É normal dar acesso de administrador 'usuários' ao PC da empresa?

Atualmente, temos três níveis de suporte para os usuários:

1. Suporte completo. Os usuários só têm acesso básico e um conjunto padrão de aplicativos
2. Suporte limitado. Fazemos remendos centrais do sistema operacional e dos aplicativos de fornecimento. O usuário tem acesso root.
3. Sem suporte. Nós fornecemos ao usuário uma conexão com a internet. O usuário assume a responsabilidade pelo computador, incluindo software e correções. Nós monitoramos a rede em busca de problemas e cortamos o usuário se houver algum problema.

Dessa forma, os usuários podem escolher o que desejam e minimizar o impacto, tanto para a equipe de TI quanto para os usuários. Descobrimos que os usuários podem ser confiáveis para escolher um nível apropriado de suporte. Tenho a sensação de que bloquear os usuários por padrão é muito caro em termos de produtividade.

Meus dois centavos:

1 / Direitos de administrador são ruins. E malware não é a única razão pela qual. Outro problema, e muitas vezes maior, é que muitos usuários adicionam aplicativos que você não sabe como suportar ou que são descontinuados com o tempo. Resultado Três ou quatro anos como este, e você acaba chorando porque, por alguma razão, um processo crítico de negócios é tratado usando um aplicativo que ninguém conhece, ou que foi desenvolvido por um amigo-do-cara-que-deixou- a empresa, ou qualquer outra coisa. Por exemplo, tenho um cliente que desenvolveu um aplicativo BIG e, na verdade, MUITO ÚTIL, usando o Lotus 1-2-3. Uma versão muito antiga. Isso não roda em qualquer sistema operacional posterior do que ... Windows 98. E o cara que fez isso deixou a empresa. Veja o problema?

2 / Se ALGUÉM NÃO deve ter direitos de administrador, é os desenvolvedores . Porque se eles são administradores, eles não farão qualquer esforço para escrever seu software respeitando as diretrizes de codificação. E eles acabarão escrevendo aplicativos que precisam dos direitos de administrador para serem executados. O que é ruim.

Sou administrador do sistema e estou executando sem direitos de administrador (nem mesmo o administrador local do meu computador). Quando eu preciso deles, eu os agarro, durante o tempo da minha tarefa administrativa. Esse é o meu próprio salva-vidas. Eu posso cometer erros ... E erros com direitos de administrador podem ser terríveis.

Pode haver justificativa comercial para um usuário final ter privilégios mais altos. Muitas vezes, isso será ditado pela cultura da sua empresa.

A melhor política de TI é padronizar para menos privilégios necessários para executar uma função de trabalho. Se houver justificativa e não houver soluções técnicas para manter menos privilégios, haverá uma justificativa comercial para o acesso adicional.

Algumas empresas técnicas optam por conceder acesso de administrador local a todos os usuários. Outros, apenas pessoal técnico.

No meu departamento: sem justificativa, eles não têm acesso. Em relação ao acesso de administrador local da estação de trabalho: os usuários técnicos geralmente o obtêm. Se introduzir risco para a empresa, ela pode ser reavaliada individualmente. O funcionário não técnico médio não. Nós nunca tivemos um incidente de malware de qualquer importância, mas corremos um navio apertado em geral.

Eu também respondi uma pergunta hoje mais cedo, que está relacionado à sua pergunta aqui. Abrange alguns dos princípios fundamentais associados à política e ao procedimento de controle de acesso.

Não, não, não, não, não!

Nenhum computador com um usuário com direitos de administrador deve entrar na sua rede. Certamente, nenhum computador da empresa deve ter direitos de administrador de usuário:

• Usuários instalarão programas indesejáveis - P2P / Torrents etc
• Usuários instalam software pirata / não licenciado, em uma máquina de propriedade da empresa, o departamento de TI é responsável.
• Os usuários geralmente "estragam" seus computadores, fazendo o download de atualizações incompatíveis etc.
• O computador deles é menos seguro - 90% das vulnerabilidades do Windows 7 são atenuadas pela execução de um usuário limitado

Eu não odeio os usuários, mas um departamento de TI não pode fazer o trabalho de forma eficaz se eles constantemente têm que corrigir problemas de computador auto-infligidos.

Por que diabos os usuários (desenvolvedores, se você os tem, exceto) precisam de acesso de administrador.

Para instalar aplicativos?

Nós gastamos muito tempo e esforço testando aplicativos para compatibilidade, então padronizamos em uma versão específica. Mantemos as informações de licenciamento e concordamos em oferecer suporte ao que instalarmos.

Para executar aplicativos que exigem acesso de administrador?

Ei, não estamos mais executando o Windows 98. Não consigo me lembrar de um aplicativo comercial padrão que exija direitos de administrador. Se alguém fizer isso, não permitiríamos, em primeiro lugar.

Atualizações?

É para isso que serve o WSUS / ASUS. A maioria dos usuários não precisa dos drivers mais recentes da placa gráfica - eles não são gamers!

E se [inserir o motivo aqui] tiver que ser executado como administrador?

Então eles são totalmente segregados do resto da rede, possivelmente se houver o suficiente deles, em seu próprio domínio. O mais importante é que gerimos as suas expectativas - você resolve o problema - os tempos normais de resolução de SLA não se aplicam.

Existem vários casos de limites, mas nosso objetivo é executar nosso departamento para que nenhum usuário precise precisar de acesso administrativo ou até mesmo solicitá-lo. Se os seus usuários tiverem direitos de administrador, você não controlará sua 'rede' e não uma situação em que eu gostaria de estar.

Normalmente, onde trabalhei, os desenvolvedores de software tiveram acesso de administrador e geralmente ninguém mais.

Em um lugar que contratei, eles tiveram uma boa ideia. Para obter acesso de administrador, eu tinha que ler e assinar um formulário concordando que, se eu tivesse que ligar para a TI sobre problemas no computador, ou se alguém notasse problemas no meu computador, ele tentaria consertá-lo por quinze minutos e depois limpe e re-imagem.

Como você pode ver nas respostas anteriores, não há uma norma para isso. Há, no entanto, a Regra de Ouro dos Privilégios Mínimos. Isso significa simplesmente que você deve ter os direitos mínimos de acesso necessários para realizar seu trabalho. É lamentável que, especialmente no mundo do Windows, isso signifique que alguns usuários (por exemplo, programadores) precisam de direitos de administrador completos.

Sugiro que você peça ao usuário em questão para documentar o que ele não é capaz de fazer como usuário e ver se o problema pode ser resolvido com algo menor que os direitos totais do administrador. Se eles não puderem ou não estiverem dispostos a documentar os problemas, você poderá apresentar um caso à gerência de que a reivindicação é infundada e, portanto, não requer alterações. É claro que o quão bem isso vai para baixo, muitas vezes depende de quem suga quem em sua organização particular.

Se alguém realmente precisar de direitos de administrador em sua máquina local, eu ficaria tentado a configurar algo como Virtual Box / Vmware Player como sua sandbox. Permita que eles façam o que quiserem dentro de sua sandbox e, no sistema operacional do Host, eles serão bloqueados como qualquer outra máquina.

Os detalhes dependem muito das expectativas para o sistema em particular.

• O usuário (e seus gerentes) está disposto a tornar esse usuário responsável pelos backups?
• O usuário será capaz de aceitar que, se algo não puder ser corrigido rapidamente porque ele / ela falsificou-se, você irá aparecer em um disco e formatá-lo imediatamente?
• O usuário e o gerente estão prontos para assumir responsabilidades por quaisquer problemas legais resultantes de software não licenciado, violações de segurança, danos a outros sistemas na rede?