我多次發現公司的“大老闆”希望能夠在他們的電腦上安裝“任何東西”並執行任何操作。
當然我們可以告訴他這很糟糕,因為IT系統管理員失去了對電腦的控制等等。
有什麼無可辯駁的論點可以說服大老闆最好不要在他們的桌上型電腦上擁有管理員權限嗎?
答案1
我唯一一次在這方面取得了一點成功,是一位老闆願意使用 run as 和備用憑證,如果他想安裝某些東西的話。我解釋說,即使是系統管理員大多數時候也使用普通帳戶登入系統,然後為他建立自己的管理員帳戶,只有當他想做一些特殊的事情時才使用該帳戶。這實際上非常有效,在我在公司的兩年裡,他的機器沒有完全搞砸。這是一位相對精明的首席執行官,他能夠理解整個運行過程,我確信他有一些我不會批准的東西,但至少這阻止了他被動地把事情搞砸。
答案2
告訴他們他們可以擁有與網域管理員相同的存取權限,然後準確地給予他們:
- 連接到他們可用於日常工作的電子郵件、文件和業務應用程式的標準使用者帳戶。
- 電腦上具有該電腦管理員權限的單獨帳戶(類似於管理員的網域管理員帳戶),但未連接到其電子郵件帳戶或任何需要基於當前登入使用者進行身份驗證的業務應用程序,並且沒有設定任何印表機.這個帳號應該是被設計破壞,這樣它就不適合日常使用。
這個想法是,特權帳戶應該被破壞得足夠多,以便在大多數時間以標準用戶身份保持登入不會那麼痛苦;老闆只會在真正需要時才想使用特權帳號。大老闆幾乎總是非常依賴對電子郵件和報告系統的訪問,因此,如果您可以使從特權帳戶訪問這些系統變得不那麼方便,那麼您就處於良好狀態。無論如何,有一半的時間你的老闆都會忘記這些憑證。
如果這仍然不能滿足他們,那麼繼續分發一個完整的網域管理員/根帳戶,但仍然將其作為與正常工作帳戶分開的帳戶 - 畢竟,他們是老闆。確保該帳戶經過嚴格審核。在這一點上,他們通常真正尋找的只是一份保險單或針對流氓管理員的對沖;他們需要感覺自己的責任在這件事上就停止了,只要他們有一個用於日常工作的標準使用者帳戶,這就沒有問題。
答案3
沒有,只是讓他們知道,當他無可救藥地用軟管沖洗電腦時,至少需要 3 到 4 個小時來清理他的電腦。
只是公平警告..
答案4
也許你應該嘗試找出某種妥協的方法,而不是試圖讓他相信他錯了。也許允許他使用他可以瘋狂使用的來賓虛擬機器來運行 VMware 副本。試著讓他有能力完成他認為需要做的事情,同時仍讓他擁有一個穩定的管理系統。
實際上,您可能需要提出商業案例,證明他可以擁有一台可靠的計算機,並且在出現故障時可以恢復,或者他丟失了計算機,因為您確切地知道系統上有什麼以及如何修復它以及所有信息在哪裡媒體是。或者他可以擁有一台他負責的計算機,當計算機損壞時,您不能保證您能夠執行除格式化+重新安裝之外的任何操作。
嘗試溝通風險和您所做的事情,並嘗試達成妥協。考慮設置一個虛擬機,或雙啟動設定或其他可以讓他獲得他需要/想要的靈活性,但仍然讓他擁有穩定係統的東西。