Bei der Arbeit sind unsere Entwickler lokale Administratoren auf ihrem Windows 10-Rechner. Das ist riskant, da wir Risiken wie Drive-by-Downloads etwas abmildern wollen, aber wir wollen auch Produktivität und ein gewisses Maß an Freiheit, also wollen wir sie nicht zwingen, für jedes Software-Update den Helpdesk zu durchlaufen.
Wir akzeptieren die Tatsache, dass wir davon ausgehen, dass kein interner Mitarbeiter böswillig handelt (dies steht nicht zur Diskussion – es ist lediglich eine Tatsache, die bei dieser Frage berücksichtigt werden muss).
Deshalb haben wir die IT gebeten, dass Entwickler keine lokalen Administratoren mehr sind, sondern ein separates Konto haben, das sie zum Installieren von Software verwenden können. In der Praxis denke ich, dass, wenn sie eine solche Software installieren müssen, ein Popup-Fenster angezeigt wird, sie die Anmeldeinformationen des anderen lokalen Administratorkontos eingeben, die Installation abgeschlossen ist und das war’s. Anschließend können sie das Programm mit dem nicht privilegierten Konto verwenden.
Die IT teilt uns mit, dass dies nicht möglich ist (das privilegierte Konto wäre das des Domänenadministrators, was nicht in Ordnung ist).
Stimmt das? Ist das wirklich nicht machbar? Für mich ist das offensichtlich, aber ich habe das noch nie geschafft (damals, als ich Entwickler war, war ich einfach nie Administrator, aber hier erlaubt das Management das aufgrund von Produktivitätsproblemen nicht).
Wir möchten lediglich, dass unsere Entwickler ihre täglichen Aufgaben mit nicht privilegierten Konten erledigen, ihnen jedoch erlauben, für ihre Arbeit benutzerdefinierte Software zu installieren (sie sind sich der Risiken bewusst, wissen, dass sie von offiziellen und vertrauenswürdigen Quellen herunterladen müssen, sie wissen, wie man Hashes überprüft usw.).
DasFragehilft mir nicht ganz weiter; Vorschläge wie der Kauf zusätzlicher Hardware, eine stärkere Netzwerktrennung oder die Angabe, ob es üblich ist, ein lokaler Administrator zu sein oder nicht, beantworten meine Frage nicht.
Antwort1
Als ehemaliger Teilzeitentwickler hatte ich diese Vereinbarung mit dem IT-Team ausgehandelt.
- mein normales Konto war ein Domänenmitgliedskonto, weder Administrator der Domäne noch des Client-Rechners
- Ich hatte auf der Maschine ein zweites Konto, kein Domänenmitglied, aber mit lokalen Administratorrechten.
Und es war genug, um mir die Installation oder das Upgrade zu ermöglichenbesondersSoftware, ohne den Helpdesk danach zu fragen.
Der Workflow für administrative Aufgaben war jedoch nicht so einfach wie die Eingabe des Passworts des lokalen Administratorkontos (nicht Unix, sondern Windows...). Der todsichere Weg war:
- Verbinden Sie sich mit dem lokalen Administratorkonto
- Setzen Sie (vorübergehend) das erste Konto in die lokale Administratorgruppe (=> erteilen Sie dem Domänenkonto tatsächlich lokale Administratorrechte)
- Gehen Sie zurück zum ersten Konto und erledigen Sie alle Verwaltungsaufgaben
- Gehen Sie erneut zum lokalen Administratorkonto, um das Hauptkonto aus der lokalen Administratorgruppe zu entfernen (=> tatsächliches Aufheben der Administratorrechte)
- Wechseln Sie erneut zum normalen Konto und führen Sie normale (nicht administrative) Aufgaben fort
Theoretisch hätte es möglich sein sollen, alle Verwaltungsaufgaben vom lokalen Administratorkonto aus auszuführen, und für korrekt geschriebene Programme war dies auch möglich. Einige Beta-Tools führten jedoch zu einem Durcheinander zwischen den lokalen Computerdaten und den lokalen Benutzerdaten, was dazu führte, dass sie nur von dem Konto aus verwendet werden konnten, mit dem sie installiert wurden.
Trotzdem hatte ich dieses System jahrelang ohne Probleme verwendet. Das IT-Team vertraute darauf, dass ich Administratorrechte nur dann verwenden würde, wenn es unbedingt nötig war, und ich gab mir große Mühe, sie in diesem Punkt nie zu täuschen.
Antwort2
IT tells us that this is not possible (the privileged account would be Domain Administrator, which is not OK). Is this true?
NEIN.
Geben Sie ihnen einfach Zugriff auf ein lokales Konto, das sich in der lokalen Administratorgruppe befindet, damit sie es bei Bedarf verwenden können. Fertig.