Wie überzeugt man einen großen Chef, dass er keine Administratorrechte benötigt?

Question 1

Das einzige Mal, dass ich damit auch nur ein kleines bisschen Erfolg hatte, war bei einem Chef, der bereit war, „run as“ mit alternativen Anmeldeinformationen zu verwenden, wenn er etwas installieren wollte. Ich erklärte ihm, dass selbst die Systemadministratoren sich die meiste Zeit mit normalen Konten bei Systemen anmeldeten, und erstellte ihm dann sein eigenes Administratorkonto, das er nur verwenden durfte, wenn er etwas Besonderes tun wollte. Das war tatsächlich sehr effektiv und verhinderte in den zwei Jahren, die ich in der Firma war, dass seine Maschine völlig durcheinander geriet. Das war ein relativ versierter CEO, der die ganze „run as“-Sache verstand, und ich bin sicher, dass er dort Sachen hatte, die ich nicht gebilligt hätte, aber zumindest hielt es ihn davon ab, passiv Dinge zu vermasseln.

Answer

Das einzige Mal, dass ich damit auch nur ein kleines bisschen Erfolg hatte, war bei einem Chef, der bereit war, „run as“ mit alternativen Anmeldeinformationen zu verwenden, wenn er etwas installieren wollte. Ich erklärte ihm, dass selbst die Systemadministratoren sich die meiste Zeit mit normalen Konten bei Systemen anmeldeten, und erstellte ihm dann sein eigenes Administratorkonto, das er nur verwenden durfte, wenn er etwas Besonderes tun wollte. Das war tatsächlich sehr effektiv und verhinderte in den zwei Jahren, die ich in der Firma war, dass seine Maschine völlig durcheinander geriet. Das war ein relativ versierter CEO, der die ganze „run as“-Sache verstand, und ich bin sicher, dass er dort Sachen hatte, die ich nicht gebilligt hätte, aber zumindest hielt es ihn davon ab, passiv Dinge zu vermasseln.

Question 2

Sagen Sie ihnen, dass sie die gleichen Zugriffsrechte haben können wie Domänenadministratoren, und gewähren Sie ihnen dann genau das:

Ein Standardbenutzerkonto, das mit ihren E-Mails, Dokumenten und Business-Apps verbunden ist, die sie für ihre tägliche Arbeit nutzen können.
Ein separates Konto auf dem Computer, das über Administratorrechte für diesen Computer verfügt (analog zum Domänenadministratorkonto eines Administrators), das jedoch NICHT mit seinem E-Mail-Konto oder geschäftlichen Anwendungen verbunden ist, die eine Authentifizierung basierend auf dem aktuell angemeldeten Benutzer erfordern, und für das keine Drucker eingerichtet sind. Dieses Konto solltekaputt durch Design,so dass es für den alltäglichen Gebrauch nicht gut geeignet ist.

Die Idee ist, dass das privilegierte Konto so weit geknackt werden sollte, dass es weniger schmerzhaft ist, die meiste Zeit als Standardbenutzer angemeldet zu bleiben; der Chef wird das privilegierte Konto nur verwenden wollen, wenn er es wirklich braucht. Große Chefs sind fast immer sehr stark auf den Zugriff auf E-Mail- und Berichtssysteme angewiesen. Wenn Sie also den Zugriff auf diese über das privilegierte Konto etwas weniger bequem machen können, sind Sie gut aufgestellt. In der Hälfte der Fälle wird Ihr Chef die Anmeldeinformationen sowieso einfach vergessen.

Wenn sie damit immer noch nicht zufrieden sind, können Sie ihnen ein vollwertiges Domänenadministrator-/Root-Konto aushändigen, aber tun Sie dies trotzdem als separates Konto von ihrem normalen Arbeitskonto – schließlich sind sie der Chef. Stellen Sie sicher, dass das Konto streng geprüft wird. An diesem Punkt suchen sie oft ohnehin nur nach einer Versicherung oder Absicherung gegen einen betrügerischen Administrator; sie müssen das Gefühl haben, dass sie im Ernstfall die Verantwortung tragen, und solange sie für ihre tägliche Arbeit ein Standardbenutzerkonto haben, ist daran nichts auszusetzen.

Answer

Sagen Sie ihnen, dass sie die gleichen Zugriffsrechte haben können wie Domänenadministratoren, und gewähren Sie ihnen dann genau das:

Ein Standardbenutzerkonto, das mit ihren E-Mails, Dokumenten und Business-Apps verbunden ist, die sie für ihre tägliche Arbeit nutzen können.
Ein separates Konto auf dem Computer, das über Administratorrechte für diesen Computer verfügt (analog zum Domänenadministratorkonto eines Administrators), das jedoch NICHT mit seinem E-Mail-Konto oder geschäftlichen Anwendungen verbunden ist, die eine Authentifizierung basierend auf dem aktuell angemeldeten Benutzer erfordern, und für das keine Drucker eingerichtet sind. Dieses Konto solltekaputt durch Design,so dass es für den alltäglichen Gebrauch nicht gut geeignet ist.

Die Idee ist, dass das privilegierte Konto so weit geknackt werden sollte, dass es weniger schmerzhaft ist, die meiste Zeit als Standardbenutzer angemeldet zu bleiben; der Chef wird das privilegierte Konto nur verwenden wollen, wenn er es wirklich braucht. Große Chefs sind fast immer sehr stark auf den Zugriff auf E-Mail- und Berichtssysteme angewiesen. Wenn Sie also den Zugriff auf diese über das privilegierte Konto etwas weniger bequem machen können, sind Sie gut aufgestellt. In der Hälfte der Fälle wird Ihr Chef die Anmeldeinformationen sowieso einfach vergessen.

Wenn sie damit immer noch nicht zufrieden sind, können Sie ihnen ein vollwertiges Domänenadministrator-/Root-Konto aushändigen, aber tun Sie dies trotzdem als separates Konto von ihrem normalen Arbeitskonto – schließlich sind sie der Chef. Stellen Sie sicher, dass das Konto streng geprüft wird. An diesem Punkt suchen sie oft ohnehin nur nach einer Versicherung oder Absicherung gegen einen betrügerischen Administrator; sie müssen das Gefühl haben, dass sie im Ernstfall die Verantwortung tragen, und solange sie für ihre tägliche Arbeit ein Standardbenutzerkonto haben, ist daran nichts auszusetzen.

Question 3

Keinen, außer ihnen mitzuteilen, dass es mindestens drei bis vier Stunden dauern wird, seinen Computer zu bereinigen, wenn er ihn hoffnungslos ruiniert hat.

Nur eine Warnung...

Answer

Keinen, außer ihnen mitzuteilen, dass es mindestens drei bis vier Stunden dauern wird, seinen Computer zu bereinigen, wenn er ihn hoffnungslos ruiniert hat.

Nur eine Warnung...

Question 4

Anstatt zu versuchen, ihn davon zu überzeugen, dass er Unrecht hat, sollten Sie vielleicht versuchen, einen Kompromiss zu finden. Erlauben Sie ihm vielleicht, eine Kopie von VMware mit einer Gast-VM auszuführen, auf der er sich austoben kann. Versuchen Sie, ihm die Möglichkeit zu geben, das zu tun, was er für nötig hält, und zwar auf eine Weise, die ihm dennoch ein stabiles verwaltetes System beschert.

In Wirklichkeit müssen Sie wahrscheinlich aus geschäftlicher Sicht begründen, dass er entweder einen Computer haben kann, der zuverlässig ist und bei einem Ausfall wiederhergestellt werden kann, oder dass er seinen Computer verliert, weil Sie genau wissen, was auf dem System ist, wie man es repariert und wo sich alle Medien befinden. Oder er kann einen Computer haben, für den er verantwortlich ist, und wenn der Computer kaputtgeht, können Sie nicht garantieren, dass Sie etwas anderes tun können als ihn zu formatieren und neu zu installieren.

Versuchen Sie, die Risiken und Ihr Vorgehen zu kommunizieren und einen Kompromiss zu finden. Erwägen Sie die Einrichtung einer VM oder eines Dual-Boot-Setups oder etwas, das ihm die Flexibilität bietet, die er braucht/wünscht, ihm aber trotzdem ein stabiles System ermöglicht.

Answer

Anstatt zu versuchen, ihn davon zu überzeugen, dass er Unrecht hat, sollten Sie vielleicht versuchen, einen Kompromiss zu finden. Erlauben Sie ihm vielleicht, eine Kopie von VMware mit einer Gast-VM auszuführen, auf der er sich austoben kann. Versuchen Sie, ihm die Möglichkeit zu geben, das zu tun, was er für nötig hält, und zwar auf eine Weise, die ihm dennoch ein stabiles verwaltetes System beschert.

In Wirklichkeit müssen Sie wahrscheinlich aus geschäftlicher Sicht begründen, dass er entweder einen Computer haben kann, der zuverlässig ist und bei einem Ausfall wiederhergestellt werden kann, oder dass er seinen Computer verliert, weil Sie genau wissen, was auf dem System ist, wie man es repariert und wo sich alle Medien befinden. Oder er kann einen Computer haben, für den er verantwortlich ist, und wenn der Computer kaputtgeht, können Sie nicht garantieren, dass Sie etwas anderes tun können als ihn zu formatieren und neu zu installieren.

Versuchen Sie, die Risiken und Ihr Vorgehen zu kommunizieren und einen Kompromiss zu finden. Erwägen Sie die Einrichtung einer VM oder eines Dual-Boot-Setups oder etwas, das ihm die Flexibilität bietet, die er braucht/wünscht, ihm aber trotzdem ein stabiles System ermöglicht.

Wie überzeugt man einen großen Chef, dass er keine Administratorrechte benötigt?

Antwort1

Antwort2

Antwort3

Antwort4

verwandte Informationen