我有一个用户想成为他的工作PC的管理员,他提出了一些有关如何不使用它就无法工作的故事,所以我被告知要“解决”(好像这是他以用户!)。
我的IT同事和我没有以管理员身份登录,因为病毒/恶意软件站稳了脚跟,并将自己设置为服务器来分发攻击(是过去发生的情况)。
您的网络用户的“规范”是什么?如何处理管理员访问权限的请求?
谢谢
Answers:
我们目前为用户提供三个级别的支持:
这样,用户可以选择他们想要的东西,并且我们将对IT人员和用户的影响降到最低。我们发现可以信任用户选择适当级别的支持。我感觉默认情况下锁定用户的工作效率非常高。
我的两分钱:
1 /管理员权限不正确。恶意软件并不是唯一的原因。另一个且通常更大的问题是,许多用户将添加您不知道如何支持的应用程序,或者随着时间的推移而终止使用这些应用程序。结果呢?像这样三到四年,您最终会哭泣,因为出于某种原因,关键业务流程是使用一个没人知道的应用程序来处理的,或者是由一位左撇子的人开发的应用程序公司或其他。例如,我有一个客户,他们使用Lotus 1-2-3开发了一个BIG,并且确实非常有用的应用程序。一个非常旧的版本。在Windows 98或更高版本的操作系统上都无法运行该软件。这样做的人离开了公司。看到问题了吗?
2 /如果SOMEONE不应该具有管理员权限,则为开发人员。因为如果他们是管理员,他们将不付出任何努力来编写遵循编码准则的软件。他们最终将编写需要管理员权限才能运行的应用程序。不好
我是系统管理员,但没有管理员权限(甚至不是计算机的本地管理员)正在运行。当我需要它们时,在执行管理任务时会抓住它们。那是我自己的救星。我会犯错误...管理员权限的错误可能会很可怕。
最终用户拥有更高的特权可能会有商业理由。通常,这取决于您的公司文化。
最好的IT策略是默认执行工作功能所需的最小特权。如果有正当理由,并且没有用于维护较小特权的技术解决方案,那么对于附加访问权限,就有商业理由。
一些技术公司选择为所有用户提供本地管理员访问权限。其他人,只有技术人员。
在我的部门中:没有理由,他们就无法访问。关于工作站本地管理员访问权限:技术用户通常会获得它。如果他们给公司带来风险,则可以根据个人情况进行重新评估。普通的非技术员工则没有。我们从未发生过任何重大的恶意软件事件,但总的来说,我们运行得很顺利。
我也在今天早些时候回答了一个问题,这与您在这里的问题有关。它涵盖了与访问控制策略和过程相关的一些基本原理。
不,不,不,不,不!
具有管理员权限的用户的任何计算机都不应进入您的网络。当然,任何公司拥有的计算机都不应该具有用户管理员权限:
我不讨厌用户,但是,如果IT部门不断需要解决自身造成的计算机问题,那么IT部门就无法有效地完成工作。
到底为什么用户(开发人员,如果有的话,除外)需要管理员访问权限。
要安装应用程序?
我们花费了大量的时间和精力来测试应用程序的兼容性,然后在特定版本上进行标准化。我们维护许可信息,并同意支持我们安装的所有内容。
要运行需要管理员访问权限的应用程序?
嘿,我们不再运行Windows 98。我不记得需要管理员权限的标准商业应用程序。如果有的话,我们首先是不允许的。
更新?
这就是WSUS / ASUS的用途。大多数用户不需要最新的显卡驱动程序-他们不是游戏玩家!
如果[在此处插入原因]必须以管理员身份运行怎么办?
然后,将它们与网络的其余部分完全隔离,如果在他们自己的域中,如果它们足够的话。最重要的是,我们要满足他们的期望-打破它,解决它-正常的SLA解决时间不适用。
有很多极端的情况,但是我们的目标是管理部门,因此,任何用户都不需要管理员权限,甚至都不需要管理员权限。如果您的用户具有管理员权限,那么您就无法控制自己的“网络”,这绝对不是我所希望的情况。
如果某人确实需要在其本地计算机上具有管理员权限,那么我很想设置诸如Virtual Box / Vmware Player之类的内容作为其沙箱。允许他们在沙箱中执行所需的任何操作,并且在主机操作系统上,它们将像其他计算机一样被锁定。
具体细节在很大程度上取决于对特定系统的期望。