직장에서 우리 개발자는 Windows 10 컴퓨터의 로컬 관리자입니다. 드라이브 바이 다운로드와 같은 위험을 어느 정도 완화하고 싶기 때문에 이것은 위험하지만 생산성과 어느 정도의 자유도 원하므로 모든 소프트웨어 업데이트에 대해 헬프데스크를 거치도록 강요하고 싶지 않습니다.
우리는 어떤 내부 직원도 악의적이지 않다고 믿는다는 사실을 받아들입니다(이것은 논의할 내용이 아닙니다. 단지 이 질문에 대해 고려해야 할 사실일 뿐입니다).
따라서 우리는 개발자가 더 이상 로컬 관리자가 아니라 소프트웨어를 설치할 때 사용할 수 있는 별도의 계정을 갖도록 IT 부서에 요청했습니다. 실제로 그러한 소프트웨어를 설치해야 할 경우 팝업이 나타나고 다른 로컬 관리자 계정의 자격 증명을 입력하면 설치가 완료되고 권한이 없는 사용자로 프로그램을 사용할 수 있다고 생각합니다. 계정.
IT는 이것이 불가능하다고 말합니다(권한 있는 계정은 도메인 관리자이므로 이는 좋지 않습니다).
이것이 사실입니까? 실제로 이렇게 하는 것이 불가능합니까? 제겐 당연한 일이지만 이전에는 그런 일을 해본 적이 없습니다. (제가 개발자였을 때는 단순히 관리자가 아니었지만 여기서는 생산성 문제로 인해 경영진이 이를 허용하지 않습니다.)
우리는 개발자가 권한이 없는 계정에서 일상적인 작업을 수행하기를 원하지만 작업을 위해 사용자 정의 소프트웨어를 설치할 수 있도록 허용하고 싶습니다(그들은 위험을 인식하고 공식적이고 신뢰할 수 있는 소스에서 다운로드하는 방법을 알고 있으며 해시를 확인하는 방법 등을 알고 있습니다).
이것질문나에게 전적으로 도움이 되지는 않습니다. 추가 하드웨어 구매, 추가 네트워크 분리 수행 또는 로컬 관리자가 되는 것이 일반적인지 여부 표시와 같은 제안이 내 질문에 대답하지 않습니다.
답변1
전직 파트타임 개발자로서 저는 IT 팀과 이 합의를 협상했습니다.
- 내 일반 계정은 도메인 관리자도 클라이언트 시스템 관리자도 아닌 도메인 구성원 계정이었습니다.
- 도메인 구성원이 아닌 로컬 관리자 권한을 가진 두 번째 계정이 컴퓨터에 있었습니다.
설치하거나 업그레이드할 수 있을 만큼 충분했습니다.특별한헬프 데스크에 문의하지 않고도 소프트웨어를 사용할 수 있습니다.
하지만 모든 관리 작업의 워크플로는 로컬 관리자 계정(Unix가 아니라 Windows...)의 비밀번호를 입력하는 것만큼 간단하지 않았습니다. 방탄 방식은 다음과 같습니다.
- 로컬 관리자 계정으로 연결
- (일시적으로) 로컬 관리자 그룹의 첫 번째 계정을 넣습니다 (=> 실제로 도메인 계정에 로컬 관리자 권한을 부여합니다)
- 첫 번째 계정으로 돌아가서 관리 작업을 수행하세요.
- 로컬 관리자 계정으로 다시 이동하여 로컬 관리자 그룹에서 기본 계정을 제거합니다(=> 실제로 관리자 권한을 취소합니다).
- 일반 계정으로 다시 변경하고 일반(관리자가 아닌) 작업을 계속합니다.
이론적으로는 로컬 관리자 계정에서 모든 관리 작업을 수행하는 것이 가능해야 하며 올바르게 작성된 프로그램에서는 가능했습니다. 그러나 일부 베타 수준 도구는 로컬 머신 데이터와 로컬 사용자 데이터 사이를 혼란스럽게 만들어 이를 설치한 계정에서만 사용할 수 있게 되었습니다.
그럼에도 불구하고 나는 그 시스템을 몇 년 동안 문제 없이 사용해 왔습니다. IT 팀은 꼭 필요한 경우에만 관리자 권한을 사용하도록 저를 믿었고, 저는 그 점에서 절대 속이지 않으려고 열심히 노력했습니다.
답변2
IT tells us that this is not possible (the privileged account would be Domain Administrator, which is not OK). Is this true?
아니요.
필요할 때 사용할 수 있도록 로컬 관리자 그룹에 있는 로컬 계정에 대한 액세스 권한을 부여하기만 하면 됩니다. 완료.