selbstverstaendlich auch eingesetzt werden, wenn die private Nutzung nicht verboten ist und hat damit auch nichts im geringsten zu tun. Die private Nutztung wird ausgeschlossen, wenn im Spam und Abwehverhalten grosszuegige Eingriffe vollzogen werden. Aber auch das muss nicht sein. Ich kenne dutzende Szenarien mit funktionierenden Quarantaene und Spam Filter, die DSGVO konform und eine private Nutzung erlaubt. Man muss halt dan nur etwas aufpassen. Ueber rechtskonforme E-Mail archivierung brauchen wir erst gar nicht anfangen.
Hier sind wir beide nicht auseinander, nur wurde weiter oben eben diskutiert, das der AD nur dann das rundum-sorglos-Paket für die Admins ist, wenn man die private Nutzung verbietet. Und meine Antwort darauf ist, daß ich auch unter diesem Gesichtspunkten eben keinen ADDC will.
Die Clients nun alle mit Home auszustatten ist legitim, wenn man auf einen AD verzichtet. Bei kleinen Netzwerken spricht auch gar nichts dagegen. Dann faellt halt RDP und Co weg, kann aber durch z.B. Anydesk wunderbar kompensiert werden. Einzig die Benutzerverwaltung und das daraus resultierende Management by Turnschuh wird dann irgendwann zu Zeitfresser. Patch Management? Wie werden die Programme aktuell gehalten? Benutzer haben eigene Kennwoerter? Was ist wenn die geaendert werden, zieht der File Server nach? Netzlaufwerke sind manuell zu hinterlegen. Rechner gehen kaputt und dann werden Profile neu von Hand angelegt. Wie gesagt, alles in Ordnung in kleineren Netzwerken.
Weiter oben habe ich argumentiert, daß die Benutzerverwaltung das nicht werden muß, wenn man serverseitig ein Single-Sign-On für alle bereitgestellten Services einrichtet, aber die Clients nicht darin einbezieht. Um ehrlich zu sein, war es für mich nämlich schon immer ein Graus, daß sich die Windows-Clients einfach so mal überall anmelden wozu ihr Passwort passt. Wie sonst kann es passieren, daß auf einmal die komplette Datei-Hierarchie auf einem File-Server kryptographiert ist?

Patchmanagement? bei Windows-Home kann man sowie kaum was machen. Programme aktuell halten hängt ferner davon ab, woher die kommen. Alle Clients haben Office 365 und die Aktualisierung geht automatisch. Manche haben einen CRM-Client, der für unsere Branche von einem Drittanbieter programmiert und auch betreut wird - das DB-Backend läuft auf dem FreeBSD-Server.

Ich habe mich bewußt entschieden, daß die Clients ein beliebiges Passwort haben, von mir aus auch gar keins, und die Anmeldung am Server erfolgt über „Netzlaufwerk verbinden“ und die sog. „Verbindung mit anderen Anmeldeinformationen“. Diese Anmeldeinformationen habe ich generiert und die wurden/werden auf geeignetem Weg mitgeteilt (ein Anruf genügt).

Auf dem Desktop wird ein Schortcut hinterlegt. Funktioniert fast wunderbar (wie bei Windows üblich funktioniert alles immer nur fast richtig). Ich würde jetzt nur noch gerne das Häckchensetzen bei automatische Anmeldung unterbinden, aber das ist bei Windows wohl nicht vorgesehen. Ferner hat Windows auch noch 'ne Macke, denn wenn man auf einen solchen noch nicht-angemeldeten Shortcut doppelklickt, dann kommt der Anmeldedialog, und die Anmeldung geht auch, aber Windows will dann trotzdem den Shortcut löschen - man muß dann „Nein“ sagen und doppelklickt dann ein zweites Mal darauf um das Netzlaufwerk zu öffnen. Jedenfalls sind die UNIX-Schreibrechte auf dem Server mit sehr viel Bedacht auf das nötigste eingeschränkt. Wenn sich ein User einen Kryptotrojaner einfängt, und möglicherweise mit seinem Netzlaufwerk verbunden ist, dann ist der Schaden beschränkt auf sein Home-Verzeichnis und auf die darin verlinkten Unterverzeichnisse, auf die sinnvollerweise Schreibberechtigungen eingeräumt wurden. Mit meiner Hard-Link-Clone-Technik lässt sich aber auch so ein Schaden im Handumdrehen weitestgehend beheben.

Neue User bekommen einen frisch-eingerichteten Rechner mit einem Standard-Standarduser-Profil - man beachte den doppelten Standard, nämlich wenn man daran nicht ständig rumfummelt, dann hält sich der Aufwand auch in Grenzen. Das Standard-Standarduser-Profil gibt es natürlich auch im Restaurierungsfall - in vielen Fällen kann man aber auch die Daten vom Startlaufwerk retten und auf den neuen Rechner clonen. So oder so kommt das aber auch nicht so häufig vor.
 
Naja. Das Problem ist vielschichtiger als das man es mit so einer Argumentation begegnen könnte.
Erst mal sind Pausenzeiten ja Pausenzeiten. Die dienen zur Erholung. Wer +8 Stunden am Bildschirm sitzt, sollte das idealerweise nicht noch in der Mittagspause machen. Man stelle sich mal vor, auf einer Baustelle würden die Handwerker die ganze Zeit schweres Zeug schleppen das dann auch in der Pause machen.
Was ist mit den Laborantinnen und Laboranten. Die stehen 7,5 h im Labor, und dürfen nicht in der Mittagspause nach dem Mittagessen sich ein wenig hinsetzen und im Internet bei einem Kaffee die Nachrichten lesen?
Die zweite Geschichte ist die, das es da schnell mal zu Problemen kommen kann. Was ist denn jetzt, wenn der Mitarbeiter ein Mailanhang aus einer privaten Mail öffnet und da war Malware drin, die Kundendaten nach draußen trägt und die Infrastruktur außer Kraft setzt?
Der kann ja als Standarduser gar nicht sein privates Konto bei Outlook einrichten, und die Malware, die er bei privater Nutzung seines Firmenkontos bekommt, wäre ja wohl auch gekommen, wenn er das Firmenkonto nicht privat nutzen würde.
Außerdem muss ggf. der Arbeitgeber spezielle Vorkehrungen treffen. Ist ja nicht allein damit getan auf AD zu verzeichten. Schon allein sowas wie "im Cache vom Arbeitsgerät liegt privater Kram vom Arbeitnehmer" ist strenggenommen schon ein Problem.

Man hat so viele potentielle Probleme wenn man Privates und Arbeit vermengt. Ist keine gute Idee das zu machen. Und zwar nicht aus Schikane, sondern um beide(!) Seiten zu schützen.
Wie ich schon weiter oben erwähnte, sind für mich die Leute die überall mögliche Probleme erkennen und deshalb Verbote aussprechen eher Teil der Probleme aber jedenfalls nicht der Lösungen.
 
Wie ich schon weiter oben erwähnte, sind für mich die Leute die überall mögliche Probleme erkennen und deshalb Verbote aussprechen eher Teil der Probleme aber jedenfalls nicht der Lösungen.
Die Einstellung wirst du imho ganz schnell ändern, wenn du wegen nicht ausgesprochener Verbote auf die Nase gefallen bist. Als Arbeitgeber bist du in D, wie in vielen anderen Bereichen auch, der "DvD". Wenn du als Arbeitgeber die private E-Mail-Nutzung gestattest, bist du "Diensteanbieter" im Sinne des TMG. Daneben darfst du diesen Datenmüll solange nicht löschen, bis geklärt ist, dass der Arbeitnehmer die Daten nicht mehr benötigt.

Aber jetzt sollten wir zum Thema zurück kommen: Samba unter FreeBSD mit oder ohne AD-Controller.
 
Hier sind wir beide nicht auseinander, nur wurde weiter oben eben diskutiert, das der AD nur dann das rundum-sorglos-Paket für die Admins ist, wenn man die private Nutzung verbietet. Und meine Antwort darauf ist, daß ich auch unter diesem Gesichtspunkten eben keinen ADDC will.
Weder hat jemand behauptet, dass ein AD das rundum-sorglos-Paket ist, noch hat irgendjemand, außer dir, die zentrale Verwaltung von Rechnern mit Datenschutz in Verbindung gebracht. Per se hat das mal nichts miteinander zu tun. Wenn ich dem User verbiete eingene Programme auszuführen, greife ich damit NULL in seine Privatsphäre ein. Nur als Beispiel.


Weiter oben habe ich argumentiert, daß die Benutzerverwaltung das nicht werden muß, wenn man serverseitig ein Single-Sign-On für alle bereitgestellten Services einrichtet, aber die Clients nichtdarin einbezieht. Um ehrlich zu sein, war es für mich nämlich schon immer ein Graus, daß sich die Windows-Clients einfach so mal überall anmelden wozu ihr Passwort passt. Wie sonst kann es passieren, daß auf einmal die komplette Datei-Hierarchie auf einem File-Server kryptographiert ist?

Wenn der krypto Trojaner am Rechner ist, kann er auch das Passwort abfangen, mit dem sich der User im Netz einlogged. Für sowas macht man am besten mehrmals täglich Snapshots am Server.

Was ist mit den Laborantinnen und Laboranten. Die stehen 7,5 h im Labor, und dürfen nicht in der Mittagspause nach dem Mittagessen sich ein wenig hinsetzen und im Internet bei einem Kaffee die Nachrichten lesen?

Dir ist aber schon bewusst, dass es ein riesen Unterschied ist, ob du jemand erlaubst Nachrichten zu lesen, oder von mir aus auch den Webmailer zu nutzen, oder ob jemand auf dem Firmenrechner seinen privaten Mailacccount oder den firmen Mailaccount privat nutzt.

Der kann ja als Standarduser gar nicht sein privates Konto bei Outlook einrichten, und die Malware, die er bei privater Nutzung seines Firmenkontos bekommt, wäre ja wohl auch gekommen, wenn er das Firmenkonto nicht privat nutzen würde.

Wieso sollte die Maleware nicht von seinen privaten Kontakten kommen? Oder weil er seine Firmenmail zu privaten Zwecken irgendwo angegeben hat?

Wie ich schon weiter oben erwähnte, sind für mich die Leute die überall mögliche Probleme erkennen und deshalb Verbote aussprechen eher Teil der Probleme aber jedenfalls nicht der Lösungen.

Für mich sind sorglose Admins wie du, Teil des Problems. Ich möchte nicht das meine persönlichen Daten in einem Unternehmen verarbeitet werden, wo die IT so sorglos agiert.
 
Was ist mit den Laborantinnen und Laboranten. Die stehen 7,5 h im Labor, und dürfen nicht in der Mittagspause nach dem Mittagessen sich ein wenig hinsetzen und im Internet bei einem Kaffee die Nachrichten lesen?
Wie gesagt. Das hat auch ein paar Implikationen wenn man das Arbeitsgerät auch privat einsetzt.
Man kann jetzt darüber streiten wie gut bestimmte Beispiele passen oder nicht. Das ändert aber nix am Grundproblem.

er kann ja als Standarduser gar nicht sein privates Konto bei Outlook einrichten
Als ob man heutzutage ein eMail-Programm braucht um eMails abzurufen.

Wie ich schon weiter oben erwähnte, sind für mich die Leute die überall mögliche Probleme erkennen und deshalb Verbote aussprechen eher Teil der Probleme aber jedenfalls nicht der Lösungen.
Ich finde es ja interessant, das es eigentlich jedem klar ist Arbeitsmittel privat einzusetzen schwierig ist. Aber den Computer fürs private surfen einzusetzen ist dagegen ok.
 
Wie gesagt. Das hat auch ein paar Implikationen wenn man das Arbeitsgerät auch privat einsetzt.
Man kann jetzt darüber streiten wie gut bestimmte Beispiele passen oder nicht. Das ändert aber nix am Grundproblem.


Als ob man heutzutage ein eMail-Programm braucht um eMails abzurufen.


Ich finde es ja interessant, das es eigentlich jedem klar ist Arbeitsmittel privat einzusetzen schwierig ist. Aber den Computer fürs private surfen einzusetzen ist dagegen ok.
Habt ihr schon mal versucht den Zugriff auf gmail.com zu sperren aber die Google-Suche oder Google-Maps (damit man seine Kunden findet) offen zu halten - geht nämlich gar nicht so einfach, es sei dann man macht irgendwelche DNS-Tricks, die ich mit unbound unter FreeBSD beherrsche, aber geht das mit Windows-Server auch.

Aber, OK den Benutzern ist also offiziell verboten irgendwas privat zu nutzen. Wer kontrolliert das? Verbote ohne Kontrolle sind ja bekanntlich was für die Klo-Spülung. Was sind die Konsequenzen für Erwischte? Abmahnung wg. Online-Banking, weil dringend eine Überweisung getätigt werden mußte, die man zu Hause vergessen hatte? Wer will denn dann den Stress mit dem Betriebsrat auf sich nehmen, der MS-zertifizierte Super-Admin garantiert nicht, denn der macht doch nur seinen Job.
 
Was sind die Konsequenzen für Erwischte? Abmahnung wg. Online-Banking, weil dringend eine Überweisung getätigt werden mußte, die man zu Hause vergessen hatte? Wer will denn dann den Stress mit dem Betriebsrat auf sich nehmen, der MS-zertifizierte Super-Admin garantiert nicht, denn der macht doch nur seinen Job.
Der muss den Stress auch nicht auf sich nehmen. Abmahnungen oder im Wiederholungsfall auch fristlose Kündigungen schreibt in kleinen Betrieben der Chef und in größeren die Personalabteilung. Und ich kann Dir versichern, die halten in dem Fall, wenn die Formvorschriften eingehalten sind, vor jedem Arbeitsgericht in Deutschland. (War jahrelang Schöffe am hiesigen Arbeitsgericht, weiß also, wovon ich rede.)
 
Aber, OK den Benutzern ist also offiziell verboten irgendwas privat zu nutzen. Wer kontrolliert das? Verbote ohne Kontrolle sind ja bekanntlich was für die Klo-Spülung. Was sind die Konsequenzen für Erwischte? Abmahnung wg. Online-Banking, weil dringend eine Überweisung getätigt werden mußte, die man zu Hause vergessen hatte? Wer will denn dann den Stress mit dem Betriebsrat auf sich nehmen, der MS-zertifizierte Super-Admin garantiert nicht, denn der macht doch nur seinen Job.

1. Wir haben 2023 - jeder hat doch wenn er in der Pause zb mal Surfen möchte einen kleinen, handflächengroßen und oft erstaunlich leistungsfähigen privaten Minicomputer mit Mobilfunknetzverbindung dabei.

2. Es geht tatsächlich nicht ganz so sehr das "Sicher" zu verbieten das es niemand "kann" sondern eher darum sich selbst rechtlich abzusichern. Verbietest du es nicht musst du wirklich X sachen zum Thema privatsphäre etc einhalten.

(Bei uns ist es zb üblich für Urlaubs & Krankheitsvertretung dauerhaft zugriff aufs Postfach einzurichten und keine Weiterleitung zu machen, da ja Krankheit und seltener kurzurlaub auch mal sehr spontan passieren können. Oder du dürftest zb nicht prüfen ob jemand ne bekannte Viren-URL aufgerufen hat etc. - oder könntest nicht zb jemand zugriff auf die persönlichen Dateien bei ner längeren Krankheit gewähren etc)

Klar gibt Unternehmen wo das alles nicht nötig ist, aber wie so oft hier: Es gibt nicht nur den eigenen Horizont, das eigene Arbeitsumfeld.
 
Der muss den Stress auch nicht auf sich nehmen. Abmahnungen oder im Wiederholungsfall auch fristlose Kündigungen schreibt in kleinen Betrieben der Chef und in größeren die Personalabteilung. Und ich kann Dir versichern, die halten in dem Fall, wenn die Formvorschriften eingehalten sind, vor jedem Arbeitsgericht in Deutschland. (War jahrelang Schöffe am hiesigen Arbeitsgericht, weiß also, wovon ich rede.)
Klar bei Arbeitnehmern, die man wirklich loswerden will, ist das ein gangbarer Weg. Was ist denn mit den Arbeitnehmern, die man auf gar keinen Fall verlieren will?
 
Wenn man Verstöße gegen Anweisungen dauerhaft durchgehen läßt, egal von wem, sollte man überlegen, ob man selbst als "Chef" auf dem richtigen Posten ist. Oder anders ausgedrückt: wenn es gar nicht anders geht, muss man auch mal ein Exempel statuieren, um zu zeigen "So nicht".
 
Wenn man Verstöße gegen Anweisungen dauerhaft durchgehen läßt, egal von wem, sollte man überlegen, ob man selbst als "Chef" auf dem richtigen Posten ist. Oder anders ausgedrückt: wenn es gar nicht anders geht, muss man auch mal ein Exempel statuieren, um zu zeigen "So nicht".
Super, das Argument hatte noch in meiner Sammlung gefehlt. Als Chef ein Verbot um des Verbotes willen (2. Argument von CommanderZed „... gar nicht sicher verbieten ...“, also eine Art Pro-forma-Verbot) einführen, per statuiertem Exempel an wertvollen Mitarbeitern durchsetzen, und dann selber den Hut nehmen, damit sich die ADDC-Fetischisten endlich an dem reibungsfreiem Ablauf ihrer Systeme ohne lästige User-Interaktionen vergnügen können. Wahnsinn!!!

Dekadẹnz, dekaˈdɛnt͜s |, die
...
[kultureller] Zustand, der als durch Überfeinerung in Lebensgewohnheiten und Ansprüchen entstandener Verfall angesehen wird.

Zum Glück haben wir das alles nicht nötig. Wir führen keine Verbote ein, die nicht durchsetzbar sind, und wir werden auch keinen ADDC zur Überfeinerung unserer IT-Lebensgewohnheiten und der Admin-Ansprüche einsetzen. Die vorliegende Diskussion hat mich in dieser Hinsicht nochmal bestärkt - vielen Dank dafür.
 
Super, das Argument hatte noch in meiner Sammlung gefehlt. Als Chef ein Verbot um des Verbotes willen (2. Argument von CommanderZed „... gar nicht sicher verbieten ...“, also eine Art Pro-forma-Verbot) einführen, per statuiertem Exempel an wertvollen Mitarbeitern durchsetzen..

Genau, "wertvolle Mitarbeiter", Mitarbeiter die einfache und übliche Regeln über die Nutzung des Arbeitsgerätes nicht einhalten können oder wollen. Das ich nicht lache..
Und wenn diese MA "unersetzbar" sind, hat das Management bei der Risikobewertung des Personals gepennt. So eine Situation darf halt erst nicht vorkommen.

Bei dir lest sich alles so als würdest du für die örtliche Dorfbäckerei arbeiten, sry aber da würde ich solche Zustände erwarten.
 
Super, das Argument hatte noch in meiner Sammlung gefehlt. Als Chef ein Verbot um des Verbotes willen (2. Argument von CommanderZed „... gar nicht sicher verbieten ...“, also eine Art Pro-forma-Verbot) einführen, per statuiertem Exempel an wertvollen Mitarbeitern durchsetzen, und dann selber den Hut nehmen, damit sich die ADDC-Fetischisten endlich an dem reibungsfreiem Ablauf ihrer Systeme ohne lästige User-Interaktionen vergnügen können. Wahnsinn!!!

Ich hab doch SEHR eindeutig geschrieben das das Verbot selbst wenn man es nicht bis zum ende durchsetzt halt eine rechtliche relevanz hat die es einem unternehmen erlaubt viele oft praktische dinge umzusetzen.

Den rest von dir finde ich wahnsinnig Konstruiert, sorry.

Das ist auch alles relativ unabhängig von der Frage ob man nun AD/MS zeugs einsetzt oder nicht.
 
Ich empfinde die ganze Diskussion hier - insbesondere in Hinblick auf DSGVO und im Netz zusammengesuchte pseudo-rechtliche Bewertungen - als etwas wirr. Ob man eine zentrale User-Verwaltung will/benötigt oder das anders löst, sei jedem selbst überlassen; so war es am Anfang in meiner Firma auch, da alles noch im Aufbau war und die Mitarbeiter arbeiten können sollten und der Hilfsadmin (also der arme, der sich hat breitschlagen lassen...hier mach mal irgendwie) gab sein Bestes.

@obsigna
Wie ich es verstanden habe, vergibst du username und password und dann haben die User eben passende Zugangsdaten...nur wie passt jetzt Datenschutz da rein, wenn du die Zugangsdaten hast; ist für mich widersprüchlich.
Ob die User ihre Geräte und Accounts privat nutzen ist unerheblich, es geht nur um Rechtssicherheit als Arbeitgeber und die bekommst du nur, wenn du es untersagst und das hat nichts mit "Johnny Controlleties" zu tun. Erklär mir bitte mal wie Aufbewahrungsfristen und Auskunfts-/Löschrechte und Datenschutz zusammenfinden sollen, wenn private Nutzung nicht verboten wird?
Ich würde zudem irre werden, wenn ich die halbe Woche mit unserem Datenschutzbeauftragten und am besten unseren Anwälten verbringe, nur um irgendwelche Nichtigkeiten umzusetzen. Und wer bezahlt den ganzen Spaß dann?
Die Server und Geräte gehören der Firma und wer ein Problem damit hat, dass es eben nicht für persönliche Spielereien von der Firma bezahlt wurde, der geht eben woanders hin! Das sind nämlich jene Mitarbeiter, die empört sind, wenn man mal fragt, ob sie ein paar Stunden mehr machen können, aber ebenso empört nicht einsehen wollen, dass sie auf dem Firmenrechner nicht zocken oder irgendeine gecrackte Software nutzen dürfen... Apropos gecrackte Software: Wer haftet?
 
Habt ihr schon mal versucht den Zugriff auf gmail.com zu sperren aber die Google-Suche oder Google-Maps (damit man seine Kunden findet) offen zu halten
Naja. Erst mal ist sperren ja etwas anders als das nicht zu erlauben. Und nur dazu habe ich was gesagt.

Aber, OK den Benutzern ist also offiziell verboten irgendwas privat zu nutzen. Wer kontrolliert das?
Es geht gar nicht unbedingt um Kontrolle. Es geht dabei z.B. auch schlicht um Haftungsfragen. Wenn etwas passiert stellt sich die Situation anders da, als wäre es offiziell gestattet worden.

Ist übrigens im normalen Leben nicht anders. Da wird ja auch nicht alles lückenlos überwacht.

Wer will denn dann den Stress mit dem Betriebsrat auf sich nehmen
Den Stress mit dem Betriebsrat kriegt man doch eher, wenn man die Erlaubnis erteilt und dann sich heraus stellt, das irgendwelche Rechte nicht eingehalten werden. Hatte ich auch schon thematisiert. Das ist aber offenbar für Dich kein Problem. Die Betriebsrat macht immer nur dann Stress, wenn es Dir für Deine Argumentation in den Kram passt. ;-)

Die vorliegende Diskussion hat mich in dieser Hinsicht nochmal bestärkt
Das liegt am Confirmation-Bias. Man tendiert dazu Argumente die die eigene Meinung bestärken höher zu gewichten als Gegenargumente.
 
Zurück
Oben