私は、会社の「大ボス」が「何でも」をインストールして、コンピューターで何でもできるようにしたいということを何度も発見しました。
もちろん、ITシステム管理者がコンピューターの制御を失うなどの理由で、彼に悪いことを伝えることができます。
デスクトップコンピューターの管理者権限を持たない方が良いと大ボスに納得させる反論の余地のある議論はありますか?
回答:
私がこれで少しでも成功したのは、何かをインストールしたい場合に別の資格情報でrun asを使用することをいとわない上司だけでした。システム管理者でさえ、ほとんどの場合通常のアカウントでシステムにログオンし、特別な何かをしたいときにのみ使用する彼自身の管理者アカウントを作成したと説明しました。それは実際には非常に効果的であり、私が会社にいた2年間で彼のマシンが完全にねじ込まれないようにしました。これは、実行全体を物事として理解することができる比較的精通したCEOであり、彼はそこに私が承認しなかったものがあると確信していますが、少なくともそれは彼が受動的に物事を台無しにすることを防ぎました。
ドメイン管理者が取得するのと同じアクセス権を持つことができることを伝え、それを正確に伝えます。
特権アカウントは、ほとんどの場合に標準ユーザーとしてログインしたままにしておくのに苦痛が少ないほど十分に破壊されるべきだという考えです。上司は、本当に必要なときにだけ特権アカウントを使用したいと思うでしょう。大ボスはほとんどの場合、電子メールとレポートシステムへのアクセスに非常に大きく依存しているため、特権アカウントからこれらにアクセスするのが少し便利になれば、体調は良好です。とにかく、上司が資格情報を忘れるのは半分の時間です。
それでも満足できない場合は、完全なドメイン管理者/ルートアカウントを配布しますが、通常の作業用アカウントとは別のアカウントとして実行します。結局、彼らはボスです。アカウントが厳重に監査されていることを確認してください。この時点で、とにかく彼らがしばしば本当に探しているのは、単に保険証券または不正な管理者に対するヘッジです。彼らはそれが来ると、彼らが彼らと一緒に止まるように感じる必要があり、彼らが日々の仕事のために標準的なユーザーアカウントを持っている限り、これは何も悪いことはありません。
administrator privileges そのマシンの(類似 to an admin's domain admin account)」 -私はそれを必要としない誰かにドメイン管理者を与え提唱することはない。
なし。ただし、彼が絶望的にホースを使い切ったときに、コンピューターをクリーンアップするのに少なくとも3〜4時間かかることを知らせます。
公正な警告..
私は契約作業のみを行うので、顧客に言われたことは何でもします。本当に気に入らない場合は、契約で「救済条項」を行使します。
それを念頭に置いて、ほとんどの人は今日、ある種の「マルウェア」の経験があります。ブラウザーのバグなどを介して実行する悪意のあるソフトウェアが、ログオンしているユーザーアカウントと同じ権利と特権を持っていることをお客様と話し合います(リソースへのアクセスはもちろん、メールやキーストロークへのアクセスを含むサーバー)。
通常、「なぜウイルス対策ソフトウェアがそれを処理しないのですか?」次に、「軍拡競争」の話をします。マルウェアの人々が、あなたと同じアップデートをどのようにマルウェア対策ソフトウェアにダウンロードし、新しい「署名」などについてエンジニアリングするかについての講演です。
私はすべてのコンピューターで限られたユーザーアカウントを使用している(そして何年も使用している)ことを説明することで、すべての一番上にあります。
これで、ユーザーを制限付きユーザーアカウントで実行するように説得することができました。数回、ユーザーに最初にマルウェアエクスペリエンスを提供する必要がありました(常に発生します)が、私のサービスには通常、関連する費用の非常に明確な兆候が付随するため、通常は1回しか発生しません。
通常、ユーザーがアクセスを必要とするコンピューターの数に応じて、ローカルアカウントまたはドメインアカウントとして(管理者)レベルのユーザーを(実際にユーザーアカウントに "権利"を付与する制限グループポリシーと共に)作成します。私は確認していない日々のユーザーアカウントで使用群のいずれにおいても、それに名前を付けるために、そしてないそれを自分のExchangeメールボックスへのアクセスを提供します。「管理者」レベルのアカウントは、PCにソフトウェア/ドライバーをインストールすること以外は、できるだけ役に立たないようにします。
この戦略は私に多くの頭痛の種を救い、私の顧客に相当なお金を節約しました。必要な会話をするには「人材スキル」が必要であり、請負業者であることは確かに問題に役立ちますが、間違いなく乗り越えられる問題です。
彼が間違っていることを彼に納得させようとする代わりに、おそらくあなたは妥協するための何らかの方法を試してみるべきです。おそらく、彼がゲストvmを使用してVMwareのコピーを実行できるようにして、彼がワイルドになることができるようにします。安定した管理されたシステムを残したまま、彼がする必要があると思うことを達成する能力を彼に与えてみてください。
本当に、あなたはおそらく、彼が信頼できるコンピュータを持っているか、それが失敗したときに復元できるか、彼がコンピュータを失ったかのどちらかであるというビジネスケースを作る必要があります。メディアがあります。または、彼が担当しているコンピューターを所有している可能性があり、コンピューターが壊れた場合、format + reinstall以外の操作ができることを保証できません。
リスクとあなたがしていることを伝えて伝え、妥協点に到達するようにしてください。VMのセットアップ、またはデュアルブートのセットアップなど、必要な柔軟性を実現できるものの、安定したシステムを維持できるものを検討してください。
残念ながら、給料に署名している人にできることはあまりありません。:-)
私があなたに与えることができる最良の(実用的な)アドバイスは、彼のシステムのために適切なバックアップルーチンを用意し、彼を暴走させることです。笑
それは本当にこれに要約されます:
誰かが運転席にいる必要があります。彼の会社は明らかに彼が上司です。あなたができる最善のことは、(何でも)最高の行動方針について彼に助言し、それから彼に「情報に基づいた決定」をさせることです。もし彼があなたのアドバイスに従わないなら...そしてねじ込みがあります...聞いていないのは彼のせいです。
彼があなたのアドバイスに従えば、ねじ込みがあります...彼が決定を下したので、それはまだ彼のせいです。彼が運転席にいることを忘れないでください。
さて...これは時々あなたにいくつかの奇妙な外観をもたらします...笑いや笑いさえも。
しかし、違いは...あなたの混乱をクリーンアップし(無料で)、状況を解決するために最善を尽くすことであることを必ず説明してください。もう片方は彼にあなたを片づけるために支払い、あなたは彼に5-10分間「説教」する権利を留保し、彼は聞くことに同意します。
面白い側でそれを維持するようにしてください。
このロジックをビジネスオーナーに説明するのに問題はなかった。彼らのほとんどはすでにそれを知っています。それを鈍い(まだ穏やかな)用語で説明するのは楽しいです。;-)
彼に、会社の残りが従うべき模範を本当に設定すべきだと彼に言ってください。
「最悪のケース」のラップトップを「インターネットダウンロード」で「カスタマイズ」し始めると、営業担当ディレクター、財務担当ディレクター、アシスタントセールスディレクター、営業担当者、技術者、顧客サービスなどが担当します。 。
次に、a)ビジネスインフラストラクチャに対するリスクが増加する(インターネットですべての顧客と注文情報を見つけたい)、b)組織にセキュリティとプロフェッショナリズムのスラックカルチャーを設定し、c)サポートにより多くの費用がかかることを説明する信頼性の低下。
プレイマシンが必要な場合は、自分のPCでプレイさせますが、ビジネス用PC /ラップトップ/機器はビジネス用です。
それは大人のものです...
ここでの答えの一方的な意味がわかりません。大きなチーズは、大きなチーズが望むものを手に入れます。
技術者ではない経営者は、自分で何かを作るのに苦労しますか?
たぶん-しかし、それをあなたの能力を見せびらかし、小切手に署名する男との対面を得るための直接的な能力を得る機会として見てください。CEOに才能のある若い管理者の露出を与えることは、子供にフェイスタイムを与え、昇進プロセスをより簡単にする素晴らしい方法です... "先月日を救った男を覚えています..."
または、不機嫌で本を読んで、CEOを怒らせ、上司に胸焼けを与えることができます。
この質問が出てきたら、この種のリクエストに対処するための明確なポリシーが組織にないのではないかと思います。これらが適切に設定されていれば、それは許可されないか、または特権を取得するための特別な要求を記録することになります。または、彼はあなたにあなたが方針に違反することを求めているでしょう。ああ。
できることはあまりありません。誰かがそれを受け取らなかったり、上司や組織が起こりうるリスクを認識していなかったりする場合、魔法のような議論はありません。あなたはスタンスを取ってノーと言うことができますが、それはうまくいかないかもしれず、悪い感情につながるかもしれません。
結論:上司が管理者として実行しているユーザーに関連する優先的な治療やリスクの外観に関心がなく、あなた(またはあなたの部署)が要求を拒否する承認された権限を持っていない場合、あなたもそれを与えるかもしれません彼。
あなたができる最善のことは、いくつかの丁寧な「これは最高の技術的実践に反する」声明を策定し、彼のものをバックアップして、彼を町に行かせることです。
ほとんどのマネージャーは、コンピューターを使用する2つのスタイルのいずれかを持っていることがわかりました。コンピューターを操作するよりも重要なことがあるため、非常に人手が利かないか、そこに手を入れて混乱するのが好きです。
ハンズオフマネージャーは問題ありません。コンピューターをセットアップし、何ができて何ができないかを伝え、何かをインストールする必要がある場合は常にそこにいることを確認します(できるだけ多くのオプションがあります-たとえば管理者アクセス権を持つローカルアカウント、VPN経由のテスト済みリモートアクセスなど)。
私の場合、コンピューターに何かをインストールまたは構成することを好むマネージャーとVPレベルの男たちのほぼすべてが、ある時点でコンピューターを殺したので、ロックダウンするのにそれほど苦労することはありませんでした。そのうちのいくつかは、彼らを幸せにするためにローカル管理者アカウントについて話さなければなりませんでしたが、彼らは私たちを関与させずに、または少なくとも最初に私たちに尋ねることなく何かをするリスクを理解していました。
しかし、大統領は、システムを殺したときのコストを理解していませんでしたが、解決策の最後の試みを試みる前に引退しました。2台のコンピューターを取得し、1台をすべての標準的なものでロックしましたインストールされ、2つ目は、彼が空想にふけるものなら何でもインストールできます。彼は「ネットブック」という用語が造られるずっと前に小さなノートブックが好きだったので、私は彼がそれらの2つを持ち歩くことができると思ったが、ただ1つの電源。
管理者権限を持っていると、企業の秘密を盗んだり、データや悪用サービスを破壊したり、データを破壊したり、ボットネットの一部になり、コンピューター犯罪者になりかねないウイルスを破壊したりするハッカーにとって、コンピューターがより脆弱になることを説明するDoS攻撃などに参加した場合。
さらに、誤って何かを破損した場合、修正しようとしている間、数時間(または数日間)コンピューターがなくても問題ないことを説明します。管理者権限がない場合、物事を破る能力が低下します。
最初にITポリシーを導入する必要があります-技術的なソリューションは、管理者以外のユーザーアカウントなどの技術的なセットアップがどれほど明白であるかに関係なく、常にそれらに基づいています。
私たちがやったことは、すでに言及されていることを説明することです...システムをクリーンアップする必要がある場合、それはその期間システムが存在しないことを意味します。また、迅速な評価を行うという厳格なポリシーもあります。クリーンアップに1時間以上かかる場合、または感染の程度をすばやく評価できない場合は、システムのイメージを変更するだけです。これに関する問題は、役員に関する限り、おもちゃがすべてなくなったということです。しかし、システムに何が入っているのか、またはすべてのインストールパッケージをどこで入手できるのかわからなかったので、アイデアが得られました。あなたはそのようなレバレッジを持っていないかもしれませんが、試してみる価値があります。
最終的に、大ボスは彼/彼女が容認できるものに関してビジネス上の決定をしなければなりません。技術的には意見が合わないかもしれませんが、それはビジネスではありません。上記の決定を受け入れられない場合は、他の場所で雇用を探すオプションが常にあります。
ところで、この議論に役立つリソースを探している場合は、Threatcode.comのサイトをご覧ください。それが保存されているかどうかはわかりませんが、過去に宣伝されています。
小切手に署名している人と「あなたはこれをすることはできません」と真正面から言ったら、あなたは失います!
いつものように、あなたはこれを回避するためにひねり回す必要があります。答えは、彼が管理者になりたい理由を理解している場合にのみ見つけることができます。
それが技術的なものであれば、彼を納得させることができるかもしれませんが、それが「力」であり、あなたの上司であることについてはあなたは運が悪いです。上司に、彼が上司になっている人々よりも少ない特権しか必要としないことを納得させることは非常に困難です。そしてほとんどのボスはそれを好まない)。
慎重に言葉を選び、この問題の人間的側面を忘れないでください。
\ computername \ c $をPCに入力し、すべてのドキュメントを読み、コピーし、別の場所に貼り付けて、ハッカーがシステムに対して行う操作の例を提示し、感染した場合に個人情報をすべて処理します。奇妙なサイトを閲覧したり、どこかから無料のゲームをダウンロードしたかったからです。
おそらく解雇されます。私は以前にそのような状況にあったことがあり、それは勝ち目のない状況です。私は今、もう一人です。私は、ユーザーにローカル管理者権限を付与することについて熱心に言っていない会社で働いています。常にウイルス/スパイウェア/マルウェアの問題があります。それに加えて、私たちのデスクトップの男は初心者ですが、まるで彼がインターネットを発明したかのように非常に生意気です。
とにかく、私はネットワーク管理者です。私は本当に悪いサイトをブロックし、私の終わりから物を防ぐようにしていますが、愚かなユーザーは常に方法を見つけているようです。デスクトップの人をあまり説明する必要がないのはうれしいことです。