我唯一一次在这方面取得了一点点成功的是一位老板,如果他想安装一些东西,他愿意使用 run as 和备用凭据。我解释说,即使是系统管理员大部分时间都使用普通帐户登录系统,然后为他创建了自己的管理员帐户,只有在他想做一些特别的事情时才使用该帐户。它实际上非常有效,并且在我在公司的两年里,他的机器没有完全搞砸。这是一位相对精明的 CEO,他能够理解整个运行过程,我敢肯定他有一些我不会批准的东西,但至少它阻止了他被动地搞砸了。
我通常将“管理员”级别的用户创建为本地帐户或域帐户(以及实际授予用户帐户“权限”的受限组策略),具体取决于用户需要访问多少台计算机。我确保不要在日常用户帐户使用的任何组中命名它,也不要让它访问他们的 Exchange 邮箱。除了在他们的 PC 上安装软件/驱动程序之外,我希望“管理员”级别的帐户对任何事情都尽可能无用。
我唯一一次在这方面取得了一点点成功的是一位老板,如果他想安装一些东西,他愿意使用 run as 和备用凭据。我解释说,即使是系统管理员大部分时间都使用普通帐户登录系统,然后为他创建了自己的管理员帐户,只有在他想做一些特别的事情时才使用该帐户。它实际上非常有效,并且在我在公司的两年里,他的机器没有完全搞砸。这是一位相对精明的 CEO,他能够理解整个运行过程,我敢肯定他有一些我不会批准的东西,但至少它阻止了他被动地搞砸了。
告诉他们他们可以拥有与域管理员相同的访问权限,然后准确地给他们:
这个想法是特权帐户应该被破坏到足以让大多数时间以标准用户身份保持登录的痛苦; 老板只会在真正需要时才想使用特权帐户。大老板几乎总是非常依赖对电子邮件和报告系统的访问,因此,如果您可以使从特权帐户访问这些变得不那么方便,那么您的状态就很好。无论如何,您的老板有一半的时间会忘记凭据。
如果这仍然不能满足他们,那么继续分发一个完整的域管理员/root 帐户,但仍将其作为与正常工作帐户分开的帐户 - 毕竟,他们是老板。确保帐户经过严格审核。在这一点上,他们通常真正寻找的只是保险单或对冲流氓管理员的对冲;如果涉及到这些,他们需要感觉自己的责任停止了,只要他们有一个用于日常工作的标准用户帐户,这没有任何问题。
没有,除了让他们知道在他绝望地冲洗电脑时清理他的电脑至少需要 3 到 4 个小时。
只是公平的警告..
我只做合同工作,所以我做客户告诉我的任何事情,或者,如果我真的不喜欢它,我会在我的合同中行使“救助条款”。
考虑到这一点,今天大多数人都有过某种“恶意软件”体验。我与客户讨论他们通过浏览器错误等运行的恶意软件如何拥有与他们登录的用户帐户相同的权限和特权(包括访问他们的电子邮件和击键,更不用说资源服务器)。
通常我会收到诸如“为什么杀毒软件不处理它?”之类的问题。然后我们进行“军备竞赛”讨论——关于恶意软件人员如何下载与您相同的反恶意软件更新以及围绕新“签名”等进行工程的讨论。
我最重要的是解释说我在所有计算机上使用有限的用户帐户(并且已经这样做了多年)。
这就是我说服用户使用受限用户帐户运行的全部内容。在某些情况下,我不得不让用户首先体验恶意软件(这种情况总是会发生),但由于我的服务通常会非常清楚地表明相关费用,因此通常只会发生一次。
我通常将“管理员”级别的用户创建为本地帐户或域帐户(以及实际授予用户帐户“权限”的受限组策略),具体取决于用户需要访问多少台计算机。我确保不要在日常用户帐户使用的任何组中命名它,也不要让它访问他们的 Exchange 邮箱。除了在他们的 PC 上安装软件/驱动程序之外,我希望“管理员”级别的帐户对任何事情都尽可能无用。
这种策略为我省去了很多麻烦,并为我的客户节省了大量资金。进行您需要进行的对话需要“人际交往能力”,作为承包商当然会有所帮助,但这绝对是一个可以克服的问题。
不幸的是,您对签薪水的人无能为力。:-)
我能给你的最好的(实用的)建议是确保你为他的系统有一个好的备份程序,让他疯狂。哈哈
这真的归结为:
必须有人坐在驾驶座上。这是他的公司,很明显他是老板。你能做的最好的就是建议他最好的行动方案(任何事情),然后让他做出“明智的决定”。如果他不听从你的建议……那就出事了……那是他不听的错。
如果他确实听从了你的建议并且出了问题……这仍然是他的错,因为他做出了决定。记住,他在驾驶座上。
现在……这会让你不时看到一些奇怪的表情……甚至是轻笑或大笑。
但一定要解释,不同之处在于......你清理你的烂摊子(免费)并尽你最大的努力解决问题。另一个他付钱给你清理,你保留对他“说教”5-10分钟的权利,他同意听。
尽量保持有趣。
我从来没有遇到过向企业主解释这种逻辑的问题。他们中的大多数人已经知道了。用直率(但温和)的方式来解释它很有趣。;-)
与其试图让他相信他错了,不如试着找到一些妥协的方法。也许允许他使用他可以疯狂使用的来宾 vm 运行 VMware 的副本。试着让他有能力完成他认为他需要做的事情,而这种方式仍然会给他留下一个稳定的管理系统。
确实,您可能需要制定商业案例,即他可以拥有一台可靠的计算机,并且可以在出现故障时恢复,或者他丢失了他的计算机,因为您确切地知道系统上有什么以及如何修复它以及所有这些都在哪里媒体是。或者他可以有一台他负责的电脑,当电脑坏了,你不能保证你能做除格式化+重新安装之外的任何事情。
尝试沟通风险和您的工作,并尝试达成妥协。考虑设置一个虚拟机,或者一个双引导设置,或者让他有他需要/想要的灵活性的东西,但仍然让他有一个稳定的系统。
告诉他,他真的应该为公司其他人树立榜样。
如果他开始使用“互联网下载”来“定制”他的(最坏情况)笔记本电脑,那么他的销售总监将、财务总监将、助理销售总监将、销售人员将、技术人员将、客户服务将等等等等.
然后,解释 a) 业务基础设施的风险增加(想在互联网上找到所有客户和订单信息),b) 在组织中设置松散的安全和专业文化,以及 c) 支持成本更高并降低可靠性。
如果他想要一台游戏机,那么让他在自己的 PC 上进行操作,但商用 PC/笔记本电脑/设备是用于商业目的。
这是大人的事...
我不明白这里的答案是片面的。大奶酪得到大奶酪想要的东西。
非技术主管会遇到自己制造的麻烦吗?
也许——但把它看作是一个获得第一手能力以展示你的能力并与签支票的人面对面交流的机会。让一位才华横溢的年轻行政人员与 CEO 接触是让孩子面对面交流并简化晋升过程的好方法……“记住上个月拯救了一天的那个人……”
或者你可以采取脾气暴躁、循规蹈矩的做法,惹恼 CEO,让你的老板胃痛。
我完全回避了这个问题,给 CEO 买了一台非常昂贵的(当时)非常高端的 Mac 工作站,带有一个巨大的工作室显示器。他喜欢排他性,我喜欢这样一个事实,即他可以少一点麻烦。我保持了 ssh in 和 run top 的能力,只是为了关注事情。幸运的是,他不是笔记本电脑的人。
告诉他,很少有医院老板会为此进行脑部手术或任何外科手术。