На работе наши разработчики являются локальными администраторами на своих компьютерах с Windows 10. Это рискованно, поскольку мы хотим несколько снизить риски, такие как попутная загрузка, но мы также хотим производительности и некоторой степени свободы, поэтому мы не хотим заставлять их обращаться в службу поддержки для каждого обновления программного обеспечения.
Мы признаем тот факт, что, по нашему мнению, ни один внутренний сотрудник не является злонамеренным (это не подлежит обсуждению — просто факт, который следует учитывать при рассмотрении этого вопроса)
Поэтому мы попросили IT-отдел, чтобы разработчики больше не были локальными администраторами, а имели отдельную учетную запись, которую они могут использовать при установке программного обеспечения. На практике, я думаю, что если им нужно установить такое программное обеспечение, появляется всплывающее окно, они вводят учетные данные другой локальной учетной записи администратора, установка завершена, и все, они могут затем использовать программу с непривилегированной учетной записью.
ИТ-отдел сообщает нам, что это невозможно (привилегированная учетная запись будет иметь права администратора домена, что недопустимо).
Это правда? Неужели это действительно невозможно сделать? Мне это кажется очевидным, но раньше я этого не делал (когда я был разработчиком, я просто никогда не был администратором, но здесь руководство не позволяет этого из-за проблем с производительностью).
Мы просто хотим, чтобы наши разработчики выполняли свои ежедневные задачи на непривилегированных аккаунтах, но мы хотим разрешить им устанавливать пользовательское программное обеспечение для своей работы (они осведомлены о рисках, знают, что нужно загружать из официальных и надежных источников, они знают, как проверять хэши и т. д.)
Этотвопросне помогает мне полностью; такие предложения, как покупка дополнительного оборудования, выполнение дополнительной сегрегации сети или указание того, является ли обычным быть локальным администратором или нет, не отвечают на мой вопрос.
решение1
Как бывший разработчик, работающий неполный рабочий день, я согласовал эту договоренность с ИТ-командой.
- моя обычная учетная запись была учетной записью члена домена, а не администратора домена или клиентской машины
- У меня на машине была вторая учетная запись, не являющаяся членом домена, но с правами локального администратора.
И этого было достаточно, чтобы позволить мне установить или обновитьособенныйпрограммное обеспечение, не обращаясь за помощью в службу поддержки.
Но рабочий процесс для любой административной задачи не был таким простым, как простой ввод пароля локальной учетной записи администратора (не Unix, а Windows...). Пуленепробиваемый способ был таким:
- подключитесь под учетной записью локального администратора
- поместить (временно) первую учетную запись в локальную группу администраторов (=> фактически предоставить привилегии локального администратора учетной записи домена)
- вернитесь к первому аккаунту и выполните любую административную задачу
- снова войдите под учетной записью локального администратора, чтобы удалить основную учетную запись из группы локальных администраторов (=> фактически отменив права администратора)
- снова перейдите на обычную учетную запись и продолжите выполнение обычных (не администраторских) задач
Теоретически, должно было быть возможно выполнять все административные задачи из локальной учетной записи администратора, и это было возможно для правильно написанных программ. Но некоторые инструменты уровня бета-версии создавали беспорядок между локальными данными машины и локальными данными пользователя, что приводило к тому, что их можно было использовать только из учетной записи, которая их установила.
Тем не менее, я использовал эту систему в течение многих лет без проблем. IT-команда доверяла мне использовать привилегии администратора только в случае крайней необходимости, и я изо всех сил старался никогда не обманывать их в этом вопросе.
решение2
IT tells us that this is not possible (the privileged account would be Domain Administrator, which is not OK). Is this true?
Нет.
Просто предоставьте им доступ к локальной учетной записи, которая находится в локальной группе администраторов, для использования при необходимости. Готово.