Admin by Request

«Admin By Request» ist eine Sicherheitslösung, die den administrativen Zugriff auf IT-Systeme zuverlässig steuert. Sie erhöht die Kontrolle, reduziert Risiken und schützt Daten vor Missbrauch.

Vorteile

• Nur autorisierte Benutzer erhalten administrative Rechte.
• Zugriffsrechte sind Just-in-Time: temporär, aufgaben-/projektgebunden und nur bei Bedarf.
  (Nach Ablauf der Nutzung verfallen die Admin-Rechte automatisch.)
• Dauerhafte Administratorrechte entfallen.
• Alle Aktivitäten werden protokolliert. Das erleichtert die Einhaltung von Compliance-Vorgaben.

Einsatz an der UZH

• Variante 1 ist bereits auf allen von der ZI verwalteten Geräten vorinstalliert.
• Weitere Varianten werden bei Bedarf bereitgestellt.

Mit dem Dateibefehl «Als Administrator ausführen» können Programme in einer geschützten Umgebung (Sandbox) gestartet werden, ohne dass der Benutzer lokal Admin ist.

• Nur der Prozess erhält Admin-Rechte, nicht der Benutzer.
• Für jede Installation muss ein Antrag mit Begründung gestellt werden.
• Alle Aktionen und Begründungen werden im Auditlog protokolliert.
• Diese Variante steht auf allen durch die Zentrale Informatik verwalteten Geräten zur Verfügung.

Windows-Geräte

So installieren Sie eine Anwendung:

1. Laden Sie die Anwendung herunter (falls nicht vorinstalliert).
2. Öffnen Sie den Windows Explorer und navigieren Sie zum Verzeichnis der Installationsdatei.
3. Rechtsklick auf die Installationsdatei > wählen Sie «Als Administrator ausführen».
4. Geben Sie im Popup-Fenster von Admin By Request einen Grund für die Installation an.
   → Ihr Antrag wird geprüft und muss genehmigt werden (kann mehrere Tage dauern).
5. Nach Freigabe die Installationsdatei erneut mit Admin-Rechten ausführen
   (Rechtsklick > «Als Administrator ausführen»).

macOS-Geräte

Unterstützte Dateitypen: .pkg, .app, .dmg

So installieren Sie eine Anwendung:

1. Laden Sie die Anwendung herunter (falls nicht vorinstalliert)
2. Starten Sie die Anwendung aus dem Dock oder dem entsprechenden Ordner.
3. Geben Sie im Popup-Fenster von Admin By Request einen Grund für die Installation an.
   → Ihr Antrag wird geprüft und muss genehmigt werden (kann mehrere Tage dauern).
4. Nach Freigabe die Anwendung einmalig installieren.
5. .dmg-Dateien:
   • Öffnen Sie die .dmg-Datei.
   • Ziehen Sie das Symbol auf das Admin By Request-Symbol in der Menüleiste, bis ein weiss-grünes Pluszeichen erscheint.

6. Nach diesem Schritt öffnet sich ein Fenster, in dem Sie den Installationsgrund eingeben müssen. 

Die Installation kann erst nach der Genehmigung fortgesetzt werden.

Mit dieser Variante können Sie bei Bedarf für 10 Minuten Administratorrechte aktivieren, ohne dass jedes Mal eine Genehmigung erforderlich ist.

Wichtige Hinweise:

• Diese Option ist für Benutzer gedacht, die regelmässig oder täglich lokale Adminrechte benötigen.
• Vor Nutzung muss ein Formular ausgefüllt werden: Admin By Request-Formular 
• Nach Freischaltung können Sie die 10-Minuten-Rechte jederzeit selbst anfordern.

Einschränkung:

Systemtools wie PowerShell (Windows) oder Befehle mit sudo (macOS) sind weiterhin gesperrt. Für diese Funktionen ist eine Ausnahmebewilligung durch Betriebsteam und IT-Sicherheit erforderlich (gültig für 1 Jahr).

1. Klicken Sie mit der rechten Maustaste auf das Symbol «Admin By Request» in der Taskleiste (gewöhnlich unten rechts auf Ihrem Bildschirm).
2. Wählen Sie Tools > Uninstall Program aus.
    

   

   Zoom

   Deinstallation von Admin By Request via Kontextmenübefehle

3. Suchen und markieren Sie das Programm, das Sie entfernen möchten.

4. Je nach Programm:

   • Entweder startet die Deinstallation direkt,

   • oder es wird ein Antrag an die IT gestellt.

5. Nach der Genehmigung durch die IT wird das Programm deinstalliert.