在工作中,我們的開發人員是其 Windows 10 電腦的本機管理員。這是有風險的,因為我們希望在一定程度上減輕諸如偷渡式下載之類的風險,但我們也希望提高生產力和一定程度的自由度,因此我們不想強迫他們每次軟體更新都通過幫助台。
我們接受這樣一個事實,即我們相信沒有內部員工是惡意的(這不是要討論的 - 只是這個問題需要考慮的事實)
因此,我們要求 IT 部門開發人員不再是本機管理員,而是擁有一個獨立的帳戶,可以在安裝軟體時使用。在實踐中,我認為,如果他們需要安裝此類軟體,則會出現一個彈出窗口,他們輸入其他本地管理員帳戶的憑證,安裝完成,僅此而已,然後他們可以使用非特權的程式帳戶。
IT 告訴我們這是不可能的(特權帳戶將是網域管理員,這是不行的)。
這是真的?難道這樣做真的不可行嗎?這對我來說是顯而易見的,但我以前從未做到過(當我還是一名開發人員時,我根本就不是管理員,但這裡由於生產力問題,管理層不允許這樣做)
我們只是希望我們的開發人員在非特權帳戶上完成日常任務,但我們希望允許他們為他們的工作安裝自訂軟體(他們了解風險,知道從官方和可信來源下載,他們知道如何檢查哈希值等)
這問題並不能完全幫助我;購買額外的硬體、進行額外的網路隔離或表明本地管理員是否常見等建議並不能回答我的問題。
答案1
作為一名前兼職開發人員,我已經與 IT 團隊協商了這項安排。
- 我的普通帳戶是網域成員帳戶,既不是網域管理員,也不是客戶端電腦的管理員
- 我在電腦上有第二個帳戶,不是網域成員,但具有本機管理員權限。
這足以讓我安裝或升級特別的軟體,無需向服務台詢問。
但任何管理任務的工作流程都不像輸入本機管理員帳戶的密碼那麼簡單(不是 Unix,而是 Windows...)。防彈方法是:
- 在本機管理員帳戶下連接
- 將(暫時)第一個帳戶放入本機管理員群組中(=>實際上向網域帳戶授予本機管理員權限)
- 返回第一個帳戶並執行任何管理任務
- 再次進入本機管理員帳戶,將主帳戶從本機管理員群組中取出(=>實際上撤銷管理員權限)
- 再次變更為普通帳戶並繼續正常(非管理)任務
從理論上講,應該可以從本機管理員帳戶執行所有管理任務,並且對於正確編寫的程式也是如此。但一些測試版工具曾經在本地機器資料和本地用戶資料之間造成混亂,最終導致它們只能從安裝它們的帳戶中使用。
儘管如此,我已經使用該系統很多年了,沒有出現任何問題。 IT 團隊相信我只會在絕對必要時使用管理員權限,並且我努力在這一點上永遠不要欺騙他們。
答案2
IT tells us that this is not possible (the privileged account would be Domain Administrator, which is not OK). Is this true?
不。
只需授予他們存取本機管理員群組中的本機帳戶的權限,以便在需要時使用。完畢。