Có phải là bình thường để cung cấp cho quản trị viên 'quyền truy cập vào PC công ty của họ?

13

Tôi có một người dùng muốn trở thành quản trị viên của PC làm việc của anh ấy, anh ấy đã kể một câu chuyện về cách anh ấy không thể làm việc mà không có nó vì vậy tôi được bảo là "sửa nó" (như thể đó là lỗi anh ấy đã đăng nhập như một người dùng!).

Các đồng nghiệp CNTT của tôi và tôi không đăng nhập với tư cách quản trị viên do vi-rút / phần mềm độc hại giữ chân và tự thiết lập làm máy chủ để phân phối một cuộc tấn công (vâng, điều này đã xảy ra trong quá khứ).

'Định mức' cho người dùng mạng của bạn là gì và làm thế nào để bạn xử lý các yêu cầu truy cập quản trị viên?

Cảm ơn

permissions 
Phillipe B
nguồn
3
Nếu bạn phản đối việc trao quyền quản trị cho anh ta, thì bạn có trách nhiệm đảm bảo anh ta có tất cả các quyền và quyền truy cập chi tiết được kích hoạt trước để họ không gặp phải các rào cản theo kiểu bữa ăn chính. Điều này rất khó lường trước trong một hệ thống Windows, do sự phức tạp của phần mềm ngày nay. Ví dụ, họ có thể thấy hành vi lạ trong một ứng dụng và sau một ngày khắc phục sự cố phát hiện ra rằng ứng dụng đó đã âm thầm không đọc được một số cài đặt đăng ký mà người dùng không có quyền truy cập.
AaronLS

Câu trả lời:

12

Chúng tôi hiện có ba cấp độ hỗ trợ cho người dùng:

  1. Hỗ trợ đầy đủ. Người dùng chỉ có quyền truy cập cơ bản và một bộ ứng dụng tiêu chuẩn
  2. Hỗ trợ hạn chế. Chúng tôi vá trung tâm của hệ điều hành và cung cấp các ứng dụng. Người dùng có quyền truy cập root.
  3. Không có hỗ trợ. Chúng tôi cung cấp cho người dùng một kết nối internet. Người dùng chịu trách nhiệm cho máy tính, bao gồm phần mềm và vá lỗi. Chúng tôi giám sát mạng về các vấn đề và cắt đứt người dùng nếu có vấn đề.

Bằng cách này, người dùng có thể chọn những gì họ muốn và chúng tôi giảm thiểu tác động, cho cả nhân viên CNTT và người dùng. Chúng tôi đã thấy rằng người dùng có thể được tin cậy để chọn một mức hỗ trợ phù hợp. Tôi có cảm giác rằng việc khóa người dùng theo mặc định là rất tốn kém về mặt năng suất.

pehrs
nguồn
1
+1 Tôi thích điều này và có thể thử nó trong công việc của tôi.
Nic
4
Mặc dù là một cách tiếp cận thú vị và đáng để xem xét, với các hệ điều hành dễ bị phần mềm độc hại, điều này rất có khả năng cho phép sự tồn tại của sâu như phần mềm độc hại trên toàn bộ mạng nội bộ của bạn. Để loại bỏ rủi ro này, các tùy chọn 2 và 3 không thể bao gồm quyền truy cập nội bộ không hạn chế vào mạng.
Warner
2
Tôi nghĩ rằng đây là một cách tiếp cận tuyệt vời. Những người có PC trên bàn làm việc của họ thường là "công nhân tri thức" (KW) và những người làm việc thường là tốt nhất để đưa ra quyết định công nghệ cá nhân của riêng họ. Vào những năm 80, CNTT vẫn được gọi là "Xử lý dữ liệu" và họ chỉ chịu trách nhiệm cho các thiết bị đầu cuối sắt và câm lớn. Chính các KW mang vào PC của họ đã buộc các bộ phận xử lý dữ liệu ở khắp mọi nơi tập trung vào việc hỗ trợ PC và chuyển sang mô hình máy chủ-máy khách, và cuối cùng tự đổi thương hiệu thành "CNTT". Hãy để KW của bạn tự quyết định mức độ họ muốn cầm tay từ bạn.
Spiff
@Warner nơi tôi làm việc, hầu hết mọi người không sử dụng HĐH dễ bị phần mềm độc hại và họ chọn số 3 và được cấp quyền truy cập nội bộ không hạn chế vào mạng. Những người muốn sử dụng HĐH dễ bị phần mềm độc hại buộc phải hướng tới # 2 hoặc # 1 và buộc chỉ sử dụng các địa chỉ IP tĩnh đã đăng ký cho các hộp dễ bị phần mềm độc hại để CNTT quét cổng hoặc lưu lượng truy cập mạng của họ để dễ dàng hoạt động phần mềm độc hại hơn, và theo dõi người dùng thủ phạm dễ dàng hơn.
Spiff
Điều kiện là chính. Bạn không thể thuyết phục tôi rằng cung cấp cho chăm sóc khách hàng quyền truy cập không hạn chế vào các máy trạm Windows của họ trên mạng nội bộ sẽ là một ý tưởng tốt, trong khi vẫn duy trì mức dịch vụ người dùng cuối hợp lý. Nó sẽ gây ra rủi ro bảo mật nghiêm trọng giữa việc không thể duy trì các tiêu chuẩn, cập nhật và các đặc quyền bổ sung cho phép phần mềm độc hại chạy miễn phí mà không bị hạn chế. Tôi thích ý tưởng của 3, vì tôi tập trung sự nghiệp vào các công nghệ Internet và các giải pháp cấp cao - không phải các công nghệ loại hỗ trợ mạng nội bộ.
Warner
5

Theo quan điểm của tôi :

1 / Quyền quản trị là BAD. Và phần mềm độc hại không phải là lý do duy nhất tại sao. Một vấn đề khác, và thường là lớn hơn, đó là nhiều người dùng sẽ thêm các ứng dụng mà bạn không biết cách hỗ trợ hoặc bị ngừng sử dụng theo thời gian. Kết quả ? Ba hoặc bốn năm như thế này, và bạn cuối cùng đã khóc vì một lý do nào đó, một quy trình quan trọng trong kinh doanh được xử lý bằng một ứng dụng mà không ai biết, hoặc được phát triển bởi một người bạn của anh chàng trái. công ty, hoặc bất cứ điều gì. Tôi có một khách hàng, ví dụ, người đã phát triển ứng dụng LỚN - và thực sự RẤT HỮU ÍCH - sử dụng Lotus 1-2-3. Một phiên bản rất cũ. Điều đó không chạy trên bất kỳ hệ điều hành nào sau này ngoài ... Windows 98. Và anh chàng đã làm điều này rời khỏi công ty. Xem vấn đề?

2 / Nếu MỘT SỐ người KHÔNG nên có quyền quản trị, thì đó là nhà phát triển . Bởi vì nếu họ là quản trị viên, họ sẽ không nỗ lực để viết phần mềm của họ tôn trọng các nguyên tắc mã hóa. Và cuối cùng họ sẽ viết các ứng dụng CẦN quyền quản trị để chạy. Cái nào cũng xấu.

Tôi là quản trị viên hệ thống và tôi đang chạy KHÔNG CÓ quyền quản trị (thậm chí không phải quản trị viên cục bộ trên máy tính của tôi). Khi tôi cần chúng, tôi lấy chúng, trong thời gian thực hiện nhiệm vụ quản trị viên của tôi. Đó là cứu tinh của riêng tôi. Tôi có thể mắc lỗi ... Và sai lầm với quyền quản trị có thể rất tệ.

Thay đổi cuộc sống !!!!
Saariko
4

Có thể có lý do kinh doanh cho người dùng cuối để có đặc quyền cao hơn. Thông thường, nó sẽ được quyết định bởi văn hóa công ty của bạn.

Chính sách CNTT tốt nhất là mặc định các đặc quyền tối thiểu cần thiết để thực hiện chức năng công việc. Nếu có sự biện minh và không có giải pháp kỹ thuật để duy trì các đặc quyền ít hơn, thì đó là lý do kinh doanh cho việc truy cập bổ sung.

Một số công ty kỹ thuật chọn cung cấp cho tất cả người dùng quyền truy cập quản trị viên cục bộ. Những người khác, chỉ có nhân viên kỹ thuật.

Trong bộ phận của tôi: không có sự biện minh, họ không có quyền truy cập. Liên quan đến truy cập quản trị viên cục bộ của máy trạm: người dùng kỹ thuật thường có được nó. Nếu họ giới thiệu rủi ro cho công ty, nó có thể được đánh giá lại trên cơ sở cá nhân. Nhân viên phi kỹ thuật trung bình thì không. Chúng tôi chưa bao giờ có một sự cố phần mềm độc hại nào quan trọng nhưng chúng tôi nói chung là điều hành một con tàu chặt chẽ.

Tôi cũng đã trả lời một câu hỏi sớm hơn ngày hôm nay, có liên quan đến câu hỏi của bạn ở đây. Nó bao gồm một số nguyên tắc cơ bản liên quan đến chính sách và thủ tục kiểm soát truy cập.

Warner
nguồn
4

Không không không không không!

Không có máy tính nào có người dùng có quyền quản trị viên sẽ truy cập mạng của bạn. Chắc chắn không có công ty nào sở hữu máy tính nên có quyền quản trị người dùng:

  • Người dùng sẽ cài đặt các chương trình không mong muốn - P2P / Torrents, v.v.
  • Người dùng cài đặt phần mềm vi phạm bản quyền / không có giấy phép, trên một máy thuộc sở hữu của công ty, bộ phận CNTT chịu trách nhiệm.
  • Người dùng nói chung sẽ "nhét" máy tính của họ, tải xuống các bản cập nhật không tương thích, v.v.
  • Máy tính của họ kém an toàn hơn - 90% lỗ hổng Windows 7 được giảm thiểu bằng cách chạy như một người dùng hạn chế

Tôi không ghét người dùng, nhưng bộ phận CNTT không thể thực hiện công việc đó một cách hiệu quả nếu họ liên tục phải tự khắc phục các sự cố máy tính.

Tại sao người dùng (nhà phát triển, nếu bạn có họ, ngoại trừ) cần có quyền truy cập quản trị viên.

Để cài đặt ứng dụng?

Chúng tôi dành rất nhiều thời gian và nỗ lực để kiểm tra các ứng dụng để tương thích sau đó chúng tôi chuẩn hóa một phiên bản cụ thể. Chúng tôi duy trì thông tin cấp phép và đồng ý hỗ trợ mọi thứ chúng tôi cài đặt.

Để chạy các ứng dụng yêu cầu quản trị viên truy cập?

Này, chúng tôi không chạy Windows 98 nữa. Tôi không thể nhớ lại một ứng dụng kinh doanh tiêu chuẩn yêu cầu quyền quản trị. Nếu một trong những chúng tôi đã không cho phép ở nơi đầu tiên.

Cập nhật?

Đó là những gì WSUS / ASUS dành cho. Hầu hết người dùng không cần trình điều khiển card đồ họa mới nhất - họ không phải là game thủ!

Điều gì xảy ra nếu [chèn lý do vào đây] phải chạy với tư cách quản trị viên?

Sau đó, họ hoàn toàn tách biệt với phần còn lại của mạng, có thể nếu có đủ họ, trong miền riêng của họ. Quan trọng nhất là chúng tôi quản lý kỳ vọng của họ - bạn phá vỡ nó, bạn sửa nó - thời gian giải quyết SLA bình thường không áp dụng.

Có rất nhiều trường hợp cạnh, nhưng chúng tôi đặt mục tiêu điều hành bộ phận của mình để không người dùng nào cần truy cập quản trị viên hoặc thậm chí yêu cầu nó. Nếu người dùng của bạn có quyền quản trị thì bạn không kiểm soát 'mạng' của mình, đây không phải là tình huống tôi muốn có.

Jon Rhoades
nguồn
2
Điểm hay là loại người dùng (và do đó, loại tổ chức) là một yếu tố quyết định. Kinh nghiệm của tôi là làm quản trị cho các cửa hàng phát triển phần mềm, nhưng rõ ràng các yêu cầu ở nơi khác có thể và làm khác nhau.
Charles Duffy
@Charles Duffy - Tôi đồng ý có nhà phát triển thay đổi mọi thứ, chúng tôi chỉ có một và anh ấy cũng là thành viên của nhóm CNTT do đó không có vấn đề gì ở đó.
Jon Rhoades
2

Thông thường, nơi tôi đã làm việc, các nhà phát triển phần mềm đã có quyền truy cập quản trị viên và thường không có ai khác.

Ở một nơi tôi ký hợp đồng, họ đã có một ý tưởng tốt. Để có quyền truy cập quản trị viên, tôi đã phải đọc và ký vào một biểu mẫu đồng ý rằng, nếu tôi phải gọi IT về các sự cố máy tính hoặc nếu có ai đó nhận thấy sự cố trên máy tính của tôi, CNTT sẽ cố gắng khắc phục trong mười lăm phút và sau đó lau và hình ảnh lại.

David Thornley
nguồn
1

Như bạn có thể se từ các câu trả lời trước, không có tiêu chuẩn cho việc này. Tuy nhiên, có nguyên tắc vàng của đặc quyền tối thiểu. Điều đó đơn giản có nghĩa là người dùng của bạn nên có quyền truy cập tối thiểu cần thiết để thực hiện công việc của họ. Thật không may, đặc biệt là trong thế giới Windows, điều đó có nghĩa là một số người dùng (ví dụ như lập trình viên) yêu cầu quyền quản trị đầy đủ.

Tôi đề nghị bạn yêu cầu người dùng nghi vấn ghi lại những gì anh ấy / cô ấy không thể làm với tư cách là người dùng và xem vấn đề có thể được giải quyết với một cái gì đó ít hơn quyền quản trị viên đầy đủ hay không. Nếu họ không thể hoặc không sẵn lòng ghi lại các vấn đề, bạn có thể trình bày một trường hợp cho ban quản lý rằng yêu cầu đó là không có cơ sở và do đó không yêu cầu thay đổi. Tất nhiên điều này diễn ra tốt như thế nào thường phụ thuộc vào người hút vào ai trong tổ chức cụ thể của bạn.

John Gardeniers
nguồn
0

Nếu ai đó thực sự cần quyền quản trị trên máy cục bộ của họ, tôi sẽ cố gắng thiết lập một cái gì đó như Virtual Box / Vmware Player làm hộp cát của họ. Cho phép họ làm bất cứ điều gì họ muốn trong hộp cát của họ và trên Hệ điều hành máy chủ, họ sẽ bị khóa như mọi máy khác.

Các chi tiết cụ thể sẽ phụ thuộc rất nhiều vào sự mong đợi cho hệ thống cụ thể.

  • Người dùng (và người quản lý của họ) có sẵn sàng khiến người dùng đó chịu trách nhiệm sao lưu không?
  • Người dùng có thể chấp nhận rằng nếu một cái gì đó không thể được sửa chữa một cách nhanh chóng bởi vì anh ta / cô ta giả vờ rằng bạn sẽ bật trong một đĩa và định dạng ngay lập tức?
  • Người dùng và người quản lý có sẵn sàng chịu trách nhiệm cho bất kỳ vấn đề pháp lý nào do phần mềm không được cấp phép, vi phạm bảo mật, thiệt hại cho các hệ thống khác trên mạng không?
Zoredache
nguồn
Giả sử rằng VM không được kết nối với mạng, việc rút cáp mạng của họ sẽ dễ dàng hơn. Nếu không, tất cả các rủi ro vẫn còn đó.
Joe Internet
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.