Büyük bir patronu yönetici ayrıcalıklarına ihtiyaç duymadığına nasıl ikna edebilirim?

Bir şirketteki "büyük patron" un "bir şey" kurabilmek ve bilgisayarlarında herhangi bir şey yapmak istediği birçok kez buldum.

Elbette ona bunun kötü olduğunu söyleyebiliriz, çünkü BT sistem yöneticileri bilgisayar üzerindeki kontrolünü kaybeder ve böyle devam eder.

Büyük patronları, masaüstü bilgisayarlarında yönetici ayrıcalıklarına sahip olmamanın daha iyi olduğuna ikna etmek için herhangi bir tartışılmaz tartışma var mı?

Bu konuda çok başarılı olduğum tek zaman bile, bir şeyler kurmak isterse koşuyu alternatif bilgilerle olduğu gibi kullanmaya istekli olan bir patrondu. Sistem yöneticilerinin bile çoğu zaman normal hesapları olan sistemlere giriş yaptığını ve daha sonra sadece özel bir şey yapmak istediğinde kullanabileceği kendi yönetici hesabını yarattığını açıkladım. Aslında çok etkiliydi ve onunla beraber olduğum iki yılda makinasını tamamen mahvetmekten alıkoydu. Bu, tüm çalışmayı bir şey olarak anlayabilen göreceli olarak becerikli bir CEO'ydu ve orada bir şeyleri olduğundan emin değildim, ama en azından onu pasif bir şekilde karıştırmaktan alıkoydu.

Onlara, etki alanı yöneticilerinin erişebileceği aynı erişime sahip olduklarını ve sonra onlara tam olarak verebileceklerini söyleyin:

• Günlük çalışmaları için kullanabilecekleri e-postalarına, belgelerine ve iş uygulamalarına bağlı standart bir kullanıcı hesabı.
• Makinede, o makine için yönetici ayrıcalıklarına sahip ayrı bir hesap (bir yöneticinin etki alanı yönetici hesabına bağlı değil), ancak e-posta hesaplarına veya mevcut oturum açmış kullanıcı temelinde kimlik doğrulaması gerektiren herhangi bir ticari uygulamaya bağlı DEĞİLDİR, ve ayarlanmış herhangi bir yazıcı yok. Bu hesap , günlük kullanım için iyi olmayacak şekilde tasarım nedeniyle kırılmalıdır .

Buradaki fikir, imtiyazlı hesabın, çoğu zaman standart bir kullanıcı olarak giriş yapmanın daha az acı verici olmasını sağlayacak kadar kırılması gerektiği; patron, imtiyazlı hesabı sadece gerçekten ihtiyacı olduğunda kullanmak isteyecektir. Büyük patronlar hemen hemen her zaman e-posta ve rapor sistemlerine erişime çok güveniyor, bu nedenle ayrıcalıklı hesaptan bunlara erişmeyi biraz daha uygun hale getirebilirseniz, iyi durumdasınız. Patronunun yarısı, neyse ki, sadece kimlik bilgilerini unutacak.

Bu hala onları tatmin etmiyorsa, devam edin ve tam bir etki alanı yöneticisi / kök hesabı verin, ancak yine de normal çalışma hesaplarından ayrı bir hesap olarak yapın - sonuçta, onlar patrondur. Hesabın yoğun bir şekilde denetlendiğinden emin olun. Bu noktada, genellikle aradıkları şey genellikle bir sigorta poliçesi ya da haydut bir yöneticiye karşı korunma; Onlar gelirse, paranın onlarla durduğunu hissetmeleri gerekir ve günlük işlerinde standart bir kullanıcı hesabına sahip oldukları sürece bu konuda yanlış bir şey yoktur.

Hiçbiri, onları umutsuzca topladığında bilgisayarını temizlemenin en az 3 ila 4 saat süreceğini bilmeleri dışında.

Sadece adil uyarı ..

Ben sadece sözleşmeli iş yapıyorum, bu yüzden Müşterilerim bana ne söylüyorsa onu yaparım veya gerçekten beğenmezsem sözleşmemde "kurtarma maddesini" kullanırım.

Bunu akılda tutarak, çoğu insan bugün bir tür "kötü amaçlı yazılım" deneyimine sahipti. Müşterilerle, tarayıcı hataları, vb. Yoluyla çalıştırdıkları kötü amaçlı yazılımların, oturum açtıkları kullanıcı hesabıyla (e-postalarına ve tuş vuruşlarına erişim dahil olmak üzere, kaynaklardan bahsetmemek dahil) aynı haklara sahip olduklarını, sunucuları).

Normalde "Neden antivirüs yazılımı bununla ilgilenmiyor?" Gibi bir soru alıyorum. Daha sonra "silah yarışı" konuşmasını yaptık - kötü amaçlı yazılım kullanıcılarının sizin yaptığınız kötü amaçlı yazılımdan koruma yazılımlarına aynı güncelleştirmeleri nasıl indirdiği ve yeni "imzalar" vb.

Tüm bilgisayarlarımda sınırlı kullanıcı hesapları kullandığımı (ve bunu yıllarca yaptım) açıklayarak hepsini üstlüyorum.

Beni, kullanıcıları sınırlı kullanıcı hesaplarıyla çalışmaya ikna etmek için almamın tek yolu bu. Birkaç durumda, kullanıcının ilk önce kötü amaçlı yazılım deneyimi yaşamasına izin vermek zorunda kaldım (bu değişmez bir şekilde olur), ancak hizmetlerim tipik olarak ekli ilgili giderin çok net bir göstergesiyle geldiğinden, genellikle yalnızca bir kez olur.

Genellikle "Yönetici" düzeyindeki kullanıcıları, kullanıcının erişmesi gereken bilgisayar sayısına bağlı olarak, yerel hesaplar veya etki alanı hesapları (kullanıcı hesabına gerçekte "hesap" vermekle sınırlı gruplar politikasıyla birlikte) oluşturur. Emin olmak değil günden güne kullanıcı hesabı tarafından kullanılan gruplarının herhangi birinde olarak adlandırmak üzere ve değil onu kendi Exchange posta kutusuna erişim vermek. "Yönetici" seviyesi hesabının PC'lerine yazılım / sürücü yüklemek dışında herhangi bir şey için mümkün olduğunca yararsız olmasını istiyorum.

Bu strateji beni çok sıkıntıya soktu ve Müşterilerime önemli miktarda para kazandırdı. Yapmanız gereken konuşmaları yapmak "insan becerilerini" alır ve müteahhit olmak kesinlikle bu konuda yardımcı olur, ancak bu kesinlikle üstesinden gelinebilecek bir sorun.

Onu yanlış olduğuna ikna etmeye çalışmak yerine, belki de uzlaşmanın bir yolunu bulmalısın. Belki de VMware'in bir kopyasını kullanabileceği bir konukla çalıştırmasına izin vermiştir. Yapması gereken şeyi, onu hala istikrarlı bir yönetimle bırakacak şekilde başarması için ona yetenek vermeye çalışın.

Gerçekten, muhtemelen iş başında ya da güvenilir bir bilgisayara sahip olabileceğini ve arıza yaptığında geri yüklenebileceğini ya da bilgisayarını kaybettiğini bilmeniz gerekir çünkü sistemde tam olarak ne olduğunu ve nerede ve nasıl düzeltileceğini biliyorsunuzdur. medya. Ya da sorumlu olduğu bir bilgisayara sahip olabilir ve bilgisayar bozulduğunda biçimlendirmek ve yeniden kurmaktan başka bir şey yapabileceğinizi garanti edemezsiniz.

Riskleri ve ne yaptığınızı iletmeye çalışın ve bir uzlaşmaya varmaya çalışın. Bir VM, çift önyükleme kurulumu veya ihtiyacı olan / istediği esnekliği sağlayan ancak yine de istikrarlı bir sisteme izin veren bir şey kurmayı düşünün.

Maalesef, maaşınızı imzalayan adama yapabileceğiniz fazla bir şey yok. :-)

Size verebileceğim en iyi (pratik) tavsiye, sistemi için iyi bir yedekleme rutininin olduğundan emin olmak ve onun çılgına dönmesine izin vermek olacaktır. LOL

Bu gerçekten aşağı kaynar:

1. Birisinin sürücü koltuğunda olması gerekir. Onun şirketi o kadar açık ki patron o. Yapabileceğiniz en iyi şey onu en iyi hareket tarzına (her şeyle) göre TAVSİYE ETMEK ve daha sonra "bilinçli bir karar" vermesine izin vermektir. Senin tavsiyene uymazsa ... ve bir perişan varsa ... dinlememek için onun HIS hatası.

2. Tavsiyenizi yerine getirirse ve bir vidalama varsa ... kararını vermesi nedeniyle hala HIS hatası. Unutma, sürücü koltuğunda HE's var.

Şimdi ... bu sana zaman zaman garip bir görünüm kazandıracak ... hatta bir kıkırdama veya bir gülme.

Ancak, FARKINLIĞINIZI ... açıklamayı SİZİN pisliklerinizi temizlemeniz (ücretsiz) ve durumu çözmek için elinizden gelenin en iyisini yapın. Diğer temizliği için size para ödüyor ve 5-10 dakika boyunca ona "vaaz verme" hakkını saklı tutuyor ve dinlemeyi kabul ediyor.

FUNNY tarafında tutmaya çalışın.

Bir işletme sahibine bu mantığı açıklamakta hiç problem yaşamadım. Çoğu zaten bunu biliyor. Künt (henüz yumuşak) terimlerle açıklamak sadece eğlenceli. ;-)

Ona şirketin geri kalanının izlemesi gereken örneği gerçekten koyması gerektiğini söyle.

Eğer (en kötü durumdaki) dizüstü bilgisayarını "internet siteleri" ile "kişiselleştirmeye" başlarsa, Satış Direktörü olacak, Finans Direktörü olacak, Satış Direktörü Yardımcısı, Satış görevlisinin isteği, teknisyenler, müşteri hizmetleri vb. .

Daha sonra, a) İŞ ALTYAPISI riskinin arttığını (tüm müşterinizi bulma ve internette bilgi sipariş etme lüksünün), b) organizasyonda gevşek bir güvenlik ve profesyonellik kültürü oluşturduğunu ve c) desteklemenin çok daha pahalı olduğunu açıklayın. ve azalan güvenilirlik.

Bir oyun makinesi istiyorsa, onu kendi bilgisayarında yapmasına izin verin, ancak bir iş bilgisayarı / Dizüstü Bilgisayar / Ekipman iş amaçlıdır.

Bu yetişkin bir şey ...

Buradaki cevapların tek taraflılığını anlamıyorum. Büyük peynir, büyük peynirin istediğini alır.

Teknik olmayan bir yönetici kendi yapımıyla başa çıkacak mı?

Belki - ama yeteneklerini göstermek ve çekleri imzalayan adamla bir süre yüzleşmek için ilk elden bir yetenek elde etmek için bir fırsat olarak bakın. Yetenekli bir genç yönetici CEO’ya maruz kalmak, çocuğa yüzyüzünü vermek için harika bir yoldur ve terfi sürecini kolaylaştırır ... "Geçen ay günü kurtaran adamı hatırla ..."

Ya da, huysuz, kitaptan geçen yaklaşımı alabilir, CEO'yu sinirlendirebilir ve patronunuza mide ekşimesi verebilirsiniz.

Bu konuyu tamamen gözden kaçırdım ve CEO’ya çok pahalı, çok yüksek bir son (o sırada) Mac iş istasyonunu dev bir stüdyo ekranıyla aldım. Münhasırlığı severdi, onun içinde yaşayabileceği biraz daha az sorun olduğu gerçeğini sevdim. Sadece olaylara göz kulak olabilmek için ssh ile üst sıralara çıkma yeteneğimi sürdürdüm. Neyse ki o bir dizüstü bilgisayar değildi.

Ona çok az Hastane Patronunun Beyin Cerrahisi veya bu konuda herhangi bir Cerrahi İşlem gerçekleştirdiğini söyleyin.

Patronun makinesine bir şeyler yüklemesini engellemek yerine, kaçınılmaz olarak devre dışı bıraktıktan sonra bir virüs bulaştığında, kaçınılmaz bir şekilde virüs bulaştığında bilgisayarının BT sisteminizin geri kalanının zarar görmesine neden olmasının bir yolunu bulmanın daha iyi olacağını düşünüyorum. virüs tarayıcısı.

Bu soru ortaya çıkıyorsa, kuruluşun bu tür bir taleple başa çıkmak için açık politikaları olmadığını tahmin ediyorum. Eğer bunlar yerinde olsaydı, hiç olmazdı, ya da ayrıcalıkları almak için özel taleplerde bulunurdu. Yoksa poliçeyi ihlal etmeni isterdi. aaaa.

Yapabileceğin bir şey yok. Biri bunu alamazsa ya da patronun ya da kuruluşun olası riskleri tanımadığında sihirli bir argüman yoktur. Duruşu alabilir ve hayır diyebilirsiniz ve bu işe ya da çalışmayabilir ve kötü duygulara yol açabilir.

Alt satır: Bir patron, yönetici olarak çalışan kullanıcılar ile ilgili tercih edilen tedavinin veya riskin ortaya çıkmasıyla ilgilenmiyorsa VE siz (ya da borcunuz) isteği reddetme konusunda onaylanmış bir yetkiye sahip değilseniz, o.

Yapabileceğiniz en iyi şey "bu en iyi teknik uygulamaya karşıdır" ifadesini formüle etmeye çalışmak, eşyalarını geri almak ve kasabaya gitmesine izin vermek.

Yöneticilerin çoğunun iki bilgisayar kullanım stilinden birine sahip olduğunu buldum: ya bilgisayarları kullanmaktan daha önemli şeyler yaptıkları için ya da son derece kullanışsızlar ya da oraya girip uğraşmayı seviyorlar.

Hands-off yöneticileri sorun değil - bilgisayarlarını kurdunuz, ne yapabileceklerini ve yapamadıklarını söyleyin ve bir şeyler yüklemeleri gerekiyorsa her zaman orada olduklarından emin olun (ve mümkün olduğunca çok seçeneğe sahip - örneğin yerel bir hesaba erişimsiz, VPN üzerinden test edilmiş uzaktan erişim vb.).

Benim durumumda, bilgisayarlarına bir şeyler kurmak veya yapılandırmaktan hoşlanan yöneticilerin ve VP düzeyindeki kişilerin neredeyse tamamı bir noktada bilgisayarlarını öldürdü, bu yüzden bilgisayarlarını kilitlemekle ilgili çok fazla sorun yaşamadık. Onlardan birkaçı onları mutlu etmek için yerel yönetici hesabından bahsetmek zorunda kaldık, ama bizi dahil etmeden veya en azından bize sormadan bir şey yapmanın risklerini anladılar.

Ancak cumhurbaşkanı, sistemini öldürdüğü zaman ne kadara mal olacağını asla anlamadı, ancak son çözümümüzü bir çözümde denemeden önce emekli oldu: biri standart tüm eşyalarımızla kilitlenmiş iki bilgisayar alacağız. yüklendi ve ikincisini, düşkünlüğüne zarar veren her şeyi yükleyebildi. Netbook kullanılmadan çok önce küçük defterleri severdi, bu yüzden ikisini de taşıyabileceğini düşündüm, ancak sadece bir güç kaynağı vardı.

Yönetici ayrıcalıklarına sahip olmanın, bilgisayar korsanlarına, şirket sırlarını çalabilecek, verileri tahrip edebilecek veya kötüye kullanma servislerine veya verileri tahrip edebilecek veya bilgisayar korsanlığı suçlarına açabilecek bir botnet'in parçası olmasına neden olabilecek virüslere karşı daha duyarlı hale getirdiğini açıklayın. eğer bir DoS saldırısına ya da benzerlerine katılırlarsa.

Ayrıca, bir şeye yanlışlıkla zarar verirlerse, siz düzeltmeye çalışırken birkaç saat (veya gün) bilgisayarsız olabileceğini de açıklayın. Yönetici ayrıcalıklarına sahip değilse, o zaman işleri kırmak için daha az yetenekleri olacaktır.

En başından beri bilişim politikalara ihtiyacımız - teknik çözümler her zaman onlara dayanır, değil tersi, yönetici olmayan kullanıcı hesapları gibi bazı teknik kurulumları bize olursa olsun görünüyor nasıl bariz.

Ona sahip olduğu ayrıcalıklarla yapamayacağını düşündüğü şeyi sordum. Bunun dışında, ona yönetici haklarını ver. Aşırdığında fazla mesai kontrolünü imzalar.

Yaptığımız şey, daha önce ne söylendiğini açıklamaktır ... bir sistemi temizlemek zorunda kalırsak, bu onların sistemi o zaman için olmadıkları anlamına gelir. Ayrıca hızlı bir değerlendirme yapmak için sıkı bir politikamız var. Temizleme bir saatten daha uzun sürerse veya enfeksiyonun derecesini hızlı bir şekilde değerlendiremezsek, sistemi yeniden görüntülüyoruz. İcra ile ilgili olarak, bununla ilgili sorun şu anda tüm oyuncakları gitmiş durumda. Fakat sistemde ne olduğunu ya da tüm kurulum paketlerini nereden alacağımızı bilmediğimizden ... fikri anladınız. Böyle bir kaldıraç olmayabilir ama denemeye değer.

Sonuçta, büyük patron kendisi için neyin kabul edilebilir olduğuna ilişkin bir iş kararı vermek zorundadır. Teknik olarak istediğimiz kadarıyla aynı fikirde olmayabiliriz, ancak bu bizim işimiz değil. Bu kararla yaşayamazsak, her zaman başka bir yerde iş bulma seçeneğine sahibiz.

Bu arada, bu argümana yardımcı olacak bir kaynak arıyorsanız, aşağıdaki siteye göz atın : Threatcode.com . Bilmiyorum güncel tutuluyor, ama geçmişte lanse edildi.

Eğer gidip ödeme yapmayı imzalayan adamla "bunu yapamazsın" dersen çeke gidersen kaybedersin!

Her zaman olduğu gibi, bunun üstesinden gelmek için çevirip dönmeniz gerekir. Cevap, neden yönetici olmak istediğini anlarsanız bulunur.

Eğer teknikse, onu ikna edebiliyor olabilirsiniz, ancak “güç” ve patronunuz olmanız durumunda, şansınızı kaçırmayın. Bir patronu, patronluk yaptığı kişilere göre daha az ayrıcalıklara ihtiyaç duyduğuna ikna etmek çok zordur, bu muhtemelen kendi bakış açısına göre kendisinden daha fazlasını yapmalarına izin verdiği ve normal hiyerarşiyi aşağıya çevirdiği anlamına gelir ( ve çoğu patron bundan hoşlanmaz).

Bu yüzden sözlerinizi özenle seçin ve bu sorunun insan tarafını unutma.

\ computername \ c $ bilgisayarına, tüm belgelerini oku, kopyala, farklı bir yere yapıştır ve daha sonra bir korsanın kendi sistemine ne yapabileceğini ve virüs bulaşırsa tüm kişisel bilgilerini yapabileceğini gösteren bir örnek sun çünkü garip sitelere göz atmak veya bir yerden ücretsiz oyun indirmek istedi.

Muhtemelen kovulmana neden olacak. Daha önce durumdaydım ve bu da kazanamayacağım bir durum. Şu an başka biriyim. Kullanıcılara yerel yönetici hakları verme konusunda sıkıntı vermeyen bir şirket için çalışıyorum. HER ZAMAN virüs / casus yazılım / kötü amaçlı yazılım sorunlarımız var. Her şeyden öte, bizim masaüstü adamımız bir noob ama interneti icat etmiş gibi çok ukala.

Neyse, ben bir ağ yöneticisiyim. Sadece gerçekten kötü siteleri engelliyorum ve işleri başımdan almamaya çalışıyorum, ancak aptal kullanıcılar her zaman bir yol buluyor gibi görünüyor. Masaüstü adam için fazla bir şey yapmam gerekmediğine sevindim.