Ist es normal, Benutzern Administratorzugriff auf ihren Firmen-PC zu gewähren?

Ich habe einen Benutzer, der Administrator seines Arbeits-PCs werden möchte. Er hat eine Geschichte darüber verfasst, wie er ohne diesen PC nicht arbeiten kann. Deshalb muss ich ihn "reparieren" (als wäre es ein Fehler, als den er angemeldet ist) Ein Benutzer!).

Meine IT-Mitarbeiter und ich melden uns nicht als Administratoren an, da Viren / Malware Fuß fassen und sich als Server einrichten, um einen Angriff zu verteilen (ja, das ist in der Vergangenheit passiert).

Was ist die Norm für Ihre Netzwerkbenutzer und wie gehen Sie mit Anfragen nach Administratorzugriff um?

Vielen Dank

Wir haben derzeit drei Ebenen der Unterstützung für die Benutzer:

1. Volle Unterstützung. Die Benutzer haben nur Grundzugriff und eine Reihe von Standardanwendungen
2. Eingeschränkte Unterstützung. Wir patchen das Betriebssystem zentral und liefern Anwendungen. Der Benutzer hat root-Zugriff.
3. Keine Unterstützung. Wir versorgen den Benutzer mit einer Internetverbindung. Der Benutzer übernimmt die Verantwortung für den Computer, einschließlich Software und Patches. Wir überwachen das Netzwerk auf Probleme und sperren den Benutzer, wenn ein Problem auftritt.

Auf diese Weise können die Benutzer auswählen, was sie möchten, und wir minimieren die Auswirkungen sowohl für das IT-Personal als auch für die Benutzer. Wir haben festgestellt, dass den Benutzern vertraut werden kann, wenn sie einen geeigneten Support auswählen. Ich habe das Gefühl, dass das standardmäßige Sperren von Benutzern im Hinblick auf die Produktivität sehr kostspielig ist.

Meine zwei Cent :

1 / Admin Rechte sind schlecht. Und Malware ist nicht der einzige Grund dafür. Ein weiteres, häufig noch größeres Problem besteht darin, dass viele Benutzer Anwendungen hinzufügen, von denen Sie nicht wissen, wie sie unterstützt werden sollen, oder die mit der Zeit eingestellt werden. Ergebnis? Nach drei oder vier Jahren wird geweint, weil ein geschäftskritischer Prozess aus irgendeinem Grund über eine App abgewickelt wird, die niemand kennt oder die von einem Freund des Mannes entwickelt wurde, der ihn verlassen hat. die Firma oder was auch immer. Ich habe zum Beispiel einen Kunden, der mit Lotus 1-2-3 eine GROSSE und SEHR NÜTZLICHE App entwickelt hat. Eine sehr alte Version. Das läuft auf keinem späteren Betriebssystem als ... Windows 98. Und der Typ, der das getan hat, hat die Firma verlassen. Sehen Sie das Problem?

2 / Falls JEMAND KEINE Administratorrechte haben sollte, sind es die Entwickler . Denn wenn sie Administratoren sind, werden sie KEINE Anstrengungen unternehmen, um ihre Software gemäß den Kodierungsrichtlinien zu schreiben. Am Ende schreiben sie Apps, für deren Ausführung Administratorrechte erforderlich sind. Was schlecht ist.

Ich bin ein Systemadministrator und verwende OHNE Administratorrechte (nicht einmal den lokalen Administrator meines Computers). Wenn ich sie brauche, greife ich sie für die Zeit meiner Admin-Aufgabe. Das ist mein eigener Lebensretter. Ich kann Fehler machen ... Und Fehler mit Administratorrechten können schrecklich sein.

Es kann eine geschäftliche Rechtfertigung dafür geben, dass ein Endbenutzer höhere Berechtigungen besitzt. Oft wird es von Ihrer Unternehmenskultur bestimmt.

Die beste IT-Richtlinie besteht darin, standardmäßig die geringsten Berechtigungen festzulegen, die zum Ausführen einer Auftragsfunktion erforderlich sind. Wenn dies gerechtfertigt ist und es keine technischen Lösungen für die Aufrechterhaltung geringerer Berechtigungen gibt, liegt eine geschäftliche Begründung für den zusätzlichen Zugriff vor.

Einige technische Unternehmen gewähren allen Benutzern lokalen Administratorzugriff. Andere, nur technisches Personal.

In meiner Abteilung: Ohne Begründung erhalten sie keinen Zugang. In Bezug auf den lokalen Administratorzugriff auf der Workstation: Technische Benutzer erhalten diesen normalerweise. Wenn sie Risiken für das Unternehmen mit sich bringen, können sie individuell neu bewertet werden. Der durchschnittliche nichttechnische Mitarbeiter nicht. Wir hatten noch nie einen Malware-Vorfall von Bedeutung, aber wir haben im Allgemeinen ein knappes Schiff.

Ich habe heute auch eine Frage beantwortet , die mit Ihrer Frage hier zusammenhängt. Es werden einige der grundlegenden Prinzipien behandelt, die mit der Zugriffskontrollrichtlinie und -prozedur verbunden sind.

Nein nein Nein Nein Nein!

Kein Computer mit einem Benutzer mit Administratorrechten sollte jemals in Ihr Netzwerk gehen. Kein firmeneigener Computer sollte über Administratorrechte verfügen:

• Benutzer werden unerwünschte Programme installieren - P2P / Torrents etc
• Benutzer installieren Piraten- / nicht lizenzierte Software auf einem firmeneigenen Computer, für den die IT-Abteilung verantwortlich ist.
• Benutzer werden im Allgemeinen ihre Computer "kaputtmachen" und inkompatible Updates usw. Herunterladen
• Deren Computer sind weniger sicher - 90% der Windows 7-Schwachstellen werden durch die Ausführung als eingeschränkter Benutzer verringert

Ich hasse Benutzer nicht, aber eine IT-Abteilung kann ihre Arbeit nicht effektiv erledigen, wenn sie ständig selbst verursachte Computerprobleme beheben muss.

Warum in aller Welt sollten Benutzer (mit Ausnahme von Entwicklern) Administratorzugriff benötigen?

Anwendungen installieren?

Wir verbringen viel Zeit und Mühe damit, Anwendungen auf Kompatibilität zu testen und dann auf eine bestimmte Version zu standardisieren. Wir pflegen Lizenzinformationen und erklären uns damit einverstanden, alle von uns installierten Produkte zu unterstützen.

Apps ausführen, für die Administratorzugriff erforderlich ist?

Hey, wir betreiben kein Windows 98 mehr. Ich kann mich nicht an eine Standard-Business-App erinnern, für die Administratorrechte erforderlich sind. Wenn man das tun würde, würden wir es überhaupt nicht zulassen.

Aktualisierung?

Dafür ist WSUS / ASUS da. Die meisten Benutzer benötigen nicht die neuesten Grafikkartentreiber - sie sind keine Gamer!

Was ist, wenn [Grund hier einfügen] als Administrator ausgeführt werden musste?

Dann sind sie vollständig vom Rest des Netzwerks getrennt, möglicherweise, wenn es in ihrer eigenen Domäne genug davon gibt. Am wichtigsten ist, dass wir ihre Erwartungen erfüllen - Sie brechen es, Sie beheben es - normale SLA-Auflösungszeiten gelten nicht.

Es gibt viele Randfälle, aber wir sind bestrebt, unsere Abteilung zu betreiben, sodass kein Benutzer jemals Administratorzugriff benötigen oder diesen anfordern sollte. Wenn Ihre Benutzer Administratorrechte haben, können Sie Ihr "Netzwerk" nicht kontrollieren. Dies ist keine Situation, in der ich jemals sein möchte.

In der Regel hatten Softwareentwickler dort, wo ich gearbeitet habe, Administratorzugriff und sonst niemanden.

An einem von mir unter Vertrag genommenen Ort hatten sie eine gute Idee. Um Administratorzugriff zu erhalten, musste ich ein Formular lesen und unterschreiben, in dem ich feststellte, dass die IT-Abteilung versuchen würde, das Problem fünfzehn Minuten lang zu beheben, wenn ich jemals die IT-Abteilung wegen Computerproblemen anrufen musste oder wenn jemand anderes Probleme auf meinem Computer bemerkte wischen und erneutes Image.

Wie Sie den vorherigen Antworten entnehmen können, gibt es hierfür keine Norm. Es gibt jedoch die goldene Regel der geringsten Privilegien. Das bedeutet einfach, dass Ihr Benutzer über die erforderlichen Mindestzugriffsrechte verfügen sollte, um seine Arbeit zu erledigen. Es ist bedauerlich, dass insbesondere in der Windows-Welt einige Benutzer (z. B. Programmierer) vollständige Administratorrechte benötigen.

Ich schlage vor, Sie bitten den betreffenden Benutzer zu dokumentieren, was er als Benutzer nicht tun kann, und zu prüfen, ob das Problem mit weniger als den vollständigen Administratorrechten behoben werden kann. Wenn sie nicht in der Lage oder nicht bereit sind, die Probleme zu dokumentieren, können Sie der Geschäftsleitung möglicherweise den Fall vorlegen, dass die Klage unbegründet ist und daher keine Änderung erforderlich ist. Wie gut dies gelingt, hängt natürlich oft davon ab, wer sich gegen wen in Ihrer Organisation wehrt.

Wenn jemand wirklich Administratorrechte auf seinem lokalen Computer benötigt, wäre ich versucht, so etwas wie Virtual Box / Vmware Player als Sandbox einzurichten. Ermöglichen Sie ihnen, alles zu tun, was sie in ihrer Sandbox wollen, und auf dem Host-Betriebssystem werden sie wie jeder andere Computer gesperrt.

Die Einzelheiten hängen stark von den Erwartungen an das jeweilige System ab.

• Ist der Benutzer (und seine Manager) bereit, diesen Benutzer für Sicherungen verantwortlich zu machen?
• Kann der Benutzer das akzeptieren, wenn etwas nicht schnell repariert werden kann, weil er es verwechselt hat, dass Sie eine Diskette einlegen und sie sofort formatieren?
• Sind Benutzer und Manager bereit, Verantwortung für rechtliche Probleme zu übernehmen, die sich aus nicht lizenzierter Software, Sicherheitsverletzungen und Schäden an anderen Systemen im Netzwerk ergeben?