Eu trabalhei em uma organização de pesquisa com cerca de 120 pessoas. Apenas cerca de 30 poderiam fazer seu trabalho com uma máquina bloqueada, os outros 90 eram pesquisadores ou tecnólogos que precisavam usar software obscuro e muitos deles tinham que trabalhar em locais remotos onde a única ajuda que podíamos dar a eles era pelo telefone (ou seja, não há área de trabalho remota no laptop para fazer algo funcionar).
Embora seja verdade que "O software moderno mais decente não requer mais direitos de administrador", tivemos que lidar com muitos aplicativos não muito decentes que precisavam de administração para instalar e executar. Algumas delas eram softwares escritos internamente ou por outros pesquisadores e estudantes de graduação que eram necessários por causa de sua precisão científica, não pela qualidade do software ou por sua aderência às melhores práticas.
Alguns deles eram softwares usados para aquisição de dados e controle de processos que deveriam ser executados em uma máquina dedicada em um ambiente industrial. Nesse cenário, mesmo que alguém saia do aplicativo de controle, eles têm para iniciá-lo imediatamente porque algum equipamento grande e perigoso depende dele. Mas quando esses aplicativos foram usados em nosso ambiente, eles não eram a única coisa que rodava naquele PC.
Também tínhamos uma cultura corporativa em que tudo o que os cientistas precisavam fazer era ok e a TI precisava fazer com que funcionasse. De volta quando era Win3.1, 95, 98, não importava, mas assim que entramos no NT4 Workstation, tivemos que começar a lidar com Admin ou não.
Nós (mal) lidamos com a situação usando uma variedade de soluções alternativas, combinadas de forma diferente para cada situação:
-
Para os aplicativos de controle industrial usados em nossos laboratórios, os RunAs geralmente funcionavam. Os técnicos seniores teriam o pw para uma conta com direitos de administrador local e eles seriam os que iniciaram os aplicativos para os outros tecnólogos.
-
Para alguns cientistas, nós demos a eles contas locais em seus PCs que tinham acesso de administrador. Se eles precisassem instalar algo, eles poderiam se desconectar da rede, efetuar login localmente e instalar, depois sair novamente e voltar à rede. Ou eles usariam RunAs. Nenhum deles gostava de fazer isso, mas quase todos eles tinham matado um computador a ponto de precisarem ser re-encenados, então eles agüentam isso.
-
Nenhum desses programas obscuros pode ser instalado com a Diretiva de Grupo, mas passamos muito tempo criando imagens fantasmas e garantindo o backup dos dados para que não demorasse muito tempo para limpar e reinstalar máquina que estava tendo problemas.
-
Em alguns casos, colocamos as máquinas com software problemático em uma VLAN restrita, mas, como mencionado, o problema é que elas frequentemente precisavam acessar a rede corporativa principal mesmo quando estão executando como administrador
-
Para um departamento, demos a todos duas máquinas por um tempo - uma bloqueada, uma com acesso de administrador. Isso durou um ano até que todos se cansaram de não ter todas as ferramentas em seu PC "principal".
-
Para alguns cientistas que precisavam apenas de acesso administrativo de vez em quando, criamos contas que tinham direitos de administrador, mas com senhas longas e loucas. Quando precisavam de acesso, nós dizíamos a senha, sabendo que eles nunca se lembrariam ou sequer se incomodariam em escrevê-la.
-
Estávamos começando a olhar para as VMs quando saímos - fornecemos VMWare Workstation ou Player e algumas VMs diferentes às quais eles tinham acesso de administrador. Isso é o que eu focaria se eu estivesse em uma situação semelhante novamente.