職場では、開発者は Windows 10 マシンのローカル管理者です。ドライブバイダウンロードなどのリスクをある程度軽減したいので、これはリスクがあります。しかし、生産性とある程度の自由も望んでいるので、ソフトウェア更新のたびにヘルプデスクを経由するように強制したくはありません。
私たちは、社内の従業員に悪意のある人はいないと信じているという事実を受け入れます(これは議論すべきことではありません。この質問で考慮すべき事実にすぎません)。
そのため、開発者はもはやローカル管理者ではなく、ソフトウェアのインストール時に使用できる別のアカウントを持つように IT 部門に依頼しました。実際には、開発者がそのようなソフトウェアをインストールする必要がある場合、ポップアップが表示され、他のローカル管理者アカウントの資格情報を入力するとインストールが完了し、それだけで権限のないアカウントでプログラムを使用できるようになります。
IT 部門は、これは不可能だと言っています (特権アカウントはドメイン管理者になりますが、これは問題です)。
これは本当ですか? 本当にこれを行うのは不可能ですか? 私には明らかなようですが、これまでそれを管理したことはありませんでした (開発者だった頃は、単に管理者ではなかったのですが、ここでは生産性の問題から管理者がそれを許可しません)
私たちは、開発者が権限のないアカウントで日常業務を遂行することを望んでいますが、仕事のためにカスタムソフトウェアをインストールできるようにしたいと考えています(開発者はリスクを認識しており、公式で信頼できるソースからダウンロードすること、ハッシュを確認する方法などを知っている必要があります)。
これ質問完全には役に立ちません。追加のハードウェアを購入する、追加のネットワーク分離を行う、ローカル管理者になることが一般的かどうかを示すなどの提案は、私の質問への回答にはなりません。
答え1
元パートタイム開発者として、私は IT チームとこの取り決めについて交渉しました。
- 私の通常のアカウントはドメインの管理者でもクライアントマシンの管理者でもないドメインメンバーアカウントでした
- マシン上にはドメイン メンバーではないが、ローカル管理者権限を持つ 2 番目のアカウントがありました。
そして、インストールやアップグレードができるようになりました特別ヘルプデスクに問い合わせることなくソフトウェアを入手できます。
しかし、管理タスクのワークフローは、ローカル管理者アカウント (Unix ではなく Windows) のパスワードを入力するだけというほど単純ではありませんでした。確実な方法は次のとおりです。
- ローカル管理者アカウントで接続する
- 最初のアカウントを(一時的に)ローカル管理者グループに配置する(=> 実際にはドメイン アカウントにローカル管理者権限を付与する)
- 最初のアカウントに戻って管理タスクを実行します
- ローカル管理者アカウントの下に再度移動して、メインアカウントをローカル管理者グループから削除します(=> 実際に管理者権限を取り消します)
- 通常のアカウントに再度変更し、通常の(管理者以外の)タスクを続行します。
理論上は、すべての管理タスクをローカル管理者アカウントから実行できるはずで、正しく記述されたプログラムの場合はそれが可能でした。しかし、ベータ レベルのツールの中には、ローカル マシン データとローカル ユーザー データの間で混乱を生じさせるものがあり、最終的にはそれらをインストールしたアカウントからしか使用できない状態になっていました。
それでも、私は何年も問題なくそのシステムを使用していました。IT チームは、私が管理者権限を本当に必要な場合にのみ使用すると信頼しており、その点では彼らを決して欺かないように努めました。
答え2
IT tells us that this is not possible (the privileged account would be Domain Administrator, which is not OK). Is this true?
いいえ。
必要に応じて使用できるように、ローカル管理者グループ内のローカル アカウントへのアクセス権を付与するだけです。完了です。