Skip to content

Eine unheilvolle Dreiecksbeziehung

@Work

Die Beteiligten:

User1, User2, Rechner1, Rechner2, Rechner3 und der Admin

Die Geschichte:

User1 meldet sich an Rechner1 an.

User1 meldet sich an Rechner2 an.

Rechner1 meldet, dass ein Passwortwechsel notwendig ist.

User1 versucht an Rechner1 das Passwort zu ändern, das funktioniert nicht, weil die Anmeldung an Rechner2 noch läuft.

User1 versucht an Rechner2 das Passwort zu ändern, das funktioniert.

User1 meldet sich mit seinem neuen Passwort an Rechner3 an. So weit, so gut.

Einige Zeit später...

Rechner1, Rechner2 und Rechner3 sind nach dem Ablauf der Sperrzeit gesperrt.

User1 entsperrt Rechner2.

User2 denkt, er ist an Rechner1 angemeldet und versucht diesen mit seinem Passwort zu entsperren. Dreimal.

User2 sagt User1 Bescheid, dass er doch bitte Rechner1 entsperren soll. Aber weder das neue noch das alte Passwort funktionieren.

User1 versucht Rechner3 zu entsperren. Auch das funktioniert weder mit dem alten noch dem neuen Passwort.

...

Anruf von User1 beim Admin, der diese Story hier mal kurz aufschreiben muss, um zu verstehen, was da überhaupt gelaufen ist. User1 im Active Directory entsperrt. Alles wieder gut. :-)

Drucker-Notizen

@Work

Notiz an die User:

Wenn ein Drucker rot blinkt und im Display steht, dass man eine Tonerpatrone ersetzen muss, nutzt es nichts, den Drucker mehrmals an und aus zu schalten.

Notiz an mich:

Wenn man in den Keller geht, um die Ersatzpatrone für den Drucker zu holen, sollte man vorher auf das Display schauen, ob eventuell noch eine zweite Farbe bald leer sein wird. Sonst läuft man zweimal.

Notiz #2 an mich:

Manche Dinge, die man ihnen mal gesagt hat, vergessen User auch nach 20 Jahren nicht. Zum Beispiel, dass man Tonerpatronen aus dem Drucker nehmen und schütteln kann, damit er noch ein paar Seiten druckt. Die Tonerhäufchen vor und im Drucker zeugen davon.

Notiz an HP

Muss ein Drucker seine Netzwerkkonfiguration vergessen, wenn man ihn während eines Druckjobs ausschaltet?

Piwik 2.4.0 beseitigt XSS-Lücke - Update empfohlen

Internet

Piwik-Logo

Piwik, die freie Alternative zu Google Analytics zum selbst hosten ist in der Version 2.4.0 erschienen. Wie die Entwicker im Changelog bekannt geben, wurde eine XSS-Sicherheitslücke in der Anwendung behoben.

Außerdem wurden insgesamt 60 Fehlertickets mit dieser Version bereinigt. Ein Update wird dringend empfohlen. Das geht bei kleineren Installation auch ganz einfach mit ein paar Klicks automatisch.

Wenn das Update in euerer Piwik-Installation nicht automatisch angezeigt wird, geht ihr in die Einstellungen und klickt oben rechts auf "Nach Aktualisierungen suchen". Danach einfach den Link zur Aktualisierung klicken und den Anweisungen folgen. Hat bei mit nicht mal 2 Minuten gedauert, eine sehr komfortable Funktion von Piwik.

Schriftarten in Thunderbird ändern

Linux

Da ich gerade wieder das Problem hatte und danach im Netz erst ein wenig googeln musste, schreibe ich es hier mal für die Zukunft auf.

Bei höheren Bildschirmauflösungen kommt es gerade unter Linux manchmal vor, dass im Mailprogramm Thunderbird die Schriftarten von Menüs und in der Mailübersicht zu groß oder zu klein dargestellt werden. Das führt zu Problemen bei der Lesbarkeit oder sieht einfach auch mal hässlich aus. Die Schriftgrösse lassen sich über eine CSS-Datei im Thunderbird-Profil des Nutzers anpassen.

Man findet das Nutzerprofil unter Linux im Homeverzeichnis des Benutzers im Unterverzeichnis ".thunderbird". Dort gibt es dann einen Ordner, der aus einer zufälligen Zeichenkombination besteht, das Standardprofil hat hinter dieser Zeichenkombination ein ".default" angehängt.

mario@fichte:~/.thunderbird/m53h4ule.default$

Zu beachten ist, dass unter Linux der "." vor dem Verzeichnisnamen "thunderbird" bewirkt, dass das Verzeichnis versteckt wird, wenn ihr ein grafisches Tool zur Dateibearbeitung nutzt, müsst ihr also einstellen, dass versteckte Dateien angezeigt werden.

Im Profilverzeichnis gibt es einen Ordner "chrome", wenn der noch nicht existiert, müsst ihr ihn anlegen. In diesen Ordner gehört dann die Datei "userChrome.css" (Groß- / Kleinschreibung unbedingt beachten). Wenn die Datei vorhanden ist, kann man sie einfach ergänzen, wenn nicht, ist sie neu anzulegen. In dieser Datei kann man nun alle Elemente der Benutzeroberfläche mittels CSS-Statements beeinflussen. Uns geht es ja hier um die Schriftgrösse der Menüs und Listen.

Zunächst kann man einfach die Schriftgröße aller Elemente der Benutzeroberfläche mit folgendem Befehl anpassen:

/* Global UI font */
* { font-size: 11pt !important;
} 

Entscheident ist hier der Wert hinter "font-size:". Hier könnt ihr die Schriftgröße angeben. Man kann hier den Wert in pt (Größe in Relation zur Bildschirmauflösung) oder in px (Pixel) angeben, damit kann man einfach mal ein wenig herumspielen. Die Auswirkungen sieht man sofort nach einem Neustart von Thunderbird.

Will man nur die Menüelemente in der Größe verändern braucht es diesen Eintrag:

/* Menu font */
menu, menulist, menuitem { 
  font-size: 12pt !important;
}

Zur Veränderung der Schriftgröße der Baumelemente (Mailkonten) und der Liste der Mails nutzt man:

treechildren {font-size: 12px;}

So könnt ihr die Schriftgrößen ganz nach belieben an eure Vorlieben anpassen. Das ganze funktioniert im Prinzip auch für den Firefox (Profil in ".mozilla/firefox") und natürlich auch unter Windows, hier sind natürlich die jeweiligen Profilverzeichnisse je nach Windowsversion aufzusuchen.

User hater's password generator

@Work

Das ist doch mal was für den geplagten Admin. :-) Der "user hater's password generator" ist ein kleines Perlskript, das Passwörter generiert, die einen Benutzer garantiert zur Verzweiflung bringen.

Beispiel gefällig?

The user hater's password generator. Have a lot of fun!
-------------------------------------------------------
01) 0O0Ol]O|]1[0
02) 0[]O||0Il[[1
03) 0O|O1l|[0l]O
04) 11l00l|1I]|I
05) Il]l[01Il0|l
06) I|[]0ll01O|O
07) l0|I1IO]]|lO
08) lI][]|I]|1]I
09) 1[]|I[O00I[l
10) 00][[I10I0lI

via:



Wenn die Festplatte ihren Abgang ankündigt

@Work

Vorgestern Abend meldete einer "meiner" Server brav per SMS einen Fehler im RAID. Eine der Festplatten hatte einen "PFA-Fehler". Das kannte ich tatsächlich noch nicht und musste mal googeln. "Predictive Failure Analysis®" nennt sich das Ganze und der Hersteller verspricht, dass eine Festplatte mit dieser Technologie bis zu 48 Stunden vor ihrem digitalen Tod denselben ankündigen kann. Die betroffene Platte lief also noch, sagte aber mit diesem Fehler ihr baldiges Ableben voraus.

Eine gute Sache, denn auch bei einem RAID 5 mit Hotspare-Platte ist der Ausfall einer Platte im laufenden Betrieb immer mit Risiken verbunden. So konnte ich relativ gelassen am nächsten Morgen über unseren Servicedienstleister eine neue Platte anfordern und die betroffene Platte kontrolliert aus dem RAID-Verbund rausnehmen.

Wieviel Smartphones braucht der Admin

@Work

Ich mag ja den Winter, weil ich dann eine Jacke anhabe, die genug Taschen für alle Handys hat, die ich so mitnehmen muss/will. ;-)

Aber Spass beiseite, als (angestellter) Administrator hat man ja meist ein Firmenhandy oder -smartphone, über das man bei Notfällen erreichbar ist oder dass idealerweise auch an das Firmen-Mailsystem angebunden ist, um auch unterwegs E-Mails und Kalender zur Verfügung zu haben. Da unsere Berufsgruppe naturgemäss auch recht technikaffin ist, hat man natürlich auch Privat ein Smartphone, über dass man private Mails, soziale Netze usw. im Auge behält. Das hantieren mit unterschiedlichen Geräten und das oben erwähnte Transportproblem drängen die Frage auf, ob man nicht ein Gerät für berufliche und private Zwecke nutzen könnte oder sollte.

Eins für dienstliche und eins für private Zwecke?

Für angestellte Admins gibt es verschiedene Faktoren und Abhängigkeiten vom Arbeitgeber, wie eine solche Nutzung aussehen kann.

Nutzung von zwei unterschiedlichen Geräten für Beruf und Privat

Vorteile:

  • Klare Trennung von beruflichen und privaten Daten.
  • Private Daten bleiben immer in meinem Herrschaftsbereich.
  • Hohe Datensicherheit, da striktere Policies auf dem dienstlichen Gerät durchgesetzt werden können.
  • Ich kann das Diensthandy auch mal liegen lassen und "nur Privat" sein.

Nachteile:

  • Ich muss mehrere Geräte mit herumtragen.
  • Daten, die ich benötige sind an unterschiedlichen Stellen (Kalender, Kontakte usw).

Die Firma erlaubt die Nutzung des Firmengerätes auch für private Zwecke.

Vorteile:

  • Nur ein Gerät für alle Daten.
  • Eventuell Kostenvorteile, da ich eine Kostenteilung zwischen Arbeitgeber und mir vereinbaren kann.

Nachteile:

  • Durch Sicherheits-Policies kann ich eventuell nicht alle Features des Smartphones im privaten Bereich nutzen.
  • Meine privaten Daten sind auf einem Gerät, das faktisch meinem Arbeitgeber gehört und dass er mir jederzeit "wegnehmen" kann.
  • Ich bin für den Arbeitgeber ständig erreichbar.

Die Firma erlaubt die Nutzung eines privaten Gerätes für die dienstliche Nutzung (Stichwort: Bring your own device)

Vorteile:

  • Nur ein Gerät für alle Daten.
  • Die privaten Daten bleiben in meinem Herrschaftsbereich.
  • Ich kann mir in gewissen Grenzen das Gerät, das ich nutzen möchte, selbst aussuchen.

Nachteile:

  • Sicherheit, die Nutzung des Features des Handys kann durch Sicherheits-Policies eingeschränkt sein, für deren Einhaltung ich eventuell selbst sorgen muss.
  • Auch hier bin ich für den Arbeitgeber ständig erreichbar.
  • Eventuell muss ich Kosten, die für dienstliche Angelegenheiten entstehen, zum Teil selbst tragen.

Diese Betrachtungen beleuchten natürliche nur die Aspekte für mich persönlich und noch nicht die Fragen, die sich ein Arbeitgeber stellen muss, wenn er zwischen diesen Modellen entscheiden muss. Wir Administratoren sind hier in einer Zwickmühle, da wir ja häufig auch für die Erstellung und Einhaltung der IT-Sicherheits-Policies mit verantwortlich sind.

Ich nutze momentan noch die erste Variante, habe also ein dienstliches und ein privates Smartphone. In einem folgenden Artikel werde ich beschreiben, wie ich diese Konstellation in der Praxis nutze.

Wie sieht es mit der beruflichen / privaten Smartphonenutzung bei euch aus?

Admins Albtraum: Bring your own device

@Work

Seit Jahrzehnten ist es in diversen Benutzerrichtlinien, Sicherheitsleitlinien oder wie es auch immer heißt, verankert:

  • Schließe keine Firmenhardware an private Geräte oder Datennetze an.
  • Nutze keine private Software und Datenträger in der Firma.
  • Schließe keine private Hardware an Firmennetze oder Geräte an.

Damit sind wir Admins immer gut gefahren. Unsere Hardware ist nach unseren Vorstellungen konfiguriert und abgesichert, der User darf nur das tun, was wir ihm erlauben. Wechselmedien dürfen nur sehr restriktiv und von wenigen Benutzern an die Firmen-PCs angeschlossen werden. All das erhöht die Sicherheit und Integrität der firmeneigenen Daten und hilft uns Administratoren, der Herr im eigenen IT-System zu bleiben.

Irgendwann wurde der Ruf nach mobilem Zugriff auf E-Mail, Kalender und andere Daten laut. Mit einem Blackberry Enterprise Server hatte man auch jetzt als Admin die bestmögliche Kontrolle über die (immer noch firmeneigenen) mobilen Geräte, der Admin bestimmte, was auf den Geräten möglich war und was nicht.

Das Private für die Firma

Inzwischen gehört das private Smartphone bei vielen Mitarbeitern zum Alltag und es geistert ein neues Schlagwort durchs Internet und die Führungsetagen: "Bring your own device". Wenn die Mitarbeiter doch sowieso ein Smartphone nutzen, warum sollen sie dann nicht auch noch berufliche E-Mails und andere Daten auf dem Smartphone empfangen und so auch in Ihrer Freizeit für Firmenangelegenheiten erreichbar sein?

Für den Administrator ist das eine große Herausforderung in zweierlei Hinsicht. Zunächst müssen die verschiedenen Geräte technisch in die Firmen-IT eingebunden werden. Bei der Vielfalt der Geräte und Betriebssysteme keine einfache Aufgabe. Dann bleibt noch die Frage nach der Sicherheit. Der Admin hat keinen Einfluss mehr darauf, was der Mitarbeiter mit seinem Smartphone sonst noch anstellt. Das setzt eine gute Planung, Richtlinien und oftmals auch Kompromisse voraus. Eine gute Übersicht gibt der Artikel auf Heise-Mobil: Strategien für den sicheren Firmenzugang mit privaten Handys.

Bedeutung für die Work-Life-Balance

Diese neue Entwicklung hat meiner Meinung nach auch Auswirkungen auf die Art und Weise, wie wir Arbeit und Privates trennen und im Gleichgewicht halten. Wenn ich mit dem privaten Smartphone auch berufliche Aufgaben erledige, wird die Abgrenzung zwischen privatem und dienstlichem immer schwerer. Das ist für manchen vielleicht sogar erstrebenswert und hilft bei der Umsetzung von neuen Arbeits(zeit)modellen. Es kann aber auch dazu führen, dass das Privatleben zu kurz kommt. Ich bin zumindest froh, dass ich mein dienstliches Blackberry auch mal beiseite legen kann und bei manchen privaten Aktivitäten keine Störung durch dienstliche E-Mails habe.

Wie steht ihr zu dieser Entwicklung? Mich interessieren eure Meinungen, ob ihr nun durch die Administrator- oder die Userbrille schaut, ab damit in die Kommentare.

Eigeninitiative

@Work

Heute war ich am Rechner eines Users, bei dem ein Programm Probleme mit der Verbindung zu einer DB/2-Datenbank hatte.

Bei meiner Ankunft teilte mir der User mit:

"Ich habe den Fehler schon mal gegoogelt, der kommt öfter vor."

Stimmt.


Vergessene Daten

@Work

Von gebraucht erstandenen USB-Sticks oder Festplatten, auf denen man noch vergessene Daten des Vorbesitzers findet, hat man ja schon öfters gehört oder gelesen.

Heute hatte ich mal eine andere Variante. Beim Konfigurieren eines gebrauchten Multifunktionsdruckers, der zuvor schon einige Zeit bei einem anderen Kunden des Händlers testweise im Einsatz war, fand ich auf der Seite für die Fax/Scan-to-Mail-Konfiguration die Mail-Zugangsdaten des Vorbesitzers. Die Konfiguration war so eingestellt, dass die Faxe oder Scan-Dokumente (natürlich unverschlüsselt) über den GMX-Account des Besitzers versandt wurden.

Das Zugangspasswort für den Mailaccount war zwar  "ausgepunktet" und der Programmierer des Interfaces hatte auch die Cut-and-Paste-Funktion des Formularfeldes deaktiviert, allerdings lieferte ein Blick in den Quelltext des HTML-Formulars das Passwort auf dem Silbertablett im Klartext.

Dieses Beispiel zeigt deutlich, dass man auch bei der Weitergabe oder dem Verkauf von scheinbar so harmlosen Geräten wie Scannern und Druckern daran denken muss, eventuell vorhandene Daten zu löschen. Die meisten Geräte haben ja dafür eine Funktion zum Rücksetzen auf Werkseinstellung. Aber auch danach sollte man alles nochmal genau durchsehen, um nicht sensible Daten versehentlich weiter zu geben.

tweetbackcheck