Я отвечаю за сеть на базе Windows, в которой работает более 70 компьютеров. Серверы - это Windows Server 2008, а рабочие станции - Windows Vista и Windows XP.
Большинство пользователей - исследователи, и у некоторых из них есть очень специфические потребности в постоянной установке новых небольших приложений, которые они получают из Интернета, и экспериментировании с ними. Они попросили нас (ИТ-отдел) предоставить им права локального администратора на их машинах, но я не уверен, будет ли это хорошей идеей.
Плюсы: пользователи смогут устанавливать приложения по своему усмотрению и свободно экспериментировать, облегчая их работу; ИТ-специалисты не будут вынуждены помогать им каждый раз, когда им нужно установить новое приложение.
Минусы: пользователи будут устанавливать неизвестно что, без какого-либо контроля, и, возможно, внедрять в сеть несовместимое программное обеспечение или даже вредоносное ПО.
Я думал предоставить им права локального администратора, но разместить их компьютеры в изолированной сети. Однако нам все равно нужно будет решить их подключение к серверу домена, а также к файловым серверам и серверам баз данных.
Есть идеи, как решить эту проблему? Спасибо.
В подобной ситуации я бы пошел одним из двух способов:
Для тех, кто много возится с различными программами, установите рабочую станцию VMWare и у вас есть репозиторий базовых виртуальных машин, которые они могут отключить от сети и запустить по мере необходимости.
Второй вариант немного дороже, но я бы выбрал что-то вроде VMWare ESX + Virtual Center *, чтобы вы могли создавать базовые шаблоны, которые они могут развернуть. Предоставить им небольшую симпатичную песочницу для игры с полными правами администратора. Разрешение им создавать и уничтожать виртуальные машины по мере необходимости. Это было бы разумно только в том случае, если бы всем 70 людям нужно было постоянно играть с разными вещами. Это также позволило бы им делать снимки машин перед установкой чего-либо или настраивать параметры, чтобы они могли быстро откатиться, а также это позволило бы вам предоставить им доступ к большему количеству ОС, без необходимости возиться с их повседневной машиной.
* или любую аналогичную технологию виртуализации, которую вы знаете / можете себе позволить - Xen, Hyper-V, KVM и т. д.
Я работал в исследовательской организации, насчитывающей около 120 человек. Только около 30 могли выполнять свою работу с заблокированной машиной, остальные 90 были исследователями или технологами, которым приходилось использовать малоизвестное программное обеспечение, и многим из них приходилось работать в удаленных местах, где единственная помощь, которую мы могли им оказать, была по телефону (т. Е. нет удаленного рабочего стола для их ноутбука, чтобы что-то работало).
Хотя это правда, что «наиболее достойное современное программное обеспечение больше не требует прав администратора», нам пришлось иметь дело с множеством не совсем приличных приложений, для установки и запуска которых требовался администратор. Некоторые из них были программными продуктами, написанными собственными силами или другими исследователями и аспирантами, которые были необходимы из-за его научной точности, а не из-за качества программного обеспечения или его приверженности передовым практикам.
Некоторые из них были программным обеспечением, используемым для сбора данных и управления процессами, которое предназначалось для работы на специальной машине в промышленных условиях. В этом случае, даже если кто-то выходит из управляющего приложения, он иметь немедленно запустить его снова, потому что от него зависит какое-то большое опасное оборудование. Но когда эти приложения использовались в нашей среде, они были не единственным, что работало на этом ПК.
У нас также была корпоративная культура, в которой все, что требовалось ученым, было приемлемым, а ИТ-отделы должны были заставить это работать. Раньше, когда это была Win3.1, 95, 98, это не имело значения, но как только мы вошли в NT4 Workstation, нам пришлось начинать иметь дело с Admin или нет.
Мы (едва) справились с ситуацией, используя различные обходные пути, которые для каждой ситуации комбинируются по-разному:
Для приложений промышленного управления, используемых в наших лабораториях, обычно работала функция RunAs. Старшие специалисты будут иметь pw для учетной записи с правами местного администратора, и именно они будут запускать приложения для других технологов.
Некоторым ученым мы предоставили локальные учетные записи на их ПК с правами администратора. Если им нужно было что-то установить, они могли выйти из сети, войти в систему локально и установить, затем снова выйти из системы и снова войти в сеть. Или они использовали бы RunAs. Никому из них это не нравилось, но почти каждый из них убил компьютер до такой степени, что его нужно было перенастроить, поэтому они смирились с этим.
Ни одну из этих непонятных программ нельзя было установить с помощью групповой политики, но мы потратили много времени на создание фантомных образов и обеспечение резервного копирования данных, чтобы не потребовалось много времени для очистки и переустановки машины, на которой возникли проблемы.
В некоторых случаях мы помещаем машины с проблемным программным обеспечением в ограниченную VLAN, но, как уже упоминалось, проблема заключается в том, что им часто требуется доступ к основной корпоративной сети, даже когда они работают от имени администратора.
В одном отделе мы дали каждому по 2 машины на время: одна заблокирована, другая - с правами администратора. Это длилось год, пока им всем не надоело не иметь всех своих инструментов на «основном» офисном ПК.
Для некоторых ученых, которым лишь время от времени требовался доступ администратора, мы создавали учетные записи с правами администратора, но с невероятно длинными паролями. Когда им требовался доступ, мы сообщали им пароль, зная, что они никогда не вспомнят и даже не потрудятся его записать.
Когда я ушел, мы начали рассматривать виртуальные машины - дайте им VMWare Workstation или Player и пару разных виртуальных машин, к которым у них был доступ администратора. Это то, на чем я бы сосредоточился, если бы снова оказался в подобной ситуации.
Две точки
Мы даем пользователям две учетные записи, обычную учетную запись пользователя и учетную запись администратора. Вы не можете получить доступ к Интернету через IE или по электронной почте через административную учетную запись, чтобы препятствовать его использованию.
Это решение работает очень хорошо, за исключением нескольких экзотических приложений.
2 простых предложения:
Вы можете настроить GPO в соответствии со своими потребностями. Вот что бы я сделал ...
Я надеюсь, что у вас есть 70 машин. WDS настройку, чтобы вы могли быстро восстановить стандартные настройки машин.
В зависимости от уровня поддержки приложений, который вам необходимо предоставить, возможно, стоит предоставить пользователям доступ с правами администратора, но сделайте в своей политике поддержки для тех, у кого есть доступ администратора, «Перезагрузите и нажмите F12, чтобы восстановить образ вашей машины в хорошем состоянии».