我发现很多时候公司的“大老板”希望能够在他们的计算机上安装“任何东西”并做任何事情。
当然,我们可以告诉他,这是不好的,因为IT系统管理员失去了对计算机的控制等等。
有什么无可辩驳的论据可以说服大老板,最好不要在他们的台式计算机上拥有管理员权限?
Cat*_*nes 25
唯一一次我在这方面取得了一点点成功的是一个老板,如果他想安装一些东西,他愿意使用 run as 和备用凭据。我解释说,即使是系统管理员大部分时间也使用普通帐户登录系统,然后为他创建了自己的管理员帐户,只有当他想做一些特殊的事情时才会使用该帐户。这实际上非常有效,并且让他的机器在我在公司的两年内没有完全搞砸。这是一位相对精明的 CEO,他能够理解整个运行过程,我敢肯定他在那里有我不会批准的东西,但至少它阻止了他被动地把事情搞砸。
Joe*_*oel 15
告诉他们他们可以拥有域管理员获得的相同访问权限,然后准确地给他们:
这个想法是特权帐户应该被破坏得足够多,以便在大多数时间以标准用户身份保持登录不那么痛苦;老板只会在他真正需要的时候使用特权账户。大老板几乎总是非常依赖对电子邮件和报告系统的访问,因此,如果您可以使从特权帐户访问这些内容的方便性降低一点,那么您的状态就很好。有一半情况下,你的老板无论如何都会忘记凭据。
如果这仍然不能满足他们,那么继续分发一个完整的域管理员/root 帐户,但仍将其作为与正常工作帐户分开的帐户来执行 - 毕竟,他们是老板。确保帐户经过严格审核。在这一点上,他们通常真正想要的只是一份保险单或对流氓管理员的对冲;如果涉及到它,他们需要觉得自己的责任停止了,只要他们有一个标准的用户帐户来进行日常工作,就没有错。
Day*_*own 13
没有,除了让他们知道,当他无可救药地将电脑清理干净至少需要 3 到 4 个小时。
只是公平的警告..
我只做合同工作,所以我会做我的客户告诉我的任何事情,或者,如果我真的不喜欢它,我会在我的合同中执行“救助条款”。
考虑到这一点,今天大多数人都有过某种“恶意软件”体验。我与客户讨论了他们通过浏览器错误等运行的恶意软件如何与他们登录的用户帐户具有相同的权利和特权(包括访问他们的电子邮件和他们的按键,更不用说资源服务器)。
通常我会收到这样的问题:“为什么防病毒软件不处理它?” 然后我们进行了“军备竞赛”谈话——关于恶意软件人们如何下载与您相同的反恶意软件软件的更新以及围绕新的“签名”进行工程等。
我最重要的是解释说我在所有计算机上都使用有限的用户帐户(并且已经这样做了多年)。
这就是我说服用户使用受限用户帐户运行的全部内容。在某些情况下,我不得不让用户首先获得恶意软件体验(这种情况总会发生),但由于我的服务通常会非常清楚地表明相关费用,因此通常只会发生一次。
我通常将“管理员”级别的用户创建为本地帐户或域帐户(以及实际授予用户帐户“权限”的受限组策略),具体取决于用户需要访问的计算机数量。我确保不在日常用户帐户使用的任何组中命名它,也不授予它访问其 Exchange 邮箱的权限。我希望“管理员”级别的帐户除了在他们的 PC 上安装软件/驱动程序之外,对于任何事情都尽可能无用。
这个策略为我省去了很多麻烦,也为我的客户节省了大量资金。进行您需要的对话需要“人际交往能力”,作为承包商当然有帮助,但这绝对是一个可以克服的问题。
不幸的是,你对签薪水的人无能为力。:-)
我能给你的最好的(实用的)建议是确保你为他的系统准备了一个好的备份程序,让他疯狂。哈哈
它真的归结为:
必须有人坐在驾驶座上。很明显他是他的公司,他是老板。你能做的最好的事情就是向他建议最好的行动方案(任何事情),然后让他做出“明智的决定”。如果他不同意你的建议……那就是搞砸了……不听是他的错。
如果他确实听从了你的建议并且出现了问题……那仍然是他的错,因为他做出了决定。记住,他在驾驶座上。
现在……这会让你不时看到一些奇怪的表情……甚至是轻笑或大笑。
但一定要说明区别在于......你清理你的烂摊子(免费)并尽你最大的努力解决这个问题。另一个他付钱给你清理,你保留对他“讲道”5-10分钟的权利,他同意听。
尽量保持有趣的一面。
我从来没有遇到过向企业主解释这个逻辑的问题。他们中的大多数人已经知道了。用直率(但温和)的术语来解释它很有趣。;-)
与其试图说服他他错了,也许你应该尝试找到一些妥协的方法。也许允许他使用他可以疯狂使用的来宾虚拟机运行 VMware 的副本。尝试让他有能力完成他认为需要做的事情,而这种方式仍然会让他拥有一个稳定的托管系统。
真的,你可能需要做一个商业案例,他要么拥有一台可靠的计算机,当它出现故障时可以恢复,或者他丢失了他的计算机,因为你确切地知道系统上有什么以及如何修复它以及所有的位置媒体是。或者他可以有一台他负责的电脑,当电脑坏了,你不能保证你能做任何事情,而不是格式化+重新安装。
尝试沟通风险和您所做的事情,并尝试达成妥协。考虑设置一个虚拟机,或双启动设置或其他东西,让他拥有他需要/想要的灵活性,但仍然让他拥有一个稳定的系统。
告诉他,他真的应该为公司其他人树立榜样。
如果他开始通过“互联网下载”来“定制”他的(最坏情况)笔记本电脑,那么他的销售总监会,财务总监会,助理销售总监会,销售人员会,技术人员会,客户服务会等等.
然后,解释 a) 业务基础设施的风险增加(想在互联网上查找所有客户和订单信息),b) 在组织中设置松懈的安全和专业文化,以及 c) 支持成本更高并降低了可靠性。
如果他想要一台游戏机,那么让他在他自己的 PC 上做,但商用 PC/笔记本电脑/设备是用于商业目的。
是大人的东西...