¿Cómo convencer a un gran jefe de que no necesita privilegios de administrador?

La única vez que tuve un poquito de éxito en esto fue con un jefe que estaba dispuesto a usar ejecutar como con credenciales alternativas si quería instalar algo. Le expliqué que incluso los administradores de sistemas iniciaban sesión en los sistemas con cuentas normales la mayor parte del tiempo y luego le creaban su propia cuenta de administrador que solo podía usar cuando quería hacer algo especial. En realidad, fue muy efectivo y evitó que su máquina se estropeara por completo durante los dos años que estuve en la empresa. Este era un CEO relativamente inteligente que fue capaz de entender todo el asunto, y estoy seguro de que tenía cosas ahí que yo no habría aprobado, pero al menos eso le impidió arruinar pasivamente las cosas.

Dígales que pueden tener el mismo acceso que obtienen los administradores de dominio y luego proporcióneles exactamente eso:

• Una cuenta de usuario estándar que está conectada a su correo electrónico, documentos y aplicaciones comerciales que puede utilizar para el trabajo diario.
• Una cuenta separada en la máquina que tiene privilegios de administrador para esa máquina (análoga a la cuenta de administrador de dominio de un administrador), pero que NO está conectada a su cuenta de correo electrónico ni a ninguna aplicación empresarial que requiera autenticación basada en el usuario que ha iniciado sesión actualmente. y no tiene ninguna impresora configurada. Esta cuenta debe serroto por diseño,tal que no será bueno para el uso diario.

La idea es que la cuenta privilegiada debería estar lo suficientemente rota como para que sea menos doloroso permanecer conectado como usuario estándar la mayor parte del tiempo; el jefe sólo querrá utilizar la cuenta privilegiada cuando realmente la necesite. Los grandes jefes casi siempre dependen en gran medida del acceso al correo electrónico y a los sistemas de informes, por lo que si puedes hacer que el acceso a ellos desde la cuenta privilegiada sea un poco menos conveniente, estás en buena forma. La mitad del tiempo tu jefe simplemente olvidará las credenciales de todos modos.

Si esto aún no los satisface, entonces continúe y proporcione una cuenta raíz/administrador de dominio completo, pero aún así hágalo como una cuenta separada de su cuenta de trabajo normal; después de todo, ellos son el jefe. Asegúrese de que la cuenta esté exhaustivamente auditada. En este punto, lo que a menudo realmente buscan es simplemente una póliza de seguro o protección contra un administrador deshonesto; necesitan sentir que, si es necesario, la responsabilidad recae sobre ellos, y siempre que tengan una cuenta de usuario estándar para su trabajo diario, no hay nada de malo en ello.

Ninguno, excepto para hacerles saber que le tomará al menos de 3 a 4 horas limpiar su computadora cuando la ha limpiado irremediablemente.

Solo una advertencia justa..

En lugar de intentar convencerlo de que está equivocado, tal vez debería intentar encontrar alguna manera de llegar a un acuerdo. Quizás le permita ejecutar una copia de VMware con una máquina virtual invitada con la que pueda volverse loco. Intente darle la capacidad de lograr lo que cree que necesita hacer de una manera que lo deje con un sistema administrado estable.

En realidad, probablemente necesite presentar el caso comercial de que él puede tener una computadora que sea confiable y que pueda restaurarse cuando falle o que pierda su computadora porque usted sabe exactamente qué hay en el sistema y cómo arreglarlo y dónde está todo. los medios lo son. O puede tener una computadora de la cual es responsable, y cuando la computadora se estropea, no puede garantizar que podrá hacer otra cosa que no sea formatear y reinstalar.

Intente comunicar los riesgos y lo que hace, e intente llegar a un acuerdo. Considere configurar una máquina virtual, una configuración de arranque dual o algo que le permita la flexibilidad que necesita o desea, pero que aún así le permita tener un sistema estable.