Moin,

Wir haben hier in der Firma ein kleines Sicherheitsproblem und ich muss die Mails u. Browser eines Benutzers kontrollieren.(policeman) Der Mitarbeiter hat gegen Firmenvorgaben verstoßen und sich einen eigenen privaten Account angelegt zu dem wir keinen Zugriff haben.

Ich habe auf dem Rechner den Root Benutzer eingerichtet und einfach unter User/library den Ordner Mail und Safari in einen neu angelegten Benutzer in userneu/library kopiert. Wenn ich jetzt den neuen Benutzer aktiviere, kann ich zwar in Safari die History und Bookmarks sehen, was braucht Mail, damit nicht immer der Assistent kommt und neue Accounts einrichten will?

Oder gibt es einen anderen Weg die Mails dieses Benutzers einzusehen (kein IMAP, Mailaccount nicht auf Firmenserver)?

Richte einen Neuen ein
und kopiere den Ordner Mail und die .plist erst anschliessend

wie hat er denn den Account erstellt, bzw. wer hat ihm geholfen? Ansonsten wie oben erwähnt Passwort zurücksetzten und den Kerl abmahnen

Söd knöd hat recht unter "Benutzer" in den Systemeinstellungen kannst Du mit als Administrator das Benutzerkennwort zurücksetzen und wieder auf den Account zugreifen. Das ändert zwar IIRC nicht das Schlüsselbundkennwort des Benutzers, Du kannst also keine neuen Mails empfangen, aber die lokal gespeicherten müsstest Du ansehen können.

_mäuschen: Danke für den Tipp. habe den Mail Ordner nun noch einmal kopiert und dann in Preferences com.apple.mail.plist, com.apple.mail.plist2781920 und com.apple.mail.plist2782812 gefunden. Alle kopiert, Benutzer gewechselt und Mail startet wieder mit dem Account Assi!

Söd knöd, Wowbagger: Das wäre ja zu einfach, dann weiss der Benutzer aber am Montag dass wir auf seinem Rechner warenO:-) Und dass wollen wir momentan noch vermeiden.(policeman)

importiere doch die Postfächer, vielleicht bringt das was

Äh, hallo, langsam. Auch wenn er gegen eure Vereinbarungen verstoßen hat, darfst du nicht einfach seine Mails lesen! Da gibt es klare Grenzen, aber auch eine Menge Regelwerke und Vorschriften für Datenschutz in Unternehmen! Ich würde dir DRINGENDST empfehlen zuerst den Datenschutzbeauftragten eurer Firma und ggf. den Betriebsrat zu konsultieren, denn wenn ihr auf der Basis eurer Schnüffelexperimente gegen den Benutzer vorgeht, könnte das zu einem Rohrkrepierer werden, wenn ihr das nach euren rechtlichen Rahmenbedingungen nicht gedurft hättet und er kann euch damit dann rechtlich belangen. Also erst informieren, bevor man solche Schweinereien macht, es kann nämlich widerrechtlich sein!

Und falls ihr keinen Datenschutzbeauftragten habt, weil ihr weniger als fünf Bildschirmarbeitsplätze habt, dann laßt euch erstmal von eurem Justiziar beraten. Jedenfalls muß erst die rechtliche Situation geklärt werden, bevor hier in Wildwestmanier mit den Daten anderer Leute hantiert wird. Es gibt Grenzen, und die sollte ihr erstmal ausloten!

Deswegen würde ich raten: lösche sofort deine Kopien und kläre erst die rechtliche Lage. Auch eine Weisung des Chefs kann nicht ausreichend sein um dich vor Schaden zu bewahren, falls ihr außerhalb der rechtlichen Grundlagen agiert und der Arbeitnehmer seine Rechte ernst nimmt.

wheelers Vorschlag klingt vielversprechend, vor allem hast Du dann vollen Zugriff auf den Account (Browser-Verlauf usw.)
Aber um auf bestbernies Frage zurückzukommen: Wie hat er das überhaupt geschafft? Hat er einen Admin-Account?

wheeler: Kann der Migrationsassistent die Benutzer des Corpus Delicti auf meine MBP als zusätzliche Benutzer migrieren oder macht der Migrationsassi dann bei mir alles platt? Brauche ich sonst dazu einen "leeren" Mac?

Rantanplan: Glücklicherweise muss ich mich weder mit einem Datenschutzbeauftragten noch mit einem Betriebsrat herum ärgern:-| Wir sind ein äußerst freundlicher Haufen, waren gestern nett zusammen Essen und sind eigentlich alle ganz lieb zueinander. Wenn mir aber jemand Arbeitszeit stiehlt und statt meiner Arbeit fremde Jobs erledigt, nehme ich das nicht nur als GbR äußerst persönlich. Da nehme ich auch rechtliche Konsequenzen in Kauf.:-(

Rantanplan: Oh , da habe ich wohl zu lange an meinem text gebastelt. Habe Deine 2. Mail noch nicht gesehen. Ja natürlich habe ich mit meinem Anwalt darüber gesprochen.

Wowbagger: Hier wird eigentlich Vertrauen gross geschrieben, so dass wir einen Admin Account für Totalschäden auf den Rechnern haben und den jeweiligen Benutzer auch mit Adminrchten austatten um neues Software zu installieren etc.

Rantanplan: By the way: Datenschutzbeauftragter? ab 5 Arbeitsplätzen (wir haben 10)? Wir haben zwar die BG am Hals mit 1. Hilfe Commander etc., Sicherheit am Arbeitsplatz usw. aber das leiste in Personalunion ich.
Hast Du da nähere Infos?

Gut, ich habe dich gewarnt, mehr kann ich nicht tun. Wenn du Glück hast gehört der Arbeitnehmer nicht zur "hartnäckigen" Sorte, ansonsten könntest du das noch lange bereuen

Ich hoffe du hast eine Betriebsvereinbarung über die Internetnutzung mit allen Arbeitnehmern geschlossen, die sie auch regelmäßig (etwa jährlich, sonst greift wieder die Gewohnheitsregelung) neu unterschreiben? Falls ihr keine Betriebsvereinbarung darüber habt, seid ihr - meines Wissens! - rechtlich als Teledienstleister, oder wie sich das wieder nennt, einzuordnen und dann gilt das Fernmeldegeheimnis für die privaten Daten (insbesondere Mails) der Mitarbeiter. Unter diesen Umständen würdest du dich ganz herb in die Nesseln setzen, wenn du seine Mails liest.

desmo
Ok! Dann ist es ja ok.

Nicht Arbeitsplätze, sondern solche, die auch mit Computern arbeiten. Ich bin selber nicht fit in der Materie, aber im Moment etwas sensibilisiert dafür, weil bei uns lief bislang auch alles "nach Treu und Glauben" und ohne jede Vereinbarung im Arbeitsvertrag. Und wir haben eben auch erfahren, daß wir eigentlich einen Datenschutzbeauftragten haben müssten. Ich kann nächste Woche mal genauer die Bestimmungen lesen, aber bis dahin weißt du es sicher auch schon

Der Migrationsassistent fügt nur einen neuen Account hinzu, es sollte allerdings vorher kein Benutzer mit gleichem Namen auf dem Mac, auf den der Account übertragen wird, vorhanden sein, sonst wird dieser Account in den Ordner "Gelöschte Accounts" verschoben und durch den neuen Account ersetzt.

Und Rantanplan hat natürlich recht, alle gesetzlichen Vorschriften müsst Ihr natürlich einhalten, sonst kann das unangenehme Folgen haben.

Rantanplan: Auch diese Betriebsvereinbahrung dazu gibt es mit Aktuellem Stand 01/2007.

Trotz alledem, dass ich hier mit meiner Wut im Bauch schreibe und gerade nicht so die positive Einstellung zu Regelwerken und Beauftragten habe, DANKE für Deine Anmerkungen und Warnungen, Rantanplan!:-)

Es gibt bestimmt Kandidaten, die im blinden Aktionismus Rechner von Mitarbeitern zerlegen, bei mir ist es wohl überlegt und nur noch das letzte Bindeglied in einer Kette.

Wowbagger: d.h. Ich klicke im Migrationsassistenten nur auf den Button bei Benutzer?

NICHT auf
Programme
Netzwerk
Dateien
Volumes

Mit der Benutzer Option gelange ich dann an alle Dateien die der Benutzer bei sich abgelegt hat?

gaspode: siehe 12:36 Uhr

desmo
Den Job des Datenschutzbeauftragten darf weder der Chef noch der Admin übernehmen, da er diesen ja auf die Finger klopfen soll. Lässt sich das in einer kleinen Firma nicht realisieren, muss ein externer Datenschutzbeauftragter angeheuert werden. So mein Kenntnisstand ohne Garantie auf Richtig- oder Vollständigkeit.

gaspode
s. desmo, 12.36 Uhr.
Wenn also auf beschränkten Accounts gearbeitet wird (schätze ich mal), aber jeder über seinen Rechner verfügen kann, wenn er es muss, ist das also kein Problem. Schon aber, wenn ein User sich ein Eckchen einrichtet, um auf Arbeitszeit und Bezahlung des einen (gegen Bezahlung) den Job eines anderen zu erledigen. Man mag es leichtsinnig finden, allen MA einen Admin-Account zuzugestehen, vielleicht ist es aber auch einfach nur ein Zeichen von Vertrauen. Ich persönlich hasse es wie die Pest, auf be-, äh, eingeschränkten Rechnern zu arbeiten. Lässt sich wohl aber manchmal nicht vermeiden.

How ever, ich glaube, desmo hat die Warnungen bzgl. seines Vorgehens (Daten-und Persönlichkeitsschutz) verstanden. Wie im Übrigen zigtausend Arbeitgeber sonst auch, die sich zu einem erklecklichen Teil nicht die Bohne drum scheren…

Ties-Malte


How ever, ich glaube, desmo hat die Warnungen bzgl. seines Vorgehens (Daten-und Persönlichkeitsschutz) verstanden.

Und wie, es ist ein sehr sensibles Thema vor allem auch in Firmen wo mit Vertrauen und piep piep piep wir ham uns alle lieb agiert wird

Irgendwie bin ich zu blöd um Zitate richtig zu kürzen:-&

ABER (leider noch keine Antwort): Kann der Migrationsassistent WIRKLICH NIX kaputt machen auf meinem MBP?

desmo
Würde ich nicht riskieren, also:

externe Festplatte dran System installieren von externer Festplatte starten Migrationsassistenten anwerfen.

Den Migrationsassistenten verwende ich selber nicht, mir ist da Handarbeit lieber, da habe ich mehr Kontrolle, was mir auf den neuen Mac kommt.

Von Problemen damit habe ich bisher nur sehr selten gehört und wenn dann ging es nur um kleinere Probleme mit dem neuen Account.

An Deinen anderen Benutzerverzeichnissen ändert er ja nichts und wenn Du "Programme" und "Netzwerk" nicht auswählst, kopiert er nur Dateien ins neue Benutzerverzeichnis und ändert nichts ausserhalb davon.

Wowbagger
Wenn er z.B. einen Account "admin" kopiert und auf dem MBP schon einen mit dem gleichen Namen hat, bin ich mir da nicht so sicher ...

desmo
rechts auf die Gänsefüßchen (Zitation) klicken und zwischen den quotes löschen was weg soll.

Leider kann ich dir zum MI auch nix weiter sagen, habe den auch nur benutzt, um Rechner neu einzurichten. Im Zweifel ist eine externe HD (@@ jogoto) sicher die beste Alternative.

DANKE FÜR EURE HILFE!:-[:-X

jogoto

Dann wird der alte Account mit dem gleichen Namen in den Ordner "Gelöschte Benutzer" verschoben, wie vorhin schon erwähnt.

gaspode: Ob der Mac Admin IMMER ALLES darf, weiss ich nicht, aber bei uns wurden (bis jetzt) alle Benutzer mit den Standard Adminrechten eingerichtet. Damit kannst Du Benutzer anlegen und Software installieren o. deinstallieren wie Du lustig bist!=-O

Alle: Nochmals Danke! Ich werde die so einfache und naheliegende Lösung mit der externen OSX FiWi Platte nehmen.

Warum einfach, wenns auch kompliziert geht.;-):-y

gaspode
Ach gaspode, das ist doch Blödsinn!

1. Admin darf vieles, aber nicht alles (root)!
2. Normalerweise haben Arbeitnehmer keinen Admin-, sondern einen User-Account!
3. Mit Install-DVD lässt sich jedes PW zurücksetzen, ein Admin- und ggf. auch ein root-Account einrichten. Das aber soll ein AN im Unternehmen mal unbemerkt versuchen (und dann auch die Verbindungen zu den verschiedenen Servern (ggf.) wieder vernünftig gebacken kriegen)! Der Admin, der das nicht bemerkt, gehört umgehend gefeuert!

m.E. haben Daten in einem Unternehmen auf einem Rechner eh nichts zu suchen. Einen Rechner muss man jederzeit mit ein paar Handgriffen ersetzen können. Von daher sind User auf einem Server angelegt und haben natürlich keine Admin-Rechte.

gaspode

OS X Server verwendet Open Directory, da lässt sich das auch sehr gut einstellen.
Aber ohne Verzeichnisdienst braucht es ja einen lokalen Admin, der das System einrichten darf (ist bei Windows auch nicht anders).


Ties-Malte
zu 3. Über das Firmwarepasswort lässt sich das Starten von CD, Im FW-Target-Mode usw. verhindern

gaspode
Ich weiß nicht wie das in anderen Firmen ist, aber uns kostet der K(r)ampf mit den "granularen" Rechtefestlegungen einen guten Teil unserer Arbeitszeit. Manchmal ist es uns nach stundenlangem Suchen zu bunt geworden und wir haben die Rechte (an Verzeichnissen etc.) brutal erweitert, damit überhaupt irgendwas lief. Dieses "granulare" Benutzergängelungssystem mit seiner kranken Verzettelung auf Konten, Richtlininen, AD und weiß der Geier wo noch alles, ist der größte Scheiß an diesem dämlichen Windows überhaupt. Die meiste Zeit ist man nur am Suchen wo welche Rechtedefinition sich wie auswirken. Da lobe ich mir ein klares ugo

desmo
Was mich bass erstaunt ist, dass Ihr so eine Geschichte einfach durchzieht.
Das ist ein klarer Rechtsbruch und so etwas kann unter Umständen Vorstrafen geben, auch für Dich.
Die gewonnen Infos dürfen sowieso nirgendwo genutzt werden, sie sind juristisch völlig unerheblich.

Kopfschüttelnd zzz

Ach, und Deine Rechtsauffassung, das Gesetz in die eigenen Hände zu nehmen, die halte ich wenn nicht für anachronistisch und amoralisch so doch für zumindest inkompatibel mit dem Geist unserer Verfassung. Wer will da noch was gegen Schäuble haben?
Ein Unrecht (im Fall dass der Kollege eins begangen haben sollte) rechtfertigt noch lange kein anderes Unrecht.

Wowbagger
Es gibt immer WorkArounds. Wie auch immer, die meisten User interessiert das (Gott sei Dank) nicht.

Tip
Ich gebe dir ja prinzipiell Recht. Manchmal reicht es aber schon, denjenigen (der nicht nur Mist gebaut hat, sondern regelrecht und vorsätzlich betrogen!) mit eben diesen Beweisen zu konfrontieren, um was auch immer… Wiedergutmachung in Form von Überstunden zu erreichen, oder ihm fristlos zu kündigen. Selbstjustiz? Ach… War ja wohl keine gezielte Überwachung aller MA, sondern eine Maßname, um direkt auf Verfehlungen eines Einzelnen zu reagieren. Klar kann man die Gerichte bemühen, das ganze Brimborium, aber manchmal ist ein spontanes und sehr deutliches Gespräch vielleicht die bessere Lösung.

Tip

Wer sich bei einem Firmenrechner auf Privatsphäre beruft, nutzt bereits die absurden Blüten unserer Gesetze und kann, wenn sie dann mal Gesetzt sind, auch nichts gegen Schäubles Vorschläge sagen ...

Tip: Dass ich hier zu moralisch unklaren Mitteln greife, weiss ich und habe mich auch lange damit auseinander gesetzt.

Es ist wie Ties-Malte schreibt. Ich kann auch gleich die Polizei holen, den Rechner sicherstellen und den MA komplett mit Anklage, fristlose Entlassung etc. abservieren. Ich will ihn aber mit seinem Schmuh Konfrontieren und eine friedliche Lösung suchen.

Nur… ähm… sicher, dass derjenige als Mac-User hier nicht mitließt?

gaspode
Deswegen kann man trotzdem lokal als Admin einen lokalen Benutzer anlegen.

gaspode

Bei WIN ist das doch genauso. Entweder Du meldest Dich lokal am Rechner an oder in der Domäne. Nur muss man bei OSX das nicht vorher im Anmeldefenster auswählen, es werden einfach beide Suchpfade nach dem eingegebenen Benutzer durchforstet.
Wenn man also bei WIN den lokalen Admin-Zugang kennt, kann man auch weitere lokale Benutzer anlegen.
Was bei OSX nicht m.W. geht ist einen Benutzer der Domäne zum Admin mit lokaler Berechtigung zu machen.

Ties-Malte, wheeler: Sicher nicht! Das weiss überhaupt nur 1 Mitarbeiter, dass ich hier rumsurfe und ab und wann blöde Fragen stelle.;-)

gaspode
Wieso seltsam? Ist doch bei Windows genauso. Du kannst als (lokaler!) Admin auf dem Rechner auch lokale! Benutzer anlegen wie du lustig bist.

gaspode

Zumindest den lokalen Admin muss man, glaube ich, schon behalten. Wie gesagt kann man einen Netzwerkbenutzer nachträglich nicht mit lokalen Admin-Rechten ausstatten. Man kann aber bei der Ersteinrichtung eines Rechners die Anmeldeinformationen eines Netzwerkbenutzers zur Einrichtung eines Admin-Accounts verwenden, es wird aber trotzdem ein lokaler Admin mit diesen Daten angelegt. Gibt es dann noch einen zweiten lokalen Admin, kann der den ersten löschen oder neue anlegen.
Alternativ kann man natürlich auch vom Server booten, dann braucht man gar nichts auf dem Rechner.

desmo
Ob du das hättest machen können weiß ich nicht. Die Polizei ist auch nicht (immer) blöd und würde dir vermutlich erstmal ein weniger eskalierendes Vorgehen raten.

Vielleicht bin ich weltfremd, aber wenn du eine friedliche Lösung suchst, warum nimmst du den Mitarbeiter nicht einfach - nach einem Komplettbackup der Platte, nur um sicher zu gehen - mal zu einem ernsten Gespräch beiseite? Du kannst ihn dann mit deinen Vermutungen konfrontieren und ihn befragen was er damit vorhatte. Möglicherweise hatte er überhaupt keine bösen Absichten damit und hat nur "herumgespielt". Wenn du ihm mit der harten Tour kommst, hat er eigentlich keine andere Möglichkeit mehr als dir auf die gleiche Art zu antworten.

Also ich hätte bei einem belastbaren Anfangsverdacht die Beweise (sprich: Festplatte) gesichert, ohne da reinzukucken, das Gespräch gesucht und wenn dieses Gespräch ergebnislos verlaufen wäre, dann hätte ich mir erstmal rechtlichen Beistand gesucht und erst wenn wirklich sicher ist, daß der Mitarbeiter Dinge gemacht hat, die er nicht gedurft hätte - vielleicht war deiner nur in der Pause mit dem extra Account unterwegs, da würdest du mit einem Gerichtsverfahren ganz schön dumm dastehen - dann kann man sich überlegen ob man schärfere Maßnahmen ergreift (Abmahnung, etc.). Das Verhältnis zu dem Mitarbeiter ist mit diesem Schritt aber bereits vergiftet und letztendlich kann man die Sache auch mit einer (nicht fristlosen!) Kündigung aus der Welt schaffen.

PS: Also bei allem Verständnis für das Gejaule aus den "hinteren Reihen" Aber das ist kein Täterschutz, sondern Grundlage unseres Rechtsempfindens, nach dem die Schuld immer erst nachgewiesen werden muß und man solange als nichtschuldig anzusehen ist. Ihr geifert nur solange, bis ihr mal selber unter Verdacht geratet, dann werdet ihr plötzlich nach rechtsstaatlichen Methoden rufen. Darauf wette ich

ich muss als "Mitleser" Rantanplan recht geben! Ausserdem sollte ein Chef/Vorgesetzter in solchen Situationen auch immer die Emotionale Hoheit besitzen und sich zu dieser Art Selbstjustiz nicht hinreisen lassen. Ich glaube aber, Du wirst dass schon richtig einschätzen können!

desmo
Also ich finde das Vorgehen auch sehr bedenklich....wir hatten hier das Problem das ein Studi einfach Videos und Musik in grosser Anzahl herunter geladen hat (Aufgefallen ist uns das, weil das Backup auf einmal 80 Gb grösser wurde.)
Wir haben uns dann mit ihm zusammengesetzt, ihm erklärt dass er klar gegen die Bedingungen des Arbeitgebers verstösst und anschliessend die Daten gelöscht (er hatte eine Tag Frist das Zeugs anderweitig zu sichern) Das Ganze lief in ruhiger Stimmung und korrekt ab. Er arbeitet immer noch hier, Probleme gibts keine mehr. Aber einfach rumschnüffeln...nein, das ist schlechter Stil, nicht Legal und provoziert nur Ärger...da bin ich voll mit der Ansicht von Rantanplan einig

MoreilaV: Es geht hier leider nicht um so banale Dinge wir illegales bewegen im WWW oder downloaden irgendwelcher Torrents. Dafür gäbe es eine Abmahnung.

In diesem Fall gehts aber darum, dass Der MA mit einem Kunden auf eigene Rechnung gearbeitet hat und das weiss ich nur unbestätigt aus einer kundenseitigen Quelle:-& Und diese Arbeit wurde wohl während der regulären Arbeitszeit gemacht und meine Arbeit wurd dann auch mal nicht geschafft wie es scheint aus ersteren Gründen:-/

Wegen Webinhalten mach ich nicht so eine Welle. Hier geht um meinen entgangenen Gewinn und meinen verlorenen Kunden.:-&

desmo

Du wirst das schon richtig handhaben