大多数用户都是研究人员,他们中的一些人对于不断安装他们从网上获得并试验它们的新小应用程序有非常具体的需求.他们要求我们(IT部门)授予他们对本机管理员的本地管理权限,但我不确定这是否是个好主意.
优点:用户可以按照自己的意愿安装应用程序并自由地进行实验,使他们的工作更轻松;每次需要安装新应用程序时,IT人员都会受到较少的压力来帮助他们.
缺点:用户将安装谁知道什么,没有任何控制,并可能将不兼容的软件甚至恶意软件引入网络.
我曾考虑授予他们本地管理员权限,但将他们的计算机放在一个隔离的网络中.但是,我们仍然需要解决它们与域服务器以及文件和数据库服务器的连接问题.
关于如何解决这个问题的任何想法?谢谢.
虽然“大多数体面的现代软件不再需要管理员权限”,但我们必须处理许多不太合适的应用程序,这些应用程序需要管理员才能安装和运行.其中一些是内部编写的软件或由其他研究人员和研究生编写的软件,因为它具有科学的准确性,而不是软件的质量或遵守最佳实践.
其中一些是用于数据采集和过程控制的软件,旨在在工业环境中的专用机器上运行.在这种情况下,即使有人离开控制应用程序,他们也必须立即再次启动它,因为一些大而危险的设备依赖于它.但是当这些应用程序在我们的环境中使用时,它们并不是该PC上唯一运行的应用程序.
我们还有一种企业文化,科学家需要做的任何事情都是正确的,IT必须使其发挥作用.回到Win3.1,95,98时,它并没有傻瓜,但是当我们进入NT4 Workstation时,我们不得不开始与Admin打交道.
我们(几乎没有)使用各种变通方法处理这种情况,对每种情况都有不同的结合:
>对于我们实验室中使用的工业控制应用程序,RunAs通常有效.高级技术人员将获得具有本地管理员权限的帐户,他们将成为为其他技术人员启动应用程序的人.>对于一些科学家,我们在拥有管理员权限的PC上为他们提供了本地帐户.如果他们需要安装某些东西,他们可以从网络注销,在本地登录并安装,然后再次注销并返回到网络.或者他们使用RunAs.他们都不喜欢这样做,但他们几乎每个人都杀了一台电脑,以至于需要重新上演,所以他们忍受了.>这些不起眼的程序都不能与组策略一起安装,但我们花了很多时间来构建ghost镜像并确保备份数据,以便擦除和重新安装有问题的机器不会花费太多时间.>在某些情况下,我们将带有问题的软件的计算机放在受限制的VLAN上,但正如所提到的,问题是他们经常需要访问主企业网络,即使他们以管理员身份运行>对于一个部门,我们给了每个人2台机器 – 一个被锁定,一个有管理员访问权限.这持续了一年,直到他们都厌倦了在他们的“主要”办公室电脑上没有所有工具.>对于一些偶尔只需要管理员访问权限的科学家,我们会设置具有管理员权限但拥有疯狂长密码的帐户.当他们需要访问权限时,我们会告诉他们密码,因为他们知道他们永远不会记住甚至无法写下来.>当我离开时,我们开始关注虚拟机 – 给他们VMWare工作站或播放器以及他们有管理员访问权限的几个不同的虚拟机.如果我再次遇到类似的情况,这就是我所关注的.