会社の「大ボス」は、自分のコンピュータに「何でも」インストールして何でもできるようにしたいと思っていることが多々あります。
もちろん、IT システム管理者がコンピューターの制御を失うなど、これは悪いことだと彼に伝えることはできます。
デスクトップ コンピューターに管理者権限を与えない方がよいことを大ボスに納得させる反論の余地のない議論はありますか?
答え1
私がこの方法で少しでも成功したのは、何かをインストールしたいときに別の認証情報で実行することをいとわなかった上司のときだけでした。私は、システム管理者でさえも、ほとんどの場合は普通のアカウントでシステムにログオンしていることを説明し、特別なことをしたいときだけ使用する専用の管理者アカウントを作成しました。これは実際に非常に効果的で、私が会社にいた 2 年間、彼のマシンが完全に台無しになることを防いでくれました。この CEO は比較的知識が豊富で、実行の仕組みを理解できました。そこには私が承認しないようなものも入っていたと思いますが、少なくとも受動的に台無しにすることは防げました。
答え2
ドメイン管理者と同じアクセス権を付与できることを伝え、そのアクセス権を付与します。
- 日常業務で使用できる電子メール、ドキュメント、ビジネス アプリに接続された標準ユーザー アカウント。
- マシン上の別のアカウントで、そのマシンの管理者権限を持ちます(管理者のドメイン管理者アカウントに類似)。ただし、電子メールアカウントや、現在ログオンしているユーザーに基づく認証を必要とするビジネスアプリには接続されておらず、プリンタも設定されていません。このアカウントは、設計上壊れている、そのため、日常的な使用には適していません。
特権アカウントは、ほとんどの場合、標準ユーザーとしてログインしたままでいてもそれほど苦痛にならない程度に、十分に壊れている必要があるという考えです。上司は、本当に必要なときだけ特権アカウントを使用するでしょう。大ボスは、ほとんどの場合、電子メールやレポート システムへのアクセスに大きく依存しているので、特権アカウントからこれらにアクセスするのを少し不便にすることができれば、大丈夫です。いずれにしても、上司は資格情報を忘れてしまうでしょう。
それでもまだ満足できない場合は、完全なドメイン管理者/ルート アカウントを配布してください。ただし、通常の作業用アカウントとは別のアカウントとして配布してください。結局のところ、管理者は上司です。アカウントが厳重に監査されていることを確認してください。この時点で、管理者が本当に求めているのは、不正な管理者に対する保険やヘッジにすぎません。いざというときに責任は自分たちにあると感じさせる必要があります。日常業務用の標準ユーザー アカウントを持っている限り、何も問題はありません。
答え3
何もない。ただ、コンピュータが絶望的にダメになってしまったので、それをクリーンアップするのに少なくとも 3 ~ 4 時間はかかることを知らせるだけだ。
ただの公正な警告です。
答え4
間違っていると説得する代わりに、妥協策を探るべきかもしれません。VMware のコピーをゲスト VM で実行できるようにして、自由に操作できるようにします。安定した管理対象システムを維持しつつ、必要だと考えていることを達成できるようにしてください。
実際には、システムに何が入っているか、どのように修復するか、すべてのメディアがどこにあるかを正確に把握しているため、信頼性が高く、故障しても復元できるコンピューターを彼に持たせるか、彼がコンピューターを紛失するかのどちらかであるというビジネスケースを作成する必要があるでしょう。または、彼が責任を持つコンピューターを所有していて、コンピューターが壊れたときに、フォーマットと再インストール以外の操作ができないことを保証することはできません。
リスクと自分の行動について話し合い、妥協点を見つけようとします。VM やデュアルブート セットアップなど、必要な柔軟性を備えながらも安定したシステムを維持できる設定を検討します。