我发现很多时候公司的“大老板”希望能够在他们的计算机上安装“任何东西”并做任何事情。
当然,我们可以告诉他,这很糟糕,因为IT系统管理员失去了对计算机的控制,等等。
有什么无可辩驳的论据可以说服大老板最好不要在他们的台式计算机上拥有管理员权限?
答案1
我唯一一次取得一点点成功是因为他有一个老板,如果他想安装某些东西,他愿意使用备用凭据运行。我解释说,即使是系统管理员大多数时候也会使用普通帐户登录系统,然后为他创建他自己的管理员帐户,只有当他想做一些特殊的事情时他才会使用这个帐户。这实际上非常有效,在我为公司工作的两年里,他的机器没有完全搞砸。这是一位相对精明的首席执行官,他能够理解整个运行过程,我敢肯定他那里有一些我不会批准的东西,但至少它阻止了他被动地搞砸事情。
答案2
告诉他们,他们可以拥有与域管理员相同的访问权限,然后给予他们以下权限:
- 一个标准用户帐户,与用户的电子邮件、文档和业务应用程序相连,可供用户用于日常工作。
- 计算机上具有该计算机管理员权限的单独帐户(类似于管理员的域管理员帐户),但未连接到其电子邮件帐户或任何需要基于当前登录用户进行身份验证的业务应用程序,并且未设置任何打印机。此帐户应该是设计有问题,因此它并不适合日常使用。
这个想法是,特权帐户应该被破解到足以让大多数时间以标准用户身份登录变得不那么麻烦;老板只有在真正需要时才会使用特权帐户。大老板几乎总是非常依赖电子邮件和报告系统的访问权限,因此,如果您可以让从特权帐户访问这些系统变得不那么方便,那么您就没问题了。有一半的时间您的老板会忘记凭据。
如果这仍然不能让他们满意,那么继续提供完整的域管理员/根帐户,但仍然将其作为与正常工作帐户分开的帐户——毕竟,他们是老板。确保帐户经过严格审核。此时,他们通常真正想要的只是一份保险单或对冲流氓管理员;他们需要觉得如果事情到了这一步,责任就落在他们身上,只要他们有一个用于日常工作的标准用户帐户,那就没有问题。
答案3
没有,除了让他们知道,当他的电脑被彻底搞乱时,至少需要 3 到 4 个小时来清理它。
只是公平警告......
答案4
与其试图说服他他错了,不如试着找到一些妥协的方法。也许允许他运行一个带有客户虚拟机的 VMware 副本,他可以尽情发挥。试着让他能够以一种仍能让他拥有稳定管理系统的方式完成他认为需要做的事情。
实际上,您可能需要提出商业案例,即他可以拥有一台可靠的计算机,当计算机出现故障时可以恢复,或者他丢失了计算机,因为您确切地知道系统上有什么、如何修复它以及所有媒体在哪里。或者他可以拥有一台由他负责的计算机,当计算机损坏时,您无法保证除了格式化和重新安装之外您还能做任何事情。
尝试沟通风险和您要做的事情,并尝试达成妥协。考虑设置虚拟机或双启动设置或其他可以给他需要/想要的灵活性,但仍能让他拥有稳定系统的东西。