Wie kann man einen Big Boss davon überzeugen, dass er keine Administratorrechte benötigt?

Ich habe oft festgestellt, dass "der große Chef" in einem Unternehmen "alles" installieren und alles in seinem Computer tun möchte.

Natürlich können wir ihm sagen, dass es schlecht ist, weil die IT-Systemadministratoren die Kontrolle über den Computer verlieren und so weiter.

Gibt es ein unwiderlegbares Argument, um große Chefs davon zu überzeugen, dass es besser ist, keine Administratorrechte auf ihrem Desktop-Computer zu haben?

Das einzige Mal, dass ich ein bisschen erfolgreich war, war ein Chef, der bereit war, run wie mit alternativen Anmeldeinformationen zu verwenden, wenn er etwas installieren wollte. Ich erklärte, dass sich sogar die Sysadmins die meiste Zeit mit normalen Konten auf Systemen anmeldeten und ihm dann ein eigenes Administratorkonto erstellten, das er nur verwenden sollte, wenn er etwas Besonderes tun wollte. Es war tatsächlich sehr effektiv und verhinderte, dass seine Maschine in den zwei Jahren, in denen ich bei der Firma war, total durcheinander kam. Dies war ein relativ versierter CEO, der in der Lage war, den gesamten Ablauf als Sache zu verstehen, und ich bin mir sicher, dass er dort Dinge hatte, die ich nicht genehmigt hätte, aber es hinderte ihn zumindest daran, Dinge passiv zu vermasseln.

Sagen Sie ihnen, dass sie denselben Zugriff haben können, den Domain-Administratoren erhalten, und geben Sie ihnen dann genau Folgendes:

• Ein Standardbenutzerkonto, das mit ihren E-Mails, Dokumenten und Geschäftsanwendungen verbunden ist, die sie für die tägliche Arbeit verwenden können.
• Ein separates Konto auf dem Computer, das über Administratorrechte für diesen Computer verfügt (analog zum Domänenadministratorkonto eines Administrators), jedoch NICHT mit seinem E-Mail-Konto oder Geschäftsanwendungen verbunden ist, für die eine Authentifizierung basierend auf dem aktuell angemeldeten Benutzer erforderlich ist. und hat keine Drucker eingerichtet. Dieses Konto sollte vom Entwurf her nicht mehr funktionsfähig sein, damit es nicht für den täglichen Gebrauch geeignet ist.

Die Idee ist, dass das privilegierte Konto so defekt sein sollte, dass es weniger schmerzhaft ist, die meiste Zeit als Standardbenutzer angemeldet zu bleiben. Der Chef möchte das privilegierte Konto nur dann verwenden, wenn er es wirklich benötigt. Big Bosses verlassen sich fast immer sehr stark auf den Zugriff auf E-Mail- und Berichtssysteme. Wenn Sie also den Zugriff über das privilegierte Konto etwas unkomplizierter gestalten können, sind Sie in guter Verfassung. Die Hälfte der Zeit wird Ihr Chef die Anmeldeinformationen sowieso nur vergessen.

Wenn dies immer noch nicht zufriedenstellend ist, verteilen Sie ein vollständiges Domain-Administrator- / Root-Konto, tun dies jedoch immer noch als separates Konto von ihrem normalen Arbeitskonto - schließlich sind sie der Boss. Stellen Sie sicher, dass das Konto stark überwacht wird. An diesem Punkt ist das, wonach sie sowieso oft suchen, nur eine Versicherungspolice oder eine Absicherung gegen einen betrügerischen Administrator. Sie müssen das Gefühl haben, dass das Geld bei ihnen stehen bleibt, wenn es darum geht, und solange sie ein Standardbenutzerkonto für ihre tägliche Arbeit haben, ist daran nichts auszusetzen.

Keine, außer um sie wissen zu lassen, dass es mindestens 3 bis 4 Stunden dauern wird, seinen Computer aufzuräumen, wenn er ihn hoffnungslos abgespritzt hat.

Nur faire Warnung ..

Ich mache nur Auftragsarbeiten, also mache ich, was meine Kunden mir sagen, oder, wenn es mir wirklich nicht gefällt, übe ich die "Rettungsklausel" in meinem Vertrag aus.

In diesem Sinne haben die meisten Menschen heute eine Art "Malware" -Erfahrung. Ich diskutiere mit dem Kunden, wie bösartige Software, die über Browser-Bugs usw. ausgeführt wird, dieselben Rechte und Privilegien wie das Benutzerkonto hat, mit dem sie angemeldet sind (einschließlich Zugriff auf ihre E-Mails und Tastatureingaben, ganz zu schweigen von Ressourcen unter Server).

Normalerweise erhalte ich eine Frage wie "Warum kümmert sich die Antivirensoftware nicht darum?" Wir haben dann das "Wettrüsten" zu besprechen - das, wie die Malware-Leute die gleichen Updates für Anti-Malware-Software herunterladen, die Sie sind, und die neuen "Signaturen" usw. entwickeln.

Zum Abschluss erkläre ich, dass ich auf allen meinen Computern eingeschränkte Benutzerkonten verwende (und das schon seit Jahren).

Dies ist alles, was ich benötigt habe, um Benutzer davon zu überzeugen, mit Konten mit begrenzten Benutzern zu arbeiten. In einigen Fällen musste ich dem Benutzer zuerst eine Malware-Erfahrung ermöglichen (was ausnahmslos vorkommt), aber da meine Dienste in der Regel einen sehr eindeutigen Hinweis auf die damit verbundenen Kosten enthalten, geschieht dies in der Regel nur einmal.

Im Allgemeinen erstelle ich Benutzer auf "Administrator" -Ebene entweder als lokale Konten oder als Domänenkonten (zusammen mit der Richtlinie für eingeschränkte Gruppen, um dem Benutzerkonto tatsächlich "Rechte" zu erteilen), je nachdem, auf wie viele Computer der Benutzer zugreifen muss. Ich stelle sicher , nicht in einen der Gruppen von Tag zu Tag zu Tag Benutzerkonto verwendet zu nennen, und nicht ihnen Zugriff auf ihr Exchange - Postfach zu geben. Ich möchte, dass das Konto auf "Administrator" -Ebene für alles andere als die Installation von Software / Treibern auf dem PC so nutzlos wie möglich ist.

Diese Strategie hat mir viel Kopfzerbrechen erspart und meinen Kunden viel Geld gespart. Man braucht "Menschenfähigkeiten", um die Gespräche zu führen, die man braucht, und Auftragnehmer zu sein, hilft sicherlich, aber es ist definitiv ein überwindbares Problem.

Anstatt ihn davon zu überzeugen, dass er falsch liegt, sollten Sie vielleicht versuchen, einen Weg zu finden, um Kompromisse einzugehen. Erlauben Sie ihm möglicherweise, eine Kopie von VMware mit einer Gast-VM auszuführen, mit der er sich vergnügen kann. Versuchen Sie, ihm die Fähigkeit zu geben, das zu erreichen, was er für erforderlich hält, und zwar auf eine Weise, die ihm ein stabiles verwaltetes System beschert.

In der Tat müssen Sie wahrscheinlich den Geschäftsfall stellen, dass er entweder über einen zuverlässigen Computer verfügt, der wiederhergestellt werden kann, wenn er ausfällt, oder dass er seinen Computer verliert, weil Sie genau wissen, was sich auf dem System befindet und wie und wo dies behoben werden kann Die Medien sind. Oder er kann einen Computer haben, für den er verantwortlich ist, und wenn der Computer kaputt geht, können Sie nicht garantieren, dass Sie in der Lage sind, etwas anderes zu tun als formatieren und neu zu installieren.

Versuchen Sie, die Risiken und das, was Sie tun, zu kommunizieren und versuchen Sie, einen Kompromiss zu erzielen. Überlegen Sie sich, ob Sie eine VM oder ein Dual-Boot-Setup einrichten möchten, oder ob Sie ihm die Flexibilität bieten möchten, die er benötigt / möchte, und ihm dennoch ein stabiles System zur Verfügung stellen möchten.

Leider können Sie dem Typen, der Ihren Gehaltsscheck unterschreibt, nicht viel antun. :-)

Der beste (praktische) Rat, den ich Ihnen geben könnte, wäre, sicherzustellen, dass Sie eine gute Backup-Routine für sein System eingerichtet haben, und ihn in die Irre zu führen. LOL

Es läuft wirklich darauf hinaus:

1. JEMAND muss auf dem Fahrersitz sitzen. Es ist seine Firma, so klar, dass er der Boss ist. Das Beste, was Sie tun können, ist, ihn über die beste Vorgehensweise (mit allem) zu beraten und ihn dann eine "informierte Entscheidung" treffen zu lassen. Wenn er Ihren Rat nicht befolgt ... und es gibt einen Fehler ... ist SEIN Fehler, weil er nicht zuhört.

2. Wenn er Ihrem Rat folgt und es einen Fehler gibt, ist es immer noch SEINE Schuld, weil ER die Entscheidung getroffen hat. Denken Sie daran, er sitzt auf dem Fahrersitz.

Nun ... das wird dir von Zeit zu Zeit ein komisches Aussehen verleihen ... sogar ein Kichern oder ein Lachen.

Aber sicher zu erklären, dass DER UNTERSCHIED ist ... Sie bereinigen Ihre Unordnung (kostenlos) und tun Ihr Bestes, um die Situation zu lösen. Beim anderen bezahlt er Sie für das Aufräumen und Sie behalten sich das Recht vor, 5-10 Minuten lang bei ihm zu "predigen", und er stimmt zu, zuzuhören.

Versuchen Sie, es auf der lustigen Seite zu halten.

Ich hatte noch nie ein Problem damit, einem Geschäftsinhaber diese Logik zu erklären. Die meisten von ihnen wissen es bereits. Es macht einfach Spaß, es in stumpfen (aber sanften) Worten zu erklären. ;-)

Sagen Sie ihm, dass er wirklich das Beispiel geben sollte, dem der Rest des Unternehmens folgen sollte.

Wenn er anfängt, seinen (schlimmsten Fall) Laptop mit "Internetdownloads" "anzupassen", wird sein Director for Sales, der Finance Director, der Assistant Sales Director, der Sales Guy, die Techniker, der Kundenservice usw .

Erklären Sie dann, dass a) das Risiko für die GESCHÄFTSINFRASTRUKTUR erhöht ist (wenn Sie alle Kunden- und Bestellinformationen im Internet finden möchten), b) die Sicherheit und Professionalität der Organisation beeinträchtigt und c) die Supportkosten erheblich steigen und reduzierte Zuverlässigkeit.

Wenn er einen Spielautomaten haben möchte, dann lassen Sie ihn das auf seinem eigenen PC machen, aber ein Business-PC / Laptop / Equipment ist für geschäftliche Zwecke gedacht.

Es ist eine erwachsene Sache ...

Ich verstehe die Einseitigkeit der Antworten hier nicht. Der große Käse bekommt, was der große Käse will.

Wird ein nicht-technischer Manager selbst in Schwierigkeiten geraten?

Vielleicht - aber sehen Sie sich das als Gelegenheit an, Ihre Fähigkeiten aus erster Hand unter Beweis zu stellen und mit dem Typen, der die Schecks unterschreibt, ein wenig Zeit zu verbringen. Die Kontaktaufnahme eines talentierten jungen Administrators mit dem CEO ist eine großartige Möglichkeit, dem Kind Zeit zu geben und den Beförderungsprozess zu vereinfachen.

Oder Sie gehen mürrisch vor, verärgern den CEO und geben Ihrem Chef Sodbrennen.

Ich bin dem Problem völlig aus dem Weg gegangen und habe dem CEO eine sehr teure (damals) High-End-Mac-Workstation mit einem riesigen Studio-Display gekauft. Er liebte die Exklusivität, ich liebte die Tatsache, dass es ein bisschen weniger Schwierigkeiten gab, die er bekommen konnte. Ich behielt die Fähigkeit bei, zu sshen und nach oben zu rennen, nur um die Dinge im Auge zu behalten. Zum Glück war er kein Laptop-Typ.

Sagen Sie ihm, dass nur sehr wenige Krankenhauschefs Gehirnoperationen oder chirurgische Eingriffe durchführen.

Anstatt zu versuchen, den Chef daran zu hindern, Dinge auf seinem Computer zu installieren, sollten Sie besser einen Weg finden, um zu verhindern, dass sein Computer den Rest Ihrer IT-Systeme mutwillig zerstört, wenn er / sie nach dem Deaktivieren des Computers unvermeidlich einen Virus bekommt Virenscanner.

Wenn diese Frage auftaucht, würde ich vermuten, dass die Organisation keine expliziten Richtlinien für die Bearbeitung dieser Art von Anfragen hat. Wenn diese vorhanden wären, wäre es ein No-Go, oder er würde die speziellen Anträge auf Erlangung der Privilegien aufzeichnen. Oder er würde Sie fragen, ob Sie gegen die Richtlinien verstoßen. Hm.

Sie können nicht viel tun. Es gibt kein magisches Argument, wenn jemand es nicht versteht oder Ihr Chef oder Ihre Organisation die möglichen Risiken nicht erkennt. Sie können die Haltung einnehmen und nein sagen, aber das kann funktionieren oder nicht und es kann zu schlechten Gefühlen führen.

Fazit: Wenn ein Chef sich nicht um das Auftreten einer bevorzugten Behandlung oder das Risiko von Benutzern kümmert, die als Administratoren fungieren, UND Sie (oder Ihre Abteilung) nicht über die anerkannte Berechtigung verfügen, die Anfrage abzulehnen, können Sie sie auch weiterleiten ihm.

Das Beste, was Sie tun können, ist zu versuchen, eine höfliche Aussage zu formulieren, dass dies gegen die beste technische Praxis verstößt.

Ich habe festgestellt, dass die meisten Manager eine von zwei Arten der Computernutzung haben: Sie sind entweder extrem unkompliziert, weil sie wichtigere Dinge zu tun haben als mit einem Computer zu spielen, oder sie gehen gerne hinein und spielen herum.

Die Hands-Off-Manager sind keine Probleme - Sie richten ihren Computer ein, teilen ihnen mit, was sie können und was nicht, und stellen sicher, dass Sie immer zur Stelle sind, wenn sie etwas installieren müssen (und möglichst viele Optionen haben - z. B. ein lokales Konto mit Administratorzugriff, getestetem Fernzugriff über VPN usw.).

In meinem Fall hatten fast alle Manager und VP-Level-Leute, die Dinge auf ihren Computern installieren oder konfigurieren wollten, irgendwann ihre Computer getötet, sodass wir keine allzu großen Probleme damit hatten, ihre zu sperren. Ein paar von ihnen mussten wir über den lokalen Admin-Account erzählen, um sie glücklich zu machen, aber sie verstanden die Risiken, etwas zu tun, ohne uns zu involvieren oder uns zumindest vorher zu fragen.

Der Präsident verstand jedoch nie, wie viel es kostete, als er sein System tötete, aber er ging in den Ruhestand, bevor wir unseren letzten Lösungsversuch unternahmen: Wir wollten ihm zwei Computer besorgen, von denen einer mit all unseren Standardgeräten gesperrt war installiert, und eine zweite, auf die er alles installieren konnte, was ihm auffiel. Er mochte kleine Notizbücher, lange bevor der Begriff "Netbook" geprägt wurde, und ich nahm an, dass er zwei davon bei sich tragen konnte, aber nur ein Netzteil.

Erklären Sie, dass Hacker, die Unternehmensgeheimnisse stehlen, Daten zerstören oder Dienste missbrauchen, oder Viren, die Daten zerstören oder dazu führen könnten, dass er Teil eines Botnetzes ist, das sie für Anklagen wegen Computerkriminalität öffnen könnte, leichter auf seinen Computer zugreifen können wenn sie an einem DoS-Angriff oder dergleichen teilnehmen.

Erklären Sie außerdem, dass sie, wenn sie versehentlich etwas beschädigen, einige Stunden (oder Tage) ohne Computer sein könnten, während Sie versuchen, das Problem zu beheben. Wenn sie keine Administratorrechte haben, sind sie weniger in der Lage, Probleme zu lösen.

Zuerst müssen die IT-Richtlinien eingerichtet werden - die technischen Lösungen basieren immer auf ihnen, nicht umgekehrt, egal wie offensichtlich einige technische Einstellungen wie Nicht-Administrator-Benutzerkonten für uns sind.

Ich würde ihn fragen, was er mit den Privilegien, die er hat, nicht anfangen kann. Geben Sie ihm außerdem die Administratorrechte - er unterschreibt den Überstunden-Check, wenn er ihn bricht.

Was wir getan haben, ist zu erklären, was bereits erwähnt wurde. Wenn wir ein System bereinigen müssen, bedeutet dies, dass sie für diesen Zeitraum ohne ihr System sind. Wir haben auch eine strenge Politik, die wir schnell beurteilen. Wenn die Bereinigung länger als eine Stunde dauert oder wir das Ausmaß der Infektion nicht schnell einschätzen können, erstellen wir einfach ein neues Image des Systems. Das Problem dabei ist für die Exekutive, dass jetzt alle Spielsachen weg sind. Aber da wir nicht wussten, was sich auf dem System befindet oder wo wir alle Installationspakete bekommen können, haben Sie die Idee. Möglicherweise haben Sie keine solche Hebelwirkung, aber es ist einen Versuch wert.

Letztendlich muss der Big Boss eine Geschäftsentscheidung treffen, was für ihn akzeptabel ist. Wir sind uns technisch vielleicht nicht einig, was wir wollen, aber es geht uns nichts an. Wenn wir mit dieser Entscheidung nicht leben können, haben wir immer die Möglichkeit, anderswo Arbeit zu suchen.

Wenn Sie nach einer Ressource suchen, die Ihnen bei diesem Argument helfen kann, besuchen Sie die folgende Website: Threatcode.com . Ich weiß nicht, ob es aktuell ist, aber es wurde in der Vergangenheit angepriesen.

Wenn Sie sagen, dass Sie das nicht können, verlieren Sie!

Wie immer muss man sich drehen und wenden, um das zu umgehen. Die Antwort kann nur gefunden werden, wenn Sie verstehen, warum er Administrator werden möchte.

Wenn es technisch ist, können Sie ihn vielleicht überzeugen, aber wenn es um "Macht" geht und wenn Sie Ihr Chef sind, haben Sie Pech. Es ist sehr schwer, einen Chef davon zu überzeugen, dass er weniger Privilegien braucht als die Leute, über die er herrscht, was aus seiner Sicht wahrscheinlich bedeuten würde, dass sie mehr als ihn tun dürfen und die normale Hierarchie auf den Kopf stellt ( und die meisten Chefs mögen das nicht).

Wählen Sie also Ihre Worte sorgfältig aus und vergessen Sie nicht die menschliche Seite dieses Problems.

\ computername \ c $ auf seinem PC speichern, alle seine Dokumente lesen, kopieren, an einer anderen Stelle einfügen und ihm dann ein Beispiel dafür präsentieren, was ein Hacker mit seinem System und allen seinen persönlichen Daten macht, wenn er infiziert wird weil er zu merkwürdigen Seiten stöbern oder von irgendwoher kostenlose Spiele herunterladen wollte.

Sie werden wahrscheinlich gefeuert. Ich war schon einmal in der Situation und es ist eine Situation, in der es keinen Sieg gibt. Ich bin gerade in einem anderen. Ich arbeite für ein Unternehmen, das sich nicht darum kümmert, Benutzern lokale Administratorrechte zuzuweisen. Wir haben die ganze Zeit Probleme mit Viren / Spyware / Malware. Außerdem ist unser Desktop-Typ ein Neuling, aber sehr übermütig, als hätte er das Internet erfunden.

Wie auch immer, ich bin ein Netzwerkadministrator. Ich blockiere nur die wirklich schlechten Seiten und versuche, Sachen von meinem Ende abzuhalten, aber die dummen Benutzer scheinen immer einen Weg zu finden. Ich bin froh, dass ich nicht viel für den Desktop-Typ tun muss.