Как убедить большого начальника, что ему не нужны права администратора?

Единственный раз, когда мне это хоть немного удалось, был босс, который был готов использовать run as с альтернативными учетными данными, если он хотел что-то установить. Я объяснил, что даже системные администраторы входили в системы с обычными учетными записями большую часть времени, а затем создавали ему его собственную учетную запись администратора, которую он мог использовать только тогда, когда хотел сделать что-то особенное. Это было на самом деле очень эффективно и не дало его машине полностью испортиться за два года, что я проработал в компании. Это был относительно подкованный генеральный директор, который мог понять всю суть run as, и я уверен, что у него там было то, что я бы не одобрил, но, по крайней мере, это не позволило ему пассивно все испортить.

Сообщите им, что у них может быть такой же доступ, как у администраторов домена, а затем предоставьте им именно это:

• Стандартная учетная запись пользователя, подключенная к электронной почте, документам и бизнес-приложениям, которые он может использовать в повседневной работе.
• Отдельная учетная запись на машине, которая имеет права администратора для этой машины (аналогично учетной записи администратора домена), но которая НЕ подключена к их учетной записи электронной почты или каким-либо бизнес-приложениям, требующим аутентификации на основе текущего вошедшего в систему пользователя, и не имеет настроенных принтеров. Эта учетная запись должна бытьсломанный по замыслу,поэтому он не пригоден для повседневного использования.

Идея заключается в том, что привилегированная учетная запись должна быть достаточно сломана, чтобы было менее болезненно оставаться в системе как обычный пользователь большую часть времени; босс захочет использовать привилегированную учетную запись только тогда, когда она ему действительно нужна. Большие боссы почти всегда очень сильно полагаются на доступ к электронной почте и системам отчетов, так что если вы можете сделать доступ к ним из привилегированной учетной записи немного менее удобным, вы в хорошей форме. Половину времени ваш босс все равно просто забудет учетные данные.

Если это их все еще не удовлетворяет, то вперед и выдайте полную учетную запись администратора домена/root, но все равно сделайте это как отдельную учетную запись от их обычной рабочей учетной записи — в конце концов, они боссы. Убедитесь, что учетная запись тщательно проверена. На этом этапе то, что они на самом деле ищут, — это просто страховой полис или хеджирование от мошенника-администратора; им нужно чувствовать, что все на их стороне, если до этого дойдет, и пока у них есть учетная запись стандартного пользователя для их повседневной работы, в этом нет ничего плохого.

Никаких, кроме того, что он дал им знать, что на очистку его компьютера уйдет не менее 3–4 часов, поскольку он безнадежно его засорил.

Просто честное предупреждение..

Вместо того, чтобы пытаться убедить его в том, что он неправ, возможно, вам следует попытаться найти какой-то способ компромисса. Возможно, разрешите ему запустить копию VMware с гостевой виртуальной машиной, на которой он может разгуляться. Постарайтесь дать ему возможность выполнить то, что, по его мнению, ему нужно сделать, таким образом, чтобы у него все еще оставалась стабильная управляемая система.

На самом деле, вам, вероятно, нужно сделать бизнес-кейс, что у него может быть либо надежный компьютер, который можно восстановить в случае отказа, либо он потеряет свой компьютер, потому что вы точно знаете, что находится в системе, как это исправить и где находятся все носители. Или у него может быть компьютер, за который он несет ответственность, и когда компьютер сломается, вы не можете гарантировать, что сможете сделать что-то еще, кроме форматирования+переустановки.

Попробуйте и сообщите о рисках и о том, что вы делаете, и попытайтесь достичь компромисса. Рассмотрите возможность настройки виртуальной машины или настройки двойной загрузки или чего-то, что даст ему необходимую/желаемую гибкость, но при этом позволит ему иметь стабильную систему.