เป็นเรื่องปกติหรือไม่ที่จะให้สิทธิ์ผู้ดูแลระบบ 'ผู้ใช้' กับพีซีของ บริษัท

13

ฉันมีผู้ใช้ที่ต้องการเป็นผู้ดูแลระบบพีซีที่ทำงานของเขาเขาได้เล่าเรื่องราวเกี่ยวกับวิธีการที่เขาไม่สามารถทำงานได้โดยปราศจากมันฉันจึงบอกให้ "แก้ไข" (ราวกับว่ามันเป็นความผิดที่เขาเข้าสู่ระบบในฐานะ ผู้ใช้!)

เพื่อนร่วมงานไอทีของฉันและฉันไม่ได้ลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบเนื่องจากไวรัส / มัลแวร์ได้รับการพักเท้าและตั้งค่าตัวเองเป็นเซิร์ฟเวอร์เพื่อกระจายการโจมตี (ใช่สิ่งนี้เกิดขึ้นในอดีต)

'มาตรฐาน' สำหรับผู้ใช้เครือข่ายของคุณคืออะไรและคุณจัดการกับคำขอการเข้าถึงของผู้ดูแลระบบอย่างไร

ขอบคุณ

permissions

— Phillipe B
แหล่งที่มา

3

หากคุณคัดค้านการให้สิทธิ์ผู้ดูแลระบบแก่เขาคุณมีหน้าที่รับผิดชอบในการตรวจสอบให้แน่ใจว่าเขามีสิทธิ์การใช้งานขั้นสูงและการเข้าถึงที่เปิดใช้งานล่วงหน้าเพื่อให้พวกเขาไม่พบอุปสรรคในรูปแบบอาหาร สิ่งนี้ยากมากที่จะคาดหวังในระบบ Windows เนื่องจากความซับซ้อนของซอฟต์แวร์ในปัจจุบัน ตัวอย่างเช่นพวกเขาอาจเห็นพฤติกรรมแปลก ๆ ในแอปพลิเคชันและหลังจากการแก้ไขปัญหาหนึ่งวันพบว่าแอปพลิเคชันล้มเหลวในการอ่านการตั้งค่ารีจิสทรีบางอย่างที่ผู้ใช้ไม่สามารถเข้าถึงได้อย่างเงียบ ๆ

— AaronLS

12

ขณะนี้เรามีการสนับสนุนสามระดับสำหรับผู้ใช้:

สนับสนุนอย่างเต็มที่ ผู้ใช้มีการเข้าถึงขั้นพื้นฐานและชุดแอปพลิเคชันมาตรฐานเท่านั้น
การสนับสนุนที่ จำกัด เราทำการปะกลางระบบปฏิบัติการและจัดหาแอปพลิเคชัน ผู้ใช้มีการเข้าถึงรูท
ไม่สนับสนุน. เราจัดหาผู้ใช้ด้วยการเชื่อมต่ออินเทอร์เน็ต ผู้ใช้รับผิดชอบต่อคอมพิวเตอร์รวมถึงซอฟต์แวร์และการแก้ไข เราตรวจสอบเครือข่ายเพื่อหาปัญหาและตัดผู้ใช้ออกหากมีปัญหา

วิธีนี้ผู้ใช้สามารถเลือกสิ่งที่พวกเขาต้องการและเราลดผลกระทบทั้งสำหรับพนักงานไอทีและผู้ใช้ เราพบว่าผู้ใช้สามารถเชื่อถือได้เพื่อเลือกระดับการสนับสนุนที่เหมาะสม ฉันรู้สึกว่าการล็อกผู้ใช้โดยค่าเริ่มต้นนั้นมีค่าใช้จ่ายสูงมากในแง่ของประสิทธิภาพการทำงาน

— pehrs
แหล่งที่มา

1

+1 ฉันชอบสิ่งนี้และอาจลองทำที่งานของฉัน

— Nic

4

ในขณะที่วิธีการที่น่าสนใจและน่าพิจารณาด้วยระบบปฏิบัติการที่มีแนวโน้มว่ามัลแวร์มีความเป็นไปได้สูงที่จะเปิดใช้งานการทำให้เวิร์มของหนอนเหมือนมัลแวร์ทั่วทั้งเครือข่ายภายในของคุณ เพื่อลดความเสี่ยงตัวเลือกที่ 2 และ 3 ไม่สามารถรวมการเข้าถึงเครือข่ายภายในแบบไม่ จำกัด

— วอร์เนอร์

2

ฉันคิดว่านี่เป็นวิธีการที่ยอดเยี่ยม คนที่มีพีซีบนโต๊ะทำงานมักจะเป็น "คนทำงานที่มีความรู้" (KWs) และโดยปกติคนที่เหลือจากการตัดสินใจทางเทคโนโลยีส่วนบุคคลของพวกเขาจะดีที่สุด ในยุค 80 ไอทียังคงเรียกว่า "การประมวลผลข้อมูล" และพวกเขาเป็นผู้รับผิดชอบเฉพาะเหล็กขนาดใหญ่และเครื่องเทอร์มินัล มันเป็นการนำ KWs เข้ามาในพีซีของตัวเองซึ่งบังคับให้แผนกประมวลผลข้อมูลทุกแห่งมุ่งเน้นไปที่การสนับสนุนพีซีและย้ายไปยังรูปแบบไคลเอนต์ - เซิร์ฟเวอร์ ปล่อยให้ KW ของคุณตัดสินใจเองว่าพวกเขาต้องการจับมือคุณมากแค่ไหน

— Spiff

@Warner ที่ฉันทำงานคนส่วนใหญ่ไม่ได้ใช้ระบบปฏิบัติการที่มีแนวโน้มเป็นอันตรายจากมัลแวร์และพวกเขาเลือกใช้ # 3 และได้รับการเข้าถึงภายในเครือข่ายที่ไม่ จำกัด ผู้ที่ต้องการใช้ระบบปฏิบัติการที่มีแนวโน้มเป็นอันตรายจากมัลแวร์จะถูกบังคับให้ # 2 หรือ # 1 และถูกบังคับให้ใช้ที่อยู่ IP แบบคงที่ที่ลงทะเบียนไว้สำหรับกล่องที่มีแนวโน้มเป็นมัลแวร์เพื่อให้ IT สแกนพอร์ตของตน และติดตามผู้ใช้ผู้กระทำผิดได้ง่ายขึ้น

— Spiff

เงื่อนไขเป็นสิ่งสำคัญ คุณไม่สามารถโน้มน้าวฉันได้ว่าการให้การดูแลลูกค้าที่ไม่ จำกัด การเข้าถึงเวิร์กสเตชัน Windows ของพวกเขาบนเครือข่ายภายในจะเป็นความคิดที่ดีในขณะที่รักษาระดับบริการผู้ใช้ปลายทางที่เหมาะสม มันจะแนะนำความเสี่ยงด้านความปลอดภัยขั้นรุนแรงระหว่างการไม่สามารถรักษามาตรฐานการอัพเดตและสิทธิ์เพิ่มเติมที่อนุญาตให้มัลแวร์ทำงานได้ฟรีโดยไม่มีข้อ จำกัด ฉันชอบแนวคิด 3 เนื่องจากฉันมุ่งเน้นอาชีพของฉันในเทคโนโลยีอินเทอร์เน็ตและโซลูชั่นระดับสูง - ไม่ใช่เทคโนโลยีประเภทการสนับสนุนอินทราเน็ต

— วอร์เนอร์

5

สองเซ็นต์ของฉัน:

1 / สิทธิ์ผู้ดูแลระบบเป็น BAD และมัลแวร์ไม่ได้เป็นเพียงเหตุผลว่าทำไม อีกปัญหาที่ใหญ่กว่าคือผู้ใช้หลายคนจะเพิ่มแอปพลิเคชั่นที่คุณไม่ทราบวิธีการสนับสนุนหรือถูกยกเลิกเมื่อเวลาผ่านไป ผลลัพธ์ ? สามหรือสี่ปีเช่นนี้และคุณก็ร้องไห้ด้วยเหตุผลบางอย่างกระบวนการทางธุรกิจที่สำคัญได้รับการจัดการโดยใช้แอพที่ไม่มีใครรู้หรือพัฒนาโดยเพื่อนของคนที่แต่งตัวประหลาดที่เหลือ บริษัท หรืออะไรก็ตาม ฉันมีลูกค้าเช่นผู้พัฒนาแอปขนาดใหญ่และมีประโยชน์มากโดยใช้ Lotus 1-2-3 รุ่นเก่ามาก ที่ไม่ได้ทำงานบนระบบปฏิบัติการในภายหลังกว่า ... Windows 98 และคนที่ทำสิ่งนี้ออกจาก บริษัท เห็นปัญหาหรือไม่

2 / ถ้ามีคนไม่ควรมีสิทธิผู้ดูแลระบบก็พัฒนา เพราะหากพวกเขาเป็นผู้ดูแลระบบพวกเขาจะไม่พยายามเขียนซอฟต์แวร์ตามแนวทางการเข้ารหัส และพวกเขาจะจบลงด้วยการเขียนแอพที่ต้องการสิทธิ์ของผู้ดูแลระบบในการเรียกใช้ อันไหนไม่ดี

ฉันเป็นผู้ดูแลระบบและฉันใช้งานโดยไม่ต้องมีสิทธิ์ผู้ดูแลระบบ (ไม่ใช่ผู้ดูแลระบบในคอมพิวเตอร์ของฉัน) เมื่อฉันต้องการพวกเขาฉันคว้าพวกเขาสำหรับช่วงเวลาของงานผู้ดูแลระบบของฉัน นั่นคือช่วยชีวิตฉันเอง ฉันสามารถทำผิดพลาดได้ ... และความผิดพลาดจากสิทธิ์ผู้ดูแลระบบอาจแย่มาก

เปลี่ยนชีวิต !!!!

— Saariko

4

อาจมีเหตุผลทางธุรกิจสำหรับผู้ใช้ปลายทางที่มีสิทธิ์สูงกว่า บ่อยครั้งมันจะถูกกำหนดโดยวัฒนธรรม บริษัท ของคุณ

นโยบายไอทีที่ดีที่สุดคือการตั้งค่าเริ่มต้นให้มีสิทธิ์น้อยที่สุดที่จำเป็นในการใช้งานฟังก์ชั่น หากมีเหตุผลและไม่มีวิธีแก้ปัญหาทางเทคนิคในการรักษาสิทธิพิเศษที่น้อยกว่าก็มีเหตุผลทางธุรกิจสำหรับการเข้าถึงเพิ่มเติม

บริษัท ด้านเทคนิคบางแห่งเลือกที่จะให้สิทธิ์ผู้ดูแลระบบแก่ผู้ใช้ทั้งหมด อื่น ๆ มีเพียงเจ้าหน้าที่ด้านเทคนิค

ในแผนกของฉัน: โดยไม่มีเหตุผลพวกเขาไม่สามารถเข้าถึงได้ ในส่วนที่เกี่ยวกับการเข้าถึงผู้ดูแลระบบท้องถิ่นเวิร์กสเตชัน: ผู้ใช้ทางเทคนิคมักจะได้รับมัน หากพวกเขาแนะนำความเสี่ยงให้กับ บริษัท ก็สามารถประเมินใหม่เป็นรายบุคคล พนักงานที่ไม่ใช่ด้านเทคนิคโดยเฉลี่ยไม่ได้ เราไม่เคยมีเหตุการณ์ที่เกิดขึ้นกับมัลแวร์ แต่อย่างใด แต่โดยทั่วไปแล้ว

ฉันยังตอบคำถามก่อนหน้านี้ในวันนี้ซึ่งเกี่ยวข้องกับคำถามของคุณที่นี่ มันครอบคลุมบางส่วนของหลักการพื้นฐานที่เกี่ยวข้องกับนโยบายและขั้นตอนการควบคุมการเข้าถึง

— วอร์เนอร์
แหล่งที่มา

4

ไม่ไม่ไม่ไม่ไม่!

ไม่ควรมีคอมพิวเตอร์ที่มีผู้ใช้ที่มีสิทธิ์เป็นผู้ดูแลระบบอยู่ในเครือข่ายของคุณ แน่นอนว่าไม่มีคอมพิวเตอร์ของ บริษัท ที่เป็นเจ้าของควรมีสิทธิ์ผู้ดูแลระบบของผู้ใช้:

ผู้ใช้จะติดตั้งโปรแกรมที่ไม่พึงประสงค์ - P2P / Torrents เป็นต้น
ผู้ใช้ติดตั้งซอฟต์แวร์ละเมิดลิขสิทธิ์ / ที่ไม่มีใบอนุญาตในเครื่องที่ บริษัท เป็นเจ้าของฝ่ายไอทีมีหน้าที่รับผิดชอบ
ผู้ใช้โดยทั่วไปจะ "โคลน" คอมพิวเตอร์ของพวกเขาดาวน์โหลดการปรับปรุงที่เข้ากันไม่ได้ ฯลฯ
คอมพิวเตอร์ของพวกเขาปลอดภัยน้อยกว่า - 90% ของช่องโหว่ของ Windows 7 นั้นได้รับการผ่อนปรนจากการทำงานในฐานะผู้ใช้ที่ จำกัด

ฉันไม่ได้เกลียดผู้ใช้ แต่ฝ่ายไอทีไม่สามารถทำงานได้อย่างมีประสิทธิภาพหากพวกเขาต้องแก้ไขปัญหาคอมพิวเตอร์ด้วยตนเองอย่างต่อเนื่อง

ทำไมบนโลกนี้ควรผู้ใช้ (นักพัฒนาถ้าคุณมีพวกเขายกเว้น) ต้องมีการเข้าถึงของผู้ดูแลระบบ

หากต้องการติดตั้งแอปพลิเคชัน

เราใช้เวลาและความพยายามในการทดสอบแอพพลิเคชั่นอย่างมากเพื่อให้เข้ากันได้จากนั้นเราก็สร้างมาตรฐานให้กับเวอร์ชันเฉพาะ เรารักษาข้อมูลสิทธิ์ใช้งานและตกลงที่จะสนับสนุนสิ่งที่เราติดตั้ง

หากต้องการเรียกใช้แอพที่ต้องมีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบ

สวัสดีเราไม่ได้ใช้ Windows 98 อีกต่อไป ฉันไม่สามารถเรียกคืนแอปธุรกิจมาตรฐานที่ต้องการสิทธิ์ผู้ดูแลระบบได้ ถ้ามีเราไม่อนุญาตในตอนแรก

อัพเดท?

นั่นคือสิ่งที่ WSUS / ASUS ใช้ ผู้ใช้ส่วนใหญ่ไม่ต้องการไดรเวอร์กราฟฟิกการ์ดรุ่นล่าสุด - พวกเขาไม่ใช่นักเล่นเกม!

จะเกิดอะไรขึ้นถ้า [แทรกเหตุผลที่นี่] ต้องทำงานเป็นผู้ดูแลระบบ

จากนั้นพวกเขาจะถูกแยกออกจากเครือข่ายที่เหลือทั้งหมดอาจเป็นไปได้ว่าพวกเขามีเพียงพอในโดเมนของตัวเอง ที่สำคัญที่สุดเราจัดการความคาดหวังของพวกเขา - คุณทำลายมันคุณแก้ไขได้ - เวลาการแก้ไข SLA ปกติไม่สามารถใช้ได้

มีกรณีขอบจำนวนมาก แต่เรามุ่งมั่นที่จะดำเนินการแผนกของเราดังนั้นผู้ใช้ไม่ควรต้องเข้าถึงผู้ดูแลระบบหรือแม้แต่ร้องขอ หากผู้ใช้ของคุณมีสิทธิ์ผู้ดูแลระบบคุณจะไม่ควบคุม 'เครือข่าย' ของคุณไม่ใช่สถานการณ์ที่ฉันต้องการ

— Jon Rhoades
แหล่งที่มา

2

จุดดีที่ผู้ใช้ (และประเภทขององค์กร) เป็นปัจจัยในการตัดสินใจ ประสบการณ์ของฉันคือการบริหารจัดการสำหรับร้านค้าพัฒนาซอฟต์แวร์ แต่ข้อกำหนดที่ชัดเจนในที่อื่นสามารถและแตกต่างกัน

— Charles Duffy

@Charles Duffy - ฉันเห็นด้วยว่านักพัฒนามีการเปลี่ยนแปลงทุกอย่างเรามีเพียงอย่างเดียวและเขายังเป็นสมาชิกของทีมไอทีด้วยจึงไม่มีปัญหา

— Jon Rhoades

2

โดยทั่วไปที่ฉันทำงานอยู่ผู้พัฒนาซอฟต์แวร์มีสิทธิ์เข้าถึงแบบผู้ดูแลระบบและโดยทั่วไปไม่มีใครอื่น

ที่เดียวที่ฉันทำสัญญาพวกเขามีความคิดที่ดี เพื่อให้สามารถเข้าถึงผู้ดูแลระบบได้ฉันต้องอ่านและลงชื่อในแบบฟอร์มยอมรับว่าถ้าฉันต้องโทรหา IT เกี่ยวกับปัญหาคอมพิวเตอร์หรือถ้ามีคนอื่นสังเกตเห็นปัญหาในคอมพิวเตอร์ของฉันไอทีจะพยายามแก้ไขมันเป็นเวลาสิบห้านาทีแล้ว เช็ดและภาพใหม่

— เดวิด ธ อร์นลีย์
แหล่งที่มา

1

อย่างที่คุณเห็นจากคำตอบก่อนหน้านี้ไม่มีบรรทัดฐานสำหรับสิ่งนี้ อย่างไรก็ตามมีกฎทองของสิทธิพิเศษน้อยที่สุด นั่นหมายถึงผู้ใช้ของคุณควรมีสิทธิ์การเข้าถึงขั้นต่ำในการทำงาน โชคร้ายที่โดยเฉพาะอย่างยิ่งในโลกของ Windows นั่นหมายความว่าผู้ใช้บางคน (เช่นโปรแกรมเมอร์) จำเป็นต้องมีสิทธิ์ผู้ดูแลระบบอย่างเต็มรูปแบบ

ฉันขอแนะนำให้คุณถามผู้ใช้ที่เป็นปัญหาเพื่อจัดทำเอกสารว่าเขา / เธอไม่สามารถทำอะไรได้ในฐานะผู้ใช้และดูว่าปัญหาสามารถแก้ไขได้ด้วยสิ่งที่น้อยกว่าสิทธิ์ผู้ดูแลระบบแบบเต็มหรือไม่ หากพวกเขาไม่สามารถหรือไม่เต็มใจที่จะจัดทำเอกสารปัญหาคุณอาจจะสามารถนำเสนอกรณีการจัดการที่เรียกร้องที่ไม่มีมูลความจริงและจึงไม่จำเป็นต้องมีการเปลี่ยนแปลง แน่นอนว่าสิ่งนี้จะลดลงได้บ่อยแค่ไหนขึ้นอยู่กับว่าใครจะเป็นใครในองค์กรของคุณ

— John Gardeniers
แหล่งที่มา

0

หากใครบางคนต้องการสิทธิ์ของผู้ดูแลระบบในเครื่องของพวกเขาฉันจะถูกล่อลวงให้ตั้งค่าบางอย่างเช่น Virtual Box / Vmware Player เป็นแซนด์บ็อกซ์ของพวกเขา อนุญาตให้พวกเขาทำสิ่งที่พวกเขาต้องการภายในแซนด์บ็อกซ์ของพวกเขาและในระบบปฏิบัติการโฮสต์พวกเขาจะถูกล็อคเหมือนเครื่องจักรอื่น ๆ

ข้อมูลเฉพาะจะขึ้นอยู่กับความคาดหวังของระบบนั้นเป็นอย่างมาก

ผู้ใช้ (และผู้จัดการ) ยินดีที่จะทำให้ผู้ใช้นั้นรับผิดชอบการสำรองข้อมูลหรือไม่
ผู้ใช้จะสามารถยอมรับได้หรือไม่หากสิ่งใดไม่สามารถแก้ไขได้อย่างรวดเร็วเนื่องจากเขา / เธอเหลวไหลว่าคุณจะปรากฏในดิสก์และจัดรูปแบบทันทีหรือไม่
ผู้ใช้และผู้จัดการพร้อมที่จะรับผิดชอบต่อปัญหาทางกฎหมายใด ๆ ที่เกิดจากซอฟต์แวร์ที่ไม่มีลิขสิทธิ์การละเมิดความปลอดภัยความเสียหายต่อระบบอื่น ๆ ในเครือข่ายหรือไม่

— Zoredache
แหล่งที่มา

สมมติว่า VM ไม่ได้เชื่อมต่อกับเครือข่ายมันจะง่ายกว่าเพียงแค่ถอดสายเคเบิลเครือข่าย มิฉะนั้นความเสี่ยงทั้งหมดยังคงมีอยู่

— Joe Internet