我们在现场总是至少有一名承包商,因为他们涉及不同的产品/技术,所以需要在他们的电脑上安装不同的软件。
这会占用大量的支持时间,并且基本上是永无止境的流。
授予他们管理员权限将允许他们自己完成这项工作。
缺点是他们现在有权利做任何事情。
其他人如何处理这个问题?
答案1
好了。你的选择是:
- 使用户成为本地管理员
- 采用某种打包和部署解决方案,如 MSI 安装程序和组策略 - 例如某些代理服务以管理员身份运行
- 提供本地管理员帐户的密码,并向承包商展示如何在安装软件时从他们的个人(域?)帐户切换用户。
(3) 是我的个人选择 - 我甚至不会在自己的机器上以管理员身份运行。虽然学习起来比较困难,但在使用 UAC 的 Windows 7(可能还有 Vista)上要容易得多。Aaron Margolis 的非管理员博客是一个很好的起点。
不以本地管理员身份运行的主要好处是可以抵御恶意软件和浏览器漏洞。您可以向您的用户解释这一点 - “如果您这样做,就不会破坏您的 PC” - 大多数普通用户都害怕破坏某些东西。
答案2
使用虚拟化。
然后在系统内给出他们自己的系统。
这样,所有开发沙箱都彼此独立,并且不会相互干扰或与主机操作系统干扰。
答案3
对于授予本地管理员,我们采取了焦土政策。如果您同意不浪费桌面支持技术人员的时间,您将获得本地管理员权限。基本上,您犯了错误,您的机器就会恢复。如果技术人员态度好,他们会花最多 30 分钟来查看您的问题。这对我们来说确实是一种双赢,因为获得本地管理员权限的人通常是对 PC 略知一二的人,他们几乎从来不会因为他们所做过的事情(通常与硬件有关)而需要呼叫桌面支持。
答案4
我们支持具有不同需求的大量用户群体,因此客户拥有委派权限,并且可以根据需要将工作站或本地服务器管理权限分配给尽可能多的人(或尽可能少的人)。
他们能仅有的但是,在我们设置的系统中执行此操作。例如:
- 管理员用户不得从其管理员帐户访问互联网。
- 无法从管理员帐户访问电子邮件
- 域管理员权限受到严格控制,仅限于大约二十几个人(约 4 万名用户)。