管理者権限を付与するタイミング
私たちは常に少なくとも1人の請負業者を現場に置いており、彼らはさまざまな製品/技術に関与しているため、さまざまなソフトウェアをPCにインストールする必要があります。
これは多くのサポート時間を要し、基本的に終わりのない流れです。
管理者権限を与えると、この作業を自分で行うことができます。
欠点は、彼らが今や何でもする権利を持っているということです。
他の人はこれをどのように処理しましたか?
キアオラ。オプションは次のとおりです。
- ユーザーをローカル管理者にする
- MSIインストーラーやグループポリシーなど、ある種のパッケージ化および展開ソリューションを採用します。つまり、一部のエージェントサービスが管理者として実行されています。
- ローカルの管理者アカウントにパスワードを提供し、ソフトウェアをインストールするときにユーザーを個人(ドメイン?)アカウントから切り替える方法を請負業者に示します。
(3)は私の個人的な選択です-私は自分のマシンで管理者として実行することさえしません。学習曲線はありますが、UACを使用するWindows 7(およびおそらくVista)でははるかに簡単です。開始するのに適した場所は、AaronMargolisの非管理者ブログです。
ローカル管理者として実行しないことの主な利点は、マルウェアやブラウザの悪用に対する耐性です。これはユーザーに説明できるかもしれません-「この方法でそれを行うと、PCを&%#¤!アップしません」-ほとんどの通常のユーザーはとにかく何かを壊すことを恐れています。
仮想化を使用します。
次に、システム内に独自のシステムを与えます。
このように、すべての開発サンドボックスは互いに独立しており、互いに干渉したり、ホストOSに干渉したりすることはできません。
ローカル管理者の付与に関しては、焦土作戦があります。デスクトップサポート技術者の時間を無駄にしないことに同意すると、ローカル管理者になります。基本的に、あなたは何かを鳴らし、あなたのマシンを再生させます。技術者がニースの場合、彼らはあなたの問題を調べるのに最大30分を費やします。ローカル管理者を取得する人々通常はPCについて半分の手がかりを持っていて、何かをしたためにデスクトップサポートに電話する必要がほとんどない人々であるため、これは本当に私たちにとって双方にメリットがあります(通常、代わりにハードウェア関連です)。
クライアントデバイスカテゴリごとのサポートコストを基本としています。
- シン・クライアント
- デスクトップ
- ラップトップ
- 凍結されたデスクトップ/ラップトップ
- ...そして他の多くの
ラップトップユーザーは、自分のマシンのローカル管理者権限を取得するとプレミアムを支払います。彼らは、自分たちのやり方で自分のマシンを使用できなくするリスクが高いことを理解しています。したがって、これらの種類のデバイスのサポートは、サポート時間が長くなるため、凍結されたマシンよりもはるかにコストがかかります。
さまざまなニーズを持つさまざまなユーザー集団をサポートしているため、お客様は権限を委任され、ワークステーションまたはローカルサーバーの管理者権限を必要な数(または少数)のユーザーに割り当てることができます。
ただし、セットアップしたシステム内でこれを実行できますのみ。例えば:
- 管理者ユーザーは、管理者アカウントからインターネットにアクセスすることはできません。
- 管理者アカウントからメールにアクセスできません
- ドメイン管理者権限は厳重に管理されており、約20人(約4万人のユーザーのうち)に制限されています。
多くの組織は、ユーザーがローカル管理者権限を持ち、すべてのユーザーにローカル管理者を持たせる必要があることを認識しています。
この場合はそれが適切であるように思われますが、合意されたリストにあるもの以外のソフトウェアをインストールしないという文書に署名してもらうことでフォローアップすることをお勧めします。
また、ドメイン管理者権限を付与したくない場合もあります。
私は個人的に、非管理者としてマシンにログインするアカウントを制限するのが大好きですが、 "run as" コマンドを使用してインストールなどを呼び出す機能を提供しています。
ボックスにローカル管理者ユーザーを作成して、特権を付与し、それを使用してプログラムをインストールできるようにすることができますか?
私たちは常に少なくとも1人の請負業者を現場に置いており、彼らはさまざまな製品/技術に関与しているため、さまざまなソフトウェアをPCにインストールする必要があります。これは多くのサポート時間を要し、基本的に終わりのない流れです。管理者権限を与えると、この作業を自分で行うことができます。欠点は、彼らが今や何でもする権利を持っているということです。他の人はこれをどのように処理しましたか?
ある程度管理された環境があります。パワーユーザーアクセスを許可する場合がありますが(通常はこれで十分です)、ローカル管理者には許可しません。実際、ローカル管理者は、マシンへの管理アクセスを取得する必要があり、(何らかの理由で)ドメイン認証を取得できない場合に備えて、「安全弁」機能と見なされます。
ほとんどのマシンのローカル管理者はそれほど大したことではありませんが、ドメイン管理者権限を付与したくない場合は、Pandoraの問題の箱全体が開かれます。
私たちが目にした「ローカル管理者」の問題の多くは、設計が不十分なソフトウェアに起因しており、デスクトップでの10年近くの変更にもかかわらず、Windws 98&Friendsで実行されていると考えています。ソフトウェアインストーラーは、次の理由でこれらの権利を与えることを主張しています。
- インストールパッケージの設計が不十分
- インストーラーには、システムレベルで登録する必要のある厄介なコードのチャンクが含まれています(ActiveXを考えてください)
- プログラムのコードベースは非常に古いため、両方(1)と(2)の問題があります。
可能であれば、請負業者にすべてのソフトウェアを一度に持ってきて「インストールフェスト」を開催するように説得してください。そうすれば、これを1回実行して、それを乗り越えることができます。管理者権限があっても、これを常にこれらのシステムにドラッグしているとしたら、少し混乱するでしょう。これらは将来、本番システムになるのでしょうか。インストールの順序と必要な依存関係はどこかに書き留められていますか?彼らに彼らが望むことをさせることによって縛られる必要があるいくつかのぶら下がっているルーズエンドがあります。
したがって、セキュリティの問題、信頼の問題、互換性の問題に問題がなく、必要に応じて文書化する場合は、すべてとは異なるパスワードを使用して、ローカル管理者によるインストールを実行してもらいます。他のものの。
A)自分のPCを台無しにする可能性がある、またはb)インターネットの衛生状態が悪いために他の人のPCを台無しにする可能性があるため、管理者権限をユーザーに与えることをもっと心配していますか?
A)の場合、私は焦土作戦を支持します。彼らがあなたが彼らを雇うのに十分なコンサルタントであるならば、彼らは彼ら自身の職場環境の世話をするのに十分良いはずです。
B)の場合、おそらくそれらの検疫を調べる必要があります。うまくいけば、それは、より低いサポートコストが最終的にそれを支払うという1回限りのことです...