Ces*_*Gon 3 windows permissions users
我负责一个由 70 多台工作计算机组成的基于 Windows 的网络。服务器为 Windows Server 2008,工作站为 Windows Vista 和 Windows XP。
大多数用户都是研究人员,他们中的一些人对不断安装他们从网络上获得的新小应用程序并对其进行试验有非常特殊的需求。他们要求我们(IT 部门)授予他们机器的本地管理员权限,但我不确定这是否是个好主意。
优点:用户可以随心所欲地安装应用程序并自由试验,使他们的工作更轻松;每次需要安装新应用程序时,IT 人员都可以减轻为他们提供帮助的压力。
缺点:用户将安装谁知道什么,没有任何控制,并且可能将不兼容的软件甚至恶意软件引入网络。
我曾考虑授予他们本地管理员权限,但将他们的计算机置于隔离网络中。但是,我们仍然需要解决它们与域服务器以及文件和数据库服务器的连接问题。
关于如何解决这个问题的任何想法?谢谢。
对于这种情况,我会采用以下两种方式之一:
对于那些对不同程序进行大量修补的人,安装 VMWare 工作站并拥有一个基本 VM 的存储库,他们可以断开网络并根据需要启动。
第二个稍微贵一点,但我会选择像 VMWare ESX + Virtual Center* 这样的东西,这样你就可以创建他们可以部署的基本模板。给他们一个漂亮的小沙箱,让他们拥有完全的管理员权限。允许他们根据需要创建和销毁虚拟机。只有当所有 70 个人都需要一直玩不同的东西时,这才真正合理。这也可以让他们在安装某些东西或调整设置之前对机器进行快照,以便他们可以快速回滚,还可以让您让他们访问更多种类的操作系统,而不必弄乱他们的日常机器。
*或任何您知道/可以负担得起的类似虚拟化技术 - Xen、Hyper-V、KVM 等。
我在一个大约有 120 人的研究机构工作。只有大约 30 人可以使用锁定的机器完成他们的工作,另外 90 人是研究人员或技术人员,他们不得不使用晦涩的软件,而且他们中的许多人不得不在偏远地区工作,我们只能通过电话向他们提供帮助(即没有远程桌面到他们的笔记本电脑来做一些工作)。
虽然“大多数体面的现代软件不再需要管理员权限”是真的,但我们不得不处理许多需要管理员才能安装和运行的不太体面的应用程序。其中一些是内部或其他研究人员和研究生编写的软件,因为其科学准确性,而不是软件的质量或对最佳实践的遵守,因此需要这些软件。
其中一些是用于数据采集和过程控制的软件,旨在在工业环境中的专用机器上运行。在这种情况下,即使有人退出控制应用程序,他们也必须立即重新启动它,因为一些大而危险的设备依赖于它。但是当这些应用程序在我们的环境中使用时,它们并不是那台 PC 上唯一运行的东西。
我们还有一种企业文化,科学家需要做的任何事情都可以,而 IT 必须让它发挥作用。回到 Win3.1、95、98 的时候,它并没有喋喋不休,但是一旦我们进入 NT4 Workstation,我们就不得不开始与 Admin 打交道。
我们(几乎)使用各种变通方法来处理这种情况,针对每种情况进行不同的组合:
对于我们实验室中使用的工业控制应用程序,RunAs 通常有效。高级技术人员将拥有具有本地管理员权限的帐户的密码,并且他们将为其他技术人员启动应用程序。
对于一些科学家,我们在他们的 PC 上为他们提供了具有管理员访问权限的本地帐户。如果他们需要安装某些东西,他们可以从网络注销,在本地登录并安装,然后再次注销并重新登录到网络。或者他们会使用 RunAs。他们中没有人喜欢这样做,但几乎每个人都杀死了一台需要重新部署的计算机,所以他们忍受了。
这些不起眼的程序都不能与组策略一起安装,但我们花了很多时间构建幻像并确保备份数据,这样就不会花费太多时间来擦除和重新安装出现问题的机器。
在某些情况下,我们将带有问题软件的机器放在受限 VLAN 上,但如前所述,问题在于它们经常需要访问主要的公司网络,即使它们以管理员身份运行
对于一个部门,我们暂时给了每个人两台机器 - 一台已锁定,另一台具有管理员访问权限。这持续了一年,直到他们都厌倦了没有在他们的“主要”办公 PC 上安装所有工具。
对于一些只偶尔需要管理员访问权限的科学家,我们会设置具有管理员权限但密码却很长的帐户。当他们需要访问时,我们会告诉他们密码,因为他们知道他们永远不会记住甚至懒得写下来。
当我离开时,我们开始研究 VM - 给他们 VMWare Workstation 或 Player 以及他们具有管理员访问权限的几个不同的 VM。如果我再次遇到类似的情况,这就是我会关注的重点。
| 归档时间: |
|
| 查看次数: |
619 次 |
| 最近记录: |