在有限的Windows用户帐户下强制开发人员[关闭]

我目前正在与一家公司谈判，为什么一台不在域网上并具有完全管理员权限的机器是开发人员完全工作所必需的。

我正在寻找证据来特别支持/反驳这一点，例如

• 无法运行使用系统软件的程序，即XAMPP / WAMP，VPN软件等。
• 无法安装或更新程序。

作为开发人员，我总是使用用户帐户进行安全的日常工作。这可以通过公司政策来实现，因为人们不喜欢限制，这将是第一次很难。当我实施有限的用户策略时，我在100个工作区办公室中的管理工作很少，一个月之前就是病毒噩梦。对于某些情况，如果人们仍然需要提升他们的任务。我使用了自己的runas版本，仅限于运行特定的应用程序。请查看http://sourceforge.net/projects/sudowin/ 此外，您可以通过设置Power User并使用策略编辑器来解开用户权限。

1. 开发人员应该完全控制他们的开发环境。他们需要能够安装，卸载，配置和使用开发工作代码所需的任何软件。拥有有限的帐户意味着他们对机器的控制较少，可能无法安装或运行关键软件。
2. 有时，开发人员使用的软件要求以管理员权限启动它。例如，如果您正在开发Azure云服务并希望从Visual Studio进行测试，则需要以管理员身份运行Visual Studio，否则IIS将无法启动。
3. 开发人员需要的99％的软件至少获得了一个他们还没有但需要的更新。通常，此类更新需要管理员权限才能进行安装。
4. 开发人员比普通用户更不可能滥用他们的管理员权限，因为他们具有更多的计算机知识，并且知道如何正确处理计算机。

另一个角度是成本：开发人员需要经常向管理员询问密码是开发人员和管理员的巨大时间。如果他没有得到密码，他很可能会阻止他的代码进展。

限制访问的一个常见原因是该软件也应该能够在有限的帐户上运行。这可以在虚拟机上轻松完成。

另见：https：//security.stackexchange.com/questions/14967/risks-of-giving-developers-admin-rights-to-their-own-pcs

开发人员不是系统管理员，有充分的理由。他们中的很多人不知道是什么让计算机打勾并分发管理员权限会给很多系统管理员带来很多额外的工作！（说出15年的经验）。开发人员需要在他们需要的地方拥有完全的权利，而不是其他地方。正确配置所有内容需要一点时间，但这当然不是不可能的。

只需为您的用户提供适当的权限，将其置于具有执行日常任务所需权限的自定义组中。我一直在银行业环境中担任开发人员，他们将所有级别的安全性作为首要任务。公司中唯一拥有完全管理权限的人是系统管理员。与大多数公司不同，即使是顶级经理（如CEO，CFO等）也不允许做任何他们喜欢的事情。

但同样，你需要善于作为系统管理员并花一些时间为你的开发人员做一个好的配置，这样他们就可以在没有任何抱怨的情况下正确地完成工作。最糟糕的情况是，他们总是可以在受控测试环境中执行测试，在这些测试环境中他们可能拥有一些额外的权利来评估具有完全权限的客户可能会遇到的情况 这些测试环境甚至可以是具有有限或无网络访问且可轻松恢复的虚拟机。