服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 给用户的pipe理员访问公司PC是否正常?
Intereting Posts
如果后端处于closures状态,nginx使用代理caching 什么是可扩展的Windows Home Server备份技术的替代品? Nginx作为反向代理:如何正确configuration网关超时? SQL Server备份覆盖的大小增加 networking/ TCP的特征是什么引起了TCP活动和延迟之间的线性关系? 从upstart运行node.js(Ubuntu 12.04) IIS处理程序映射 用户活动的MYSQL日志通过IP地址 xinetd脚本返回200确定,但curl获取权限被拒绝 如何使用Pure-FTPD“FTP监狱”? DFS复制和Windows 2008 R2文件服务器上的磁盘配额 esxi vmware iscsi-datastore在停电后丢失 不明原因的大量rmagick临时文件 将SQL Server备份到networking共享 Nginx通过PAMauthentication通过pam_script

给用户的pipe理员访问公司PC是否正常?

我有一个用户想要成为他的工作电脑的pipe理员,他做了一些关于他没有它的工作的故事,所以我被告知要“修复它”(就好像这是他login的故障一样一个用户!)。

我的IT合作伙伴和我不会以pipe理员身份login,因为病毒/恶意软件占据主导地位并将自己设置为服务器来分发攻击(过去发生过)。

什么是您的networking用户的“标准”,以及如何处理pipe理员访问请求?

谢谢

我们目前有三个级别的用户支持:

  1. 全力支持。 用户只有基本的访问权限和一组标准的应用程序
  2. 有限的支持。 我们做中央补丁的操作系统和供应应用程序。 用户具有root访问权限。
  3. 没有支持。 我们向用户提供互联网连接。 用户负责计算机,包括软件和打补丁。 我们监控networking的问题,并在出现问题时切断用户。

这样用户就可以select他们想要的东西,并最大限度地减lessIT人员和用户的影响。 我们发现用户可以被信任select适当的支持水平。 我有一种感觉,在生产力方面默认locking用户是非常昂贵的。

我的两分钱:

1 /pipe理员权限是坏的。 而恶意软件并不是唯一的原因。 另外一个更常见的问题是,许多用户将添加不知道如何支持的应用程序,或者随着时间的推移而停止使用。 结果? 这样的三四年,你最终哭了,因为出于某种原因,一个关键业务stream程是使用一个没有人知道的应用程序来处理,或者是由一个“公司,或其他。 我有一个客户,例如谁使用Lotus 1-2-3开发了一个BIG-实际上非常有用的应用程序。 一个非常旧的版本。 这不会运行在任何后来的操作系统比… Windows 98.而这样做的人离开了公司。 看到这个问题?

2 /如果有人不应该有pipe理员权限,这是开发者 。 因为如果他们是pipe理员,他们不会根据编码指南编写他们的软件。 他们最终将编写需要pipe理员权限运行的应用程序。 哪个不好。

我是一个系统pipe理员,我运行没有pipe理员权限(甚至没有我的电脑的本地pipe理员)。 当我需要他们时,我抓住他们,为我的pipe理任务。 那是我自己的救命恩人 我可以犯错误…pipe理员权限的错误可能是可怕的。

最终用户可以拥有更高的权限。 通常,这将取决于您的公司文化。

最好的IT策略是默认执行工作职能所需的最less权限。 如果有正当理由,并且没有技术scheme来维护较低的权限,那么额外的访问就是一种商业上的理由。

一些技术公司select给所有用户本地pipe理员权限。 其他人,只有技术人员。

在我的部门:没有理由,他们无法访问。 关于工作站本地pipe理员访问:技术用户通常会得到它。 如果他们为公司带来风险,可以在个人基础上进行重新评估。 平均非技术型员工没有。 我们从来没有发生过任何意义上的恶意软件事件,但总的来说,我们运行的是严密的船舶。

今天早些时候我也回答了一个问题 ,这个问题和你的问题有关。 它涵盖了与访问控制政策和程序相关的一些基本原则。

不,不,不,不!

没有拥有pipe理员权限的用户的计算机应该永远不会进入您的networking。 当然没有公司拥有的电脑应该有用户pipe理权限:

  • 用户将安装不受欢迎的程序 – P2P /种子等
  • 用户在IT部门负责的公司拥有的机器上安装盗版/未经许可的软件。
  • 用户一般会“掏空”他们的电脑,下载不兼容的更新等
  • 他们的计算机不太安全 – 通过以有限用户身份运行,Windows 7漏洞的90%得到缓解

我不讨厌用户,但是如果IT部门不断需要解决自己造成的电脑问题,那么IT部门就不能有效地工作。

为什么地球上的用户(开发者,如果你有他们,除外)需要pipe理员访问。

要安装应用程序?

我们花费大量的时间和精力testing应用程序的兼容性,然后我们在一个特定的版本上进行标准化。 我们维护许可信息,并同意支持我们安装的任何内容。

运行需要pipe理员权限的应用程序?

嘿,我们没有运行Windows 98了。 我不记得一个需要pipe理员权限的标准商业应用程序。 如果有的话,我们不会放在首位。

更新?

这就是WSUS /华硕的。 大多数用户不需要最新的graphics卡驱动程序 – 他们不是游戏玩家!

如果[插入原因]必须以pipe理员身份运行?

然后,他们完全与networking的其他部分隔离,如果有足够的networking,他们可能在自己的领域。 最重要的是我们pipe理他们的期望 – 你打破它,你修正它 – 正常的SLA解决时间不适用。

有很多边缘案例,但我们的目标是运行我们的部门,所以用户不需要pipe理员访问甚至要求它。 如果你的用户拥有pipe理员权限,那么你不能控制你的“networking”,而不是我永远不想要的情况。

通常,在我工作的地方,软件开发人员可以访问pipe理员,而且通常没有其他人。

在我收缩的一个地方,他们有一个好主意。 为了获得pipe理员访问权限,我必须阅读并签署一份表格,同意如果我不得不打电话给IT部门解决计算机问题,或者如果有人在我的计算机上发现问题,IT部门会尝试修复它15分钟,然后擦拭和重新形象。

正如你可以从之前的答案中看到的,对此没有任何规范。 然而有最低特权的黄金法则。 这仅仅意味着你的用户应该拥有完成他们工作所需的最小访问权限。 不幸的是,特别是在Windows世界,这确实意味着一些用户(例如程序员)需要完整的pipe理权限。

我build议你询问有问题的用户,记下他/她无法作为用户做什么,并查看问题是否可以用不完整的pipe理权限解决。 如果他们不能或不愿意logging这些问题,那么你可能会向pipe理层提出这样一个理由:索赔是没有根据的,因此不需要改变。 当然,这种情况的好坏往往取决于谁在你的特定组织中被吸引。

如果有人真的需要在他们的本地机器上的pipe理权限,我会试图设置一些像Virtual Box / Vmware Player作为他们的沙盒。 允许他们在他们的沙箱中做他们想做的任何事情,在主机操作系统上,他们将像其他机器一样被locking。

具体细节将取决于对特定系统的期望。

  • 用户(及其经理)是否愿意让该用户负责备份?
  • 用户是否能够接受,如果因为他/她欺骗了某些东西不能很快被修复,你会popup一个磁盘并立即格式化?
  • 用户和pipe理人员是否愿意承担由于未经许可的软件,安全漏洞,networking上其他系统的损坏而导致的任何法律问题?