使用者作為 Windows 機器上的本地管理員
我負責一個由 70 多台電腦組成的基於 Windows 的網路。伺服器是 Windows Server 2008,工作站是 Windows Vista 和 Windows XP。
大多數使用者都是研究人員,他們中的一些人對於不斷安裝從網路上獲得的新的小應用程序並進行試驗有非常特殊的需求。他們要求我們(IT 部門)授予他們機器的本地管理員權限,但我不確定這是否是個好主意。
優點:使用者可以隨心所欲地安裝應用程序並自由試驗,讓他們的工作更輕鬆;每次需要安裝新應用程序時,IT 人員提供幫助的壓力會更小。
缺點:使用者將安裝誰知道什麼,沒有任何控制,並可能將不兼容的軟體甚至惡意軟體引入網路。
我曾考慮授予他們本地管理員權限,但將他們的電腦置於隔離網路中。但是,我們仍然需要解決它們與域伺服器以及文件和數據庫伺服器的連接問題。
關於如何解決這個問題的任何想法?謝謝。
我在一個有大約 120 人的研究機構工作。只有大約 30 人可以使用鎖定的機器進行工作,其他 90 人是研究人員或技術人員,他們不得不使用晦澀難懂的軟體,而且他們中的許多人不得不在偏遠地區工作,我們只能通過電話幫助他們(即沒有遠端桌面連接到他們的筆記型電腦以使其正常工作)。
雖然確實“大多數體面的現代軟體不再需要管理員權限”,但我們不得不處理許多需要管理員安裝和執行的不太體面的應用程序。其中一些是內部或其他研究人員和研究生編寫的軟體,因為它的科學準確性,而不是軟體的質量或對最佳實踐的遵守,所以需要這些軟體。
其中一些是用於數據採集和過程控制的軟體,旨在在工業環境中的專用機器上執行。在這種情況下,即使有人脫離了控制應用程序,他們也必須立即重新啟動它,因為一些大型、危險的設備依賴於它。但是,當這些應用程序在我們的環境中使用時,它們並不是那台 PC 上唯一執行的東西。
我們還擁有一種企業文化,在這種文化中,科學家需要做的任何事情都可以,而 IT 必須讓它發揮作用。回到Win3.1、95、98的時候,它並沒有亂說,但是一旦我們進入NT4 Workstation,我們就不得不開始與Admin打交道。
我們(幾乎沒有)使用各種變通方法來處理這種情況,每種情況的組合都不同:
- 對於我們實驗室中使用的工業控制應用程序,RunAs 通常可以工作。高級技術人員將擁有具有本地管理員權限的帳戶的密碼,並且他們將是為其他技術人員啟動應用程序的人。
- 對於一些科學家,我們在他們的 PC 上為他們提供了具有管理員訪問權限的本地帳戶。如果他們需要安裝某些東西,他們可以從網路中註銷,在本地登錄並安裝,然後再次註銷並重新登錄到網路。或者他們會使用 RunAs。他們中沒有人喜歡這樣做,但幾乎每個人都殺死了一台電腦,以至於需要重新部署,所以他們忍受了。
- 這些不起眼的程序都不能通過組策略安裝,但我們花了很多時間建構幻像並確保備份數據,這樣就不會花費太多時間來擦除和重新安裝有問題的機器。
- 在某些情況下,我們將帶有問題軟體的機器放在受限 VLAN 上,但如前所述,這樣做的問題是,即使它們以管理員身份執行,它們也經常需要訪問主要的公司網路
- 對於一個部門,我們暫時給了每個人 2 台機器 - 一台鎖定,一台具有管理員訪問權限。這持續了一年,直到他們都厭倦了在他們的“主要”辦公室 PC 上沒有所有工具。
- 對於一些偶爾需要管理員訪問權限的科學家,我們設置了具有管理員權限但密碼很長的帳戶。當他們需要訪問權限時,我們會告訴他們密碼,因為他們知道他們永遠不會記住,甚至不會費心寫下來。
- 當我離開時,我們開始研究虛擬機——給他們 VMWare Workstation 或 Player 以及他們擁有管理員訪問權限的幾個不同的虛擬機。如果我再次處於類似情況,這就是我要關注的問題。