Usuários como administradores locais em máquinas Windows

3

Eu sou responsável por uma rede baseada no Windows com mais de 70 computadores no trabalho. Os servidores são o Windows Server 2008 e as estações de trabalho são o Windows Vista e o Windows XP.

A maioria dos usuários são pesquisadores, e alguns deles têm necessidades muito específicas sobre a instalação constante de novos pequenos aplicativos que eles obtêm da web e experimentam com eles. Eles nos pediram (ao departamento de TI) para conceder a eles direitos de administrador local para suas máquinas, mas não tenho certeza se isso seria uma boa ideia.

Prós: os usuários poderão instalar aplicativos da maneira que quiserem e experimentar livremente, facilitando o trabalho deles; As pessoas de TI ficariam menos pressionadas para assisti-las sempre que precisassem instalar um novo aplicativo.

Contras: os usuários estariam instalando quem sabe o que, sem qualquer controle, e possivelmente introduzindo software incompatível ou mesmo malware na rede.

Pensei em conceder a eles permissões de administrador local, mas colocando seus computadores em uma rede isolada. No entanto, ainda precisaríamos resolver sua conexão com o servidor de domínio e os servidores de arquivos e banco de dados.

Alguma idéia de como resolver esse problema? Obrigado.

    
por CesarGon 21.11.2009 / 03:27

7 respostas

5

Eu trabalhei em uma organização de pesquisa com cerca de 120 pessoas. Apenas cerca de 30 poderiam fazer seu trabalho com uma máquina bloqueada, os outros 90 eram pesquisadores ou tecnólogos que precisavam usar software obscuro e muitos deles tinham que trabalhar em locais remotos onde a única ajuda que podíamos dar a eles era pelo telefone (ou seja, não há área de trabalho remota no laptop para fazer algo funcionar).

Embora seja verdade que "O software moderno mais decente não requer mais direitos de administrador", tivemos que lidar com muitos aplicativos não muito decentes que precisavam de administração para instalar e executar. Algumas delas eram softwares escritos internamente ou por outros pesquisadores e estudantes de graduação que eram necessários por causa de sua precisão científica, não pela qualidade do software ou por sua aderência às melhores práticas.

Alguns deles eram softwares usados para aquisição de dados e controle de processos que deveriam ser executados em uma máquina dedicada em um ambiente industrial. Nesse cenário, mesmo que alguém saia do aplicativo de controle, eles têm para iniciá-lo imediatamente porque algum equipamento grande e perigoso depende dele. Mas quando esses aplicativos foram usados em nosso ambiente, eles não eram a única coisa que rodava naquele PC.

Também tínhamos uma cultura corporativa em que tudo o que os cientistas precisavam fazer era ok e a TI precisava fazer com que funcionasse. De volta quando era Win3.1, 95, 98, não importava, mas assim que entramos no NT4 Workstation, tivemos que começar a lidar com Admin ou não.

Nós (mal) lidamos com a situação usando uma variedade de soluções alternativas, combinadas de forma diferente para cada situação:

  • Para os aplicativos de controle industrial usados em nossos laboratórios, os RunAs geralmente funcionavam. Os técnicos seniores teriam o pw para uma conta com direitos de administrador local e eles seriam os que iniciaram os aplicativos para os outros tecnólogos.

  • Para alguns cientistas, nós demos a eles contas locais em seus PCs que tinham acesso de administrador. Se eles precisassem instalar algo, eles poderiam se desconectar da rede, efetuar login localmente e instalar, depois sair novamente e voltar à rede. Ou eles usariam RunAs. Nenhum deles gostava de fazer isso, mas quase todos eles tinham matado um computador a ponto de precisarem ser re-encenados, então eles agüentam isso.

  • Nenhum desses programas obscuros pode ser instalado com a Diretiva de Grupo, mas passamos muito tempo criando imagens fantasmas e garantindo o backup dos dados para que não demorasse muito tempo para limpar e reinstalar máquina que estava tendo problemas.

  • Em alguns casos, colocamos as máquinas com software problemático em uma VLAN restrita, mas, como mencionado, o problema é que elas frequentemente precisavam acessar a rede corporativa principal mesmo quando estão executando como administrador

  • Para um departamento, demos a todos duas máquinas por um tempo - uma bloqueada, uma com acesso de administrador. Isso durou um ano até que todos se cansaram de não ter todas as ferramentas em seu PC "principal".

  • Para alguns cientistas que precisavam apenas de acesso administrativo de vez em quando, criamos contas que tinham direitos de administrador, mas com senhas longas e loucas. Quando precisavam de acesso, nós dizíamos a senha, sabendo que eles nunca se lembrariam ou sequer se incomodariam em escrevê-la.

  • Estávamos começando a olhar para as VMs quando saímos - fornecemos VMWare Workstation ou Player e algumas VMs diferentes às quais eles tinham acesso de administrador. Isso é o que eu focaria se eu estivesse em uma situação semelhante novamente.

por 21.11.2009 / 07:00
5

Para esse tipo de situação, eu usaria uma destas duas maneiras:

  1. Para aqueles que fazem muitos ajustes em programas diferentes, instale a estação de trabalho do VMWare e tenha um repositório de VMs base que eles possam extrair da rede e inicializar conforme necessário.

  2. Este segundo é um pouco mais caro, mas eu usaria algo como o VMWare ESX + Virtual Center * para que você possa criar modelos base que eles possam implantar. Dando-lhes uma boa caixa de areia para jogar com direitos de administrador completos. Permitindo que eles criem e destruam vms conforme necessário. Isso só seria realmente razoável se todas as 70 pessoas precisassem brincar com coisas diferentes o tempo todo. Isso também permitiria que eles fizessem instantâneos de máquinas antes de instalar algo ou ajustar uma configuração para que pudessem retroceder rapidamente, além de permitir que eles tivessem acesso a uma variedade maior de sistemas operacionais, sem precisar mexer em sua máquina do dia a dia.

* ou qualquer tecnologia de virtualização comparável que você saiba / possa pagar - Xen, Hyper-V, KVM, etc.

    
por 21.11.2009 / 06:00
3

Dois pontos

  1. O software moderno mais decente não precisa mais de direitos de administrador para instalar (nem deveria). Eu trabalho em um sistema onde não tenho direitos de administrador e instalei, entre outras coisas, o Firefox, o Thunderbird, o OpenOffice.org sem problemas. Então, tente descobrir se as pessoas realmente precisam de direitos de administrador.
  2. Mesmo que isso aconteça, considere dar-lhes uma conta sem direitos de administrador e fornecer uma senha para encaminhar (usando Executar como) para administrador quando for absolutamente necessário. Isso mantém a janela de exposição pequena. Pode exigir alguma educação, mas é melhor do que sempre ser executado como administrador.
por 21.11.2009 / 03:44
1

Oferecemos aos usuários duas contas, uma conta de usuário comum e uma conta administrativa. Você não pode acessar a Internet via IE ou e-mail através da conta administrativa para desencorajar o uso do mesmo.

Esta solução funciona muito bem, com exceção de alguns aplicativos exóticos.

    
por 21.11.2009 / 06:08
0

2 sugestões simples:

  1. GPO
  2. PowerUser (LocalGroup)

Você pode personalizar os GPOs de acordo com suas necessidades específicas. Isso é o que eu faria ...

    
por 21.11.2009 / 03:36
0

Com 70 máquinas, espero que você tenha a configuração WDS para que Você pode rapidamente re-imagem máquinas para uma configuração padrão.

Dependendo do nível de suporte de aplicativo que você precisa fornecer, pode ser recomendável conceder acesso administrativo aos usuários, mas fazer a política de suporte para aqueles com acesso de administrador "Reinicializar e pressionar F12 para refazer a imagem da sua máquina novamente. estado. "

    
por 21.11.2009 / 04:13
0
  1. VLAN as máquinas que precisam de direitos de administrador.
  2. Cada nova máquina precisa de uma partição de recuperação (o Acronis True Image faz isso). Os usuários podem refazer a imagem quando necessário.
  3. Use a Citrix para lidar com os requisitos corporativos de software.
por 21.11.2009 / 09:28