「ユーザー」管理者に会社のPCへのアクセスを許可するのは正常ですか？

私は自分の仕事用PCの管理者になりたいユーザーがいます。彼はそれなしでは仕事をできないという話をしているので、「修正」するように言われますユーザー！）。

私のIT同僚と私は、ウイルス/マルウェアが足を踏み入れ、攻撃を分散するサーバーとして自分自身を設定するため、管理者としてログインしません（これは過去に発生しました）。

ネットワークユーザーの「規範」とは何ですか？また、管理者アクセスのリクエストをどのように処理しますか？

ありがとう

現在、ユーザー向けの3つのレベルのサポートがあります。

1. フルサポート。ユーザーには、基本的なアクセス権とアプリケーションの標準セットのみがあります
2. 限定サポート。OSの集中パッチを適用し、アプリケーションを提供します。ユーザーにはrootアクセスがあります。
3. サポートなし。ユーザーにインターネット接続を提供します。ユーザーは、ソフトウェアやパッチの適用など、コンピューターの責任を負います。ネットワークの問題を監視し、問題がある場合はユーザーを遮断します。

これにより、ユーザーは希望するものを選択でき、ITスタッフとユーザーの両方に対する影響を最小限に抑えます。適切なレベルのサポートを選択しても、ユーザーは信頼できることがわかりました。デフォルトでユーザーをロックダウンすると、生産性の面で非常にコストがかかると感じています。

私の2セント：

1 /管理者権限は悪いです。そして、マルウェアだけが理由ではありません。別の、そしてしばしばより大きな問題は、多くのユーザーがあなたがサポートする方法を知らないか、または時間の経過とともに廃止されるアプリケーションを追加することです。結果？このように3、4年、あなたは泣くことになります会社、または何でも。たとえば、Lotus 1-2-3を使用してBIG（そして非常に便利な）アプリを開発した顧客がいます。非常に古いバージョン。それは... Windows 98以降のOSでは動作しません。そして、これをやった男は会社を去りました。問題を参照してください？

2 /誰かが管理者権限を持ってはいけない場合、それは開発者です。彼らが管理者であれば、コーディングのガイドラインを尊重してソフトウェアを書く努力をしないからです。そして、管理者権限を実行する必要があるアプリを書くことになります。それは悪いです。

私はシステム管理者であり、管理者権限なしで実行しています（コンピューターのローカル管理者でさえありません）。それらが必要なときは、管理タスクのためにそれらを取得します。それは私自身の命の恩人です。私は間違いをすることができます...そして、管理者権限の間違いはひどいことがあります。

エンドユーザーがより高い特権を持っているビジネス上の正当性がある場合があります。多くの場合、企業文化によって決定されます。

最適なITポリシーは、ジョブ機能を実行するのに必要な最小限の特権にデフォルト設定することです。正当化があり、より低い特権を維持するための技術的な解決策がない場合、追加のアクセスに対してビジネス上の正当化があります。

一部の技術会社では、すべてのユーザーにローカル管理者アクセスを許可しています。その他、技術スタッフのみ。

私の部署では、正当な理由がなければ、彼らはアクセスできません。ワークステーションのローカル管理者アクセスに関して：技術ユーザーは通常それを取得します。それらが会社にリスクをもたらす場合、個別に再評価することができます。平均的な非技術系従業員はそうではありません。重大なマルウェアインシデントは一度もありませんでしたが、一般的には厳しい船に乗っています。

今日の質問にも答えました。これはここでの質問に関連しています。アクセス制御ポリシーと手順に関連する基本的な原則の一部をカバーしています。

いやいやいやいやいや！

管理者権限を持つユーザーがいるコンピューターをネットワークに接続することはできません。確かに、企業が所有するコンピューターにはユーザー管理者権限が必要です。

• ユーザーは望ましくないプログラムをインストールします-P2P / Torrentsなど
• ユーザーは、IT部門が責任を負う企業所有のマシンに、海賊版/ライセンスなしのソフトウェアをインストールします。
• ユーザーは一般に、コンピューターを「マックアップ」し、互換性のないアップデートなどをダウンロードします
• 彼らのコンピューターは安全性が低い-Windows 7の脆弱性の90％は、制限付きユーザーとして実行することにより軽減されます

私はユーザーを嫌いではありませんが、IT部門は、自分がコンピュータの問題を常に修正しなければならない場合、効果的に仕事をすることができません。

いったいなぜユーザー（開発者、もし持っている場合は例外）が管理者アクセスを必要とするのでしょうか。

アプリケーションをインストールするには？

互換性のためにアプリケーションのテストに多大な時間と労力を費やし、特定のバージョンで標準化します。ライセンス情報を維持し、インストールするものをサポートすることに同意します。

管理者アクセスが必要なアプリを実行するには？

もうWindows 98を実行していません。管理者権限を必要とする標準的なビジネスアプリを思い出せません。そうした場合、そもそも許可しません。

アップデート？

それがWSUS / ASUSの目的です。ほとんどのユーザーは最新のグラフィックスカードドライバーを必要としません-彼らはゲーマーではありません！

[ここに理由を挿入]を管理者として実行する必要がある場合はどうなりますか？

その後、それらはネットワークの残りの部分から完全に分離され、おそらく十分な数がある場合は、独自のドメインに分離されます。最も重要なことは、私たちは彼らの期待を管理します-あなたはそれを破って修正します-通常のSLA解決時間は適用されません。

多くのエッジケースがありますが、ユーザーが管理者アクセスを必要としたり、リクエストしたりする必要がないように、部門を運営することを目指しています。ユーザーに管理者権限がある場合、「ネットワーク」を制御することはできません。

通常、私が働いたところでは、ソフトウェア開発者には管理者アクセス権があり、一般的に他の誰もいませんでした。

私が契約したある場所では、彼らは良い考えを持っていました。管理者アクセスを取得するために、コンピューターの問題についてITに連絡する必要がある場合、または誰かがコンピューターの問題に気付いた場合、ITが15分間修正しようとすることに同意するフォームを読んで署名する必要がありましたワイプしてイメージを再作成します。

前の回答からわかるように、これは標準ではありません。ただし、最小特権のゴールデンルールがあります。つまり、ユーザーは自分の仕事を行うために必要な最小限のアクセス権を持っている必要があります。特にWindowsの世界では、一部のユーザー（プログラマなど）が完全な管理者権限を必要とすることを意味するのは残念です。

問題のユーザーに、ユーザーとして実行できないことを文書化し、完全な管理者権限以外で問題を解決できるかどうかを確認することをお勧めします。彼らが問題を文書化できないか、文書化する意思がない場合、経営陣に主張が根拠がなく、したがって変更を必要としないというケースを提示できる可能性があります。もちろん、これがどれだけうまくいくかは、特定の組織のだれが誰に吸い付くかによって異なります。

誰かがローカルマシンの管理者権限を本当に必要としている場合、Virtual Box / Vmware Playerのようなものをサンドボックスとしてセットアップしたいと思うでしょう。サンドボックス内で必要なことを何でも実行できます。ホストOSでは、他のマシンと同様にロックダウンされます。

詳細は、特定のシステムに対する期待に大きく依存します。

• ユーザー（およびそのマネージャー）は、そのユーザーにバックアップの責任を負わせますか？
• ユーザーは、何かをすぐに修正できないため、ディスクにポップしてすぐにフォーマットするということをすぐに修正できない場合、それを受け入れることができますか？
• ライセンスされていないソフトウェア、セキュリティ侵害、ネットワーク上の他のシステムの損傷に起因する法的問題について、ユーザーとマネージャーは責任を負う準備ができていますか？