'Kullanıcılara' yönetici bilgisayarlarına erişim izni vermek normal mi?

Çalışma bilgisayarının yöneticisi olmak isteyen bir kullanıcım var, onsuz nasıl çalışamayacağı hakkında bir hikaye anlattı, bu yüzden "düzeltmek" (sanki oturum açmış bir hata gibi) Bir kullanıcı!).

BT iş arkadaşlarım ve ben, virüs / kötü amaçlı yazılımın ayak tutması ve bir saldırıyı dağıtmak için kendilerini sunucu olarak kurması nedeniyle yönetici olarak giriş yapmıyoruz (evet bu geçmişte gerçekleşti).

Ağ kullanıcılarınız için 'norm' nedir ve yönetici erişimi taleplerini nasıl ele alırsınız?

Teşekkürler

Şu anda kullanıcılar için üç destek seviyemiz var:

1. Tam destek. Kullanıcılar sadece temel erişime ve standart bir uygulama setine sahiptir
2. Sınırlı destek. İşletim sistemi ve tedarik uygulamalarının merkezi yamalarını yapıyoruz. Kullanıcının root erişimi var.
3. Destek yok. Kullanıcıya internet bağlantısı sağlıyoruz. Kullanıcı, yazılım ve düzeltme eki dahil olmak üzere bilgisayar için sorumluluk alır. Ağı sorunlar için izleriz ve bir sorun varsa kullanıcıyı keseriz.

Bu şekilde kullanıcılar istediklerini seçebilir ve hem BT personeli hem de kullanıcılar için etkisini en aza indiririz. Kullanıcılara uygun bir destek seviyesi seçmeleri konusunda güvenilebileceğini tespit ettik. Kullanıcıları varsayılan olarak kilitlemenin verimlilik açısından çok maliyetli olduğunu hissediyorum.

Benim görüşüm :

1 / Yönetici hakları KÖTÜdür. Ve kötü amaçlı yazılımın tek nedeni bu değil. Başka bir ve genellikle daha büyük bir sorun, birçok kullanıcının nasıl destekleyeceğini bilmediğiniz veya zaman içinde durdurulan uygulamaları ekleyecek olmasıdır. Sonuç? Üç ya da dört yıl böyle bir şey yaşarsınız ve bir sebepten ötürü, iş açısından kritik bir süreç kimsenin bilmediği ya da kalan adam arkadaşı tarafından geliştirilen bir uygulama kullanılarak ele alınır. şirket ya da her neyse. Mesela Lotus 1-2-3 kullanarak BÜYÜK ve gerçekten ÇOK FAYDALI bir uygulama geliştiren bir müşterim var. Çok eski bir versiyon. Bu, Windows 98'den daha sonraki bir işletim sisteminde çalışmaz. Ve bunu yapan adam şirketten ayrıldı. Sorunu görüyor musunuz?

2 / SOMEONE'un yönetici haklarına sahip OLMAMASI gerekiyorsa , geliştiricilerdir . Çünkü onlar yöneticiyse, yazılımlarını kodlama yönergelerine uygun olarak yazmak için HERHANGİ çaba göstermeyeceklerdir. Sonunda yönetici haklarının çalıştırılması GEREKEN uygulamalar yazacaklar. Hangi kötü.

Ben sistem yöneticisiyim ve yönetici hakları OLMADAN (bilgisayarımın yerel yöneticisi bile değil) çalışıyorum. Onlara ihtiyacım olduğunda, yönetici görevim için onları yakalarım. Bu benim hayat kurtarıcım. Hata yapabilirim ... Yönetici haklarına sahip hatalar korkunç olabilir.

Son kullanıcının daha yüksek ayrıcalıklara sahip olması için ticari gerekçe olabilir. Genellikle, şirket kültürünüz tarafından belirlenir.

En iyi BT politikası, varsayılan olarak bir iş işlevini gerçekleştirmek için gereken en az ayrıcalıklara ayarlanmasıdır. Gerekçelendirme varsa ve daha az ayrıcalığı korumak için teknik çözümler yoksa, ek erişim için bir iş gerekçesi vardır.

Bazı teknik şirketler tüm kullanıcılara yerel yönetici erişimi vermeyi tercih eder. Diğerleri, sadece teknik personel.

Bölümümde: gerekçe olmadan erişim sağlayamıyorlar. İş istasyonuyla ilgili olarak, yerel yönetici erişimi: teknik kullanıcılar genellikle alır. Şirkete risk getirmeleri halinde, bireysel olarak yeniden değerlendirilebilir. Ortalama teknik olmayan bir çalışan bunu yapmaz. Hiçbir zaman herhangi bir öneme sahip kötü amaçlı yazılım olayı yaşamadık ama genel olarak sıkı bir gemi işletiyoruz.

Ayrıca bugün daha önce burada bulunan sorunuzla ilgili bir soruyu cevapladım . Erişim kontrol politikası ve prosedürü ile ilgili bazı temel ilkeleri kapsamaktadır.

Hayır hayır Hayır Hayır Hayır!

Yönetici haklarına sahip bir kullanıcısı olan hiçbir bilgisayar ağınıza bağlanmamalıdır. Kesinlikle şirkete ait hiçbir bilgisayarın kullanıcı yönetici hakları olmamalıdır:

• Kullanıcılar istenmeyen programlar yükler - P2P / Torrents vb.
• Kullanıcılar BT departmanının sorumlu olduğu şirkete ait bir makineye korsan / lisanssız yazılım yükler.
• Kullanıcılar genellikle uyumsuz güncellemeleri indirerek bilgisayarlarını "keser"
• Bilgisayarları daha az güvenlidir - Windows 7 güvenlik açıklarının% 90'ı sınırlı kullanıcı olarak çalıştırılarak azaltılır

Kullanıcılardan nefret etmiyorum, ancak bir BT departmanı kendi kendine bilgisayar sorunlarını sürekli olarak düzeltmeleri gerekiyorsa işi etkili bir şekilde yapamaz.

Neden kullanıcılar (geliştiricileriniz varsa geliştiriciler hariç) yönetici erişimine ihtiyaç duymalıdır.

Uygulamaları yüklemek için?

Uyumluluk için uygulamaları test etmek için çok fazla zaman ve çaba harcıyoruz, ardından belirli bir sürümde standartlaştırıyoruz. Lisans bilgilerini koruyoruz ve yüklediğimiz her şeyi desteklemeyi kabul ediyoruz.

Yönetici erişimi gerektiren uygulamaları çalıştırmak için?

Hey, artık Windows 98 kullanmıyoruz. Yönetici hakları gerektiren standart bir işletme uygulamasını hatırlayamıyorum. Biri ilk etapta izin vermezdik.

Güncellemeler?

WSUS / ASUS bunun içindir. Çoğu kullanıcı en yeni grafik kartı sürücülerine ihtiyaç duymaz - onlar oyuncu değildir!

Ya [buraya sebep girin] yönetici olarak çalışmak zorunda olsaydı?

Daha sonra, muhtemelen kendi alanlarında, eğer yeterince varsa, ağın geri kalanından tamamen ayrılırlar. En önemlisi, beklentilerini yönetiyoruz - kırıyorsunuz, düzeltirsiniz - normal SLA çözüm süreleri geçerli değildir.

Çok sayıda son durum var, ancak bölümümüzü çalıştırmayı hedefliyoruz, böylece hiçbir kullanıcı yönetici erişimine ihtiyaç duymamalı ve hatta istememelidir. Kullanıcılarınızın yönetici hakları varsa, 'ağınızı' kontrol etmek istemezsiniz.

Tipik olarak, çalıştığım yerde, yazılım geliştiricilerin yönetici erişimi vardı ve genellikle başka hiç kimse yoktu.

Anlaştığım bir yerde, iyi bir fikirleri vardı. Yönetici erişimi elde etmek için, bilgisayar sorunları hakkında BT'yi aramak zorunda kalsaydım veya bilgisayarımdaki başka bir sorun fark ederse, on beş dakika boyunca düzeltmeye çalışacağını kabul eden bir formu okumalı ve imzalamalıydım. silme ve yeniden görüntüleme.

Önceki cevaplardan da görebileceğiniz gibi, bunun için bir norm yoktur. Bununla birlikte, En Az Ayrıcalıkların Altın Kuralı vardır. Bu, kullanıcının işini yapmak için gereken minimum erişim haklarına sahip olması gerektiği anlamına gelir. Özellikle Windows dünyasında, bazı kullanıcıların (örn. Programcılar) tam yönetici hakları gerektirdiği anlamına gelmez.

Söz konusu kullanıcıdan, kullanıcı olarak ne yapamayacağını belgelemesini ve sorunun tam yönetici haklarından daha az bir şeyle çözülüp çözülemeyeceğini görmenizi istemenizi öneririm. Sorunları belgelememekte ya da istemiyorlarsa, iddianın asılsız olduğu ve bu nedenle herhangi bir değişiklik gerektirmediği yönündeki bir davayı yönetime sunabilirsiniz. Elbette bunun ne kadar iyi gittiğine bağlı olarak, kuruluşunuzda kimlerin emdiğine bağlıdır.

Birisi yerel makinelerinde gerçekten yönetici haklarına ihtiyaç duyarsa, sanal kutusu olarak Virtual Box / Vmware Player gibi bir şey kurmaya cazip olurum. Sandbox'ında istedikleri her şeyi yapmalarına izin verin ve Host OS'de diğer herhangi bir makine gibi kilitlenecekler.

Spesifikasyonlar, belirli bir sistem için beklentilere büyük ölçüde bağlı olacaktır.

• Kullanıcı (ve yöneticileri) bu kullanıcının yedeklemelerden sorumlu olmasını istiyor mu?
• Kullanıcı, bir şey hızlı bir şekilde düzeltilemezse, onu bir diskte patlayıp hemen biçimlendireceğinizi düşündüğü için kabul edebilecek mi?
• Kullanıcı ve yönetici, lisanssız yazılım, güvenlik ihlalleri, ağdaki diğer sistemlerin zarar görmesinden kaynaklanan yasal sorunların sorumluluğunu almaya hazır mı?