在工作中,我们的开发人员是 Windows 10 计算机上的本地管理员。这很危险,因为我们希望在一定程度上减轻诸如驱动下载之类的风险,但我们也希望提高工作效率和一定程度的自由,因此我们不想强迫他们每次软件更新都通过帮助台。
我们接受这样的事实,即我们相信没有内部员工是恶意的(这不是要讨论的 - 只是在考虑这个问题时要考虑的一个事实)
因此,我们要求 IT 部门不再让开发人员担任本地管理员,而是拥有一个单独的帐户,供他们在安装软件时使用。实际上,我认为,如果他们需要安装此类软件,就会出现一个弹出窗口,他们会输入另一个本地管理员帐户的凭据,安装就完成了,就这样,他们就可以使用非特权帐户使用该程序了。
IT 告诉我们这是不可能的(特权帐户将是域管理员,这不行)。
这是真的吗?这样做真的不可行吗?我觉得这很明显,但我以前从未做到过(当我还是一名开发人员时,我根本就不是管理员,但在这里,管理层出于生产力问题不允许这样做)
我们只希望我们的开发人员在非特权账户上完成他们的日常任务,但我们希望允许他们在工作中安装自定义软件(他们意识到风险,知道从官方和可信赖的来源下载,他们知道如何检查哈希值等)
这问题并没有完全帮助我;诸如购买额外的硬件、进行额外的网络隔离或指出是否常见的本地管理员等建议并没有回答我的问题。
答案1
作为一名前兼职开发人员,我曾与 IT 团队协商过这一安排。
- 我的正常帐户是域成员帐户,既不是域管理员,也不是客户端计算机的管理员
- 我在机器上有第二个帐户,不是域成员,但具有本地管理员权限。
这足以让我安装或升级特别的软件,而无需向服务台询问。
但任何管理任务的工作流程并不像输入本地管理员帐户的密码那么简单(不是 Unix,而是 Windows...)。万无一失的方法是:
- 在本地管理员帐户下连接
- 将第一个帐户(临时)放入本地管理员组(=> 实际上将本地管理员权限授予域帐户)
- 返回第一个帐户并执行任何管理任务
- 再次进入本地管理员帐户,将主帐户从本地管理员组中取出(=> 实际上是撤销管理员权限)
- 再次更改为普通帐户并继续正常(非管理员)任务
理论上,应该可以从本地管理员帐户执行所有管理任务,并且对于正确编写的程序来说确实如此。但一些测试版工具会将本地机器数据和本地用户数据弄得一团糟,最终导致它们只能从安装它们的帐户使用。
尽管如此,我使用该系统已经多年,没有遇到任何问题。IT 团队相信我只在绝对必要时使用管理员权限,我尽力从不在这一点上欺骗他们。
答案2
IT tells us that this is not possible (the privileged account would be Domain Administrator, which is not OK). Is this true?
不。
只需授予他们访问本地管理员组中的本地帐户的权限,以便在需要时使用即可。完成。