我有一个用户想要成为他工作电脑的管理员,他编造了一些故事,说他没有电脑就无法工作,所以我被告知要“修复它”(好像这是他以用户身份登录时出现的错误!)。
我和我的 IT 同事不会以管理员身份登录,因为病毒/恶意软件会站稳脚跟并将自己设置为服务器来分发攻击(是的,过去确实发生过这种情况)。
您的网络用户的“常态”是什么以及您如何处理管理员访问请求?
谢谢
答案1
我们目前为用户提供三个级别的支持:
- 全面支持。用户仅拥有基本访问权限和一套标准应用程序
- 有限支持。我们对操作系统进行集中修补并提供应用程序。用户拥有 root 访问权限。
- 不支持。我们为用户提供互联网连接。用户对计算机负责,包括软件和补丁。我们监控网络问题,如果出现问题,我们会切断用户的连接。
这样,用户可以选择他们想要的,我们也会将对 IT 人员和用户的影响降到最低。我们发现,用户可以选择合适的支持级别。我感觉,默认锁定用户在生产力方面代价非常高昂。
答案2
最终用户拥有更高的权限可能有商业理由。通常,这将由您的公司文化决定。
最好的 IT 政策是默认为执行工作职能所需的最低权限。如果有正当理由,并且没有技术解决方案来维持较低的权限,那么就有业务理由要求增加访问权限。
一些技术公司选择向所有用户提供本地管理员访问权限。其他公司则只向技术人员提供。
在我的部门:没有正当理由,他们无法获得访问权限。关于工作站本地管理员访问权限:技术用户通常可以访问。如果他们给公司带来风险,可以单独重新评估。一般的非技术员工则不会。我们从未发生过任何重大的恶意软件事件,但我们总体上管理得很严格。
我也回答了一个问题今天早些时候,我发表了一篇演讲,与你在这里提出的问题有关。它涵盖了与访问控制政策和程序相关的一些基本原则。
答案3
我的看法:
1/ 管理员权限很糟糕。恶意软件并不是唯一的原因。另一个通常更大的问题是,许多用户会添加您不知道如何支持的应用程序,或者随着时间的推移而停止使用的应用程序。结果?三四年后,您最终会哭泣,因为出于某种原因,一个关键业务流程使用了一个无人知晓的应用程序来处理,或者是由离职人员的朋友开发的应用程序,或者其他原因。例如,我有一个客户使用 Lotus 1-2-3 开发了一个很大的 - 而且确实非常有用的 - 应用程序。一个非常旧的版本。它不能在比 Windows 98 更新的任何操作系统上运行。做这件事的人离开了公司。看到问题了吗?
2/ 如果某人不应该拥有管理员权限,那么开发商因为如果他们是管理员,他们不会付出任何努力来编写符合编码准则的软件。最终他们会编写需要管理员权限才能运行的应用程序。这很糟糕。
我是一名系统管理员,但我没有管理员权限(甚至没有我电脑的本地管理员权限)。当我需要它们时,我会抓住它们,以备我执行管理任务时使用。这是我自己的救命稻草。我可能会犯错误……而管理员权限的错误可能会很严重。
答案4
通常,在我工作的地方,软件开发人员拥有管理员访问权限,而其他人一般没有。
在我签约的一家公司,他们有个好主意。为了获得管理员权限,我必须阅读并签署一份表格,同意如果我因为电脑问题而需要打电话给 IT 部门,或者其他人发现我的电脑有问题,IT 部门会尝试在 15 分钟内修复,然后擦除并重新镜像。