Frage Wie kann man einen großen Chef davon überzeugen, dass er keine Administratorrechte benötigt?


Ich habe oft festgestellt, dass "der große Chef" in einer Firma in der Lage sein will, "alles" zu installieren und alles in ihrem Computer zu tun.

Natürlich können wir ihm sagen, dass es schlecht ist, weil die IT-Systemadministratoren die Kontrolle über den Computer verlieren, und so weiter.

Jedes unwiderlegbare Argument, um große Chefs zu überzeugen, dass es besser ist, keine Administratorrechte auf ihrem Desktop-Computer zu haben?


32
2017-07-14 22:11


Ursprung


Wir hatten ein Problem mit dem CEO, aber nicht mit dem HR-Manager. WTF? Ich erinnere mich nicht an die Lösung, aber ich denke, es ging darum, dem CEO vorzuführen, was es jedes Mal, wenn sie ihren Laptop borkte, kostete. Sie hat Admin-Rechte danach entfernt. - staticsan


Antworten:


Das einzige Mal, dass ich dabei nur ein kleines bisschen erfolgreich war, war ein Chef, der bereit war, Run as mit alternativen Anmeldeinformationen zu verwenden, wenn er etwas installieren wollte. Ich erklärte, dass selbst die Systemadministratoren die meiste Zeit auf Systemen mit normalen Konten angemeldet waren und dann seinen eigenen Admin-Account erstellt hatten, den er nur verwenden sollte, wenn er etwas Besonderes machen wollte. Es war tatsächlich sehr effektiv und hielt seine Maschine davon ab, in den zwei Jahren, die ich in der Firma war, total vermasselt zu werden. Das war ein relativ cleverer CEO, der den ganzen Lauf als Ding verstehen konnte, und ich bin mir sicher, dass er Sachen dort hatte, die ich nicht genehmigt hätte, aber zumindest hielt es ihn davon ab, passiv Dinge zu vermasseln.


25
2017-07-14 22:51



+1 Beste Lösung, wenn es keine Möglichkeit gibt, ihn davon abzubringen. Einige Chefs verdienen sogar einen Admin-Account - ich habe sie gesehen, wenn sie nicht alles vermasseln und immer nach Dingen fragen - und nur benutzen es um ihre gottverdammte Nicht-Standard-Handy-Sync-Software in ihrer Freizeit zu reparieren ^^ - Oskar Duveborn


Sagen Sie ihnen, dass sie den gleichen Zugriff haben können, den Domain-Administratoren erhalten, und geben Sie ihnen genau das:

  • Ein Standardbenutzerkonto, das mit den E-Mails, Dokumenten und Geschäftsanwendungen verknüpft ist, die für die tägliche Arbeit verwendet werden können.
  • Ein separates Konto auf dem Computer, das über Administratorrechte für diesen Computer verfügt (analog zum Domänenadministratorkonto eines Administrators), aber nicht mit seinem E-Mail-Konto oder Geschäftsanwendungen verbunden ist, die eine Authentifizierung auf der Grundlage des aktuell angemeldeten Benutzers erfordern. und hat keine Drucker eingerichtet. Dieser Account sollte sein durch Design gebrochen, so dass es nicht für den täglichen Gebrauch gut sein wird.

Die Idee ist, dass das privilegierte Konto so weit durchbrochen werden sollte, dass es weniger schmerzhaft ist, als normaler Benutzer die meiste Zeit angemeldet zu bleiben. Der Chef wird das privilegierte Konto nur verwenden wollen, wenn er es wirklich braucht. Große Chefs verlassen sich fast immer sehr stark auf den Zugang zu E-Mail- und Berichtssystemen. Wenn Sie also vom privilegierten Konto aus auf sie zugreifen können, sind Sie in einem guten Zustand. Die Hälfte der Zeit wird Ihr Chef sowieso die Anmeldeinformationen vergessen.

Wenn dies ihnen immer noch nicht genügt, dann gehen Sie voran und geben Sie einen vollständigen Domain-Admin / Root-Account aus, aber tun Sie es immer noch als separates Konto von ihrem normalen Arbeitskonto - schließlich sind sie der Boss. Stellen Sie sicher, dass das Konto intensiv geprüft wird. Zu diesem Zeitpunkt suchen sie oft nur eine Versicherungspolice oder eine Absicherung gegen einen Rogue-Administrator. Sie müssen das Gefühl haben, dass das Geld mit ihnen aufhört, wenn es dazu kommt, und solange sie ein Standard-Benutzerkonto für ihre tägliche Arbeit haben, ist daran nichts falsch.


15
2017-07-15 01:44



"Full Domain Admin" zu einem Management-Typ? Das ist geradezu verrückt. Geben Sie ihnen lokale Administratorrechte über einen GP zu ihrem Computer, wenn Sie nicht anders können, aber nie mehr. - Shadok
@Shadok - "administrator privileges  für diese Maschine (analog  to an admin's domain admin account)"- Ich würde niemals befürworten, jemandem einen Domain-Admin zu geben, der ihn nicht braucht. - Joel Coel
Tut mir leid, aber dieser Satz war für mich nicht klar "verteile einen vollständigen Domain-Admin / root-Account", glücklich zu sehen, dass du nicht meintest, was ich gelernt habe :) - Shadok
Wenn ich dies noch einmal durchführe, befürworte ich, dass es verfügbar ist, aber mit zwei groß Vorbehalte ... es ist nicht einmal auf dem Tisch als Option bis nach dem Sie haben das lokale Administratorkonto ausprobiert und abgelehnt und das Konto wurde absichtlich für den täglichen Gebrauch aufgebrochen. Es ist etwas, das als letzter Ausweg getan wird, denn sie sind der Boss und halten Feuerkraft, wenn Sie sich weigern. - Joel Coel


Keine, außer um sie wissen zu lassen, dass es mindestens 3 bis 4 Stunden dauern wird, um seinen Computer aufzuräumen, wenn er hoffnungslos davon spritzt.

Nur eine faire Warnung ..


13
2017-07-14 22:18



Wenn du derjenige bist, der den großen Scheck schreibt, um für all diese Hardware zu bezahlen, wirst du verdammt sein, wenn du ihn nicht benutzen kannst, wie du willst. Boss bekommt, was immer er will, plant Versagen. Ich empfehle sehr, eine "Neuinstallation" zu erstellen und sie sehr verfügbar zu halten. - bobby
Stimme damit überein. Ich war noch nie erfolgreich bei der Sperrung von Laptops der oberen Führungsebene. Planen Sie einen Fehler und tun Sie es mit einem Lächeln. - kashani
Ich stimme dem Kommentar "Mach's mit einem Lächeln" nicht zu. Es ist nichts falsch daran, eine negative Meinung zu äußern, während du feststeckst und alle notwendigen Software und Daten neu installierst, weil irgendein oberes Management des Idioten entschieden hat, auf das große Hupen-Banner zu klicken, war eine gute Idee. Sei einfach neutral im Ton wenn du es tust. - Chris
Ich war ziemlich erfolgreich darin, sie vom Admin fernzuhalten. Sobald ich ihnen gezeigt habe, dass es wirklich nichts gibt, was ohne sie nicht möglich ist, ist es ziemlich einfach. Ich schätze, ich hatte Glück - Jim B
Ich war extrem erfolglos, sie von den Laptops fernzuhalten. Scheint so, als ob es zu viele Male unterwegs ist und "NEED" irgendeine Software, die gerade installiert wird. Es ist mir jedoch gelungen, ein Basisbild für alle Laptops zu erstellen. Im schlimmsten Fall können sie in zwei oder drei Stunden einen sauberen Laptop bekommen. Und das sind nur etwa 10 Arbeitsminuten meiner Zeit. Und ja, ich gebe mit einem Lächeln ab, da ich ein Bauunternehmer bin und überlebe, indem ich NICHT "Steve the IT Guy" bin. - Dayton Brown


Ich mache nur Vertragsarbeit, also tue ich, was auch immer meine Kunden sagen, oder wenn ich es wirklich nicht mag, übe ich die "Bailout-Klausel" in meinem Vertrag aus.

Vor diesem Hintergrund haben die meisten Menschen heute eine Art "Malware" -Erfahrung. Ich bespreche mit dem Kunden, wie bösartige Software, die sie über Browser-Bugs usw. ausführen, dieselben Rechte und Privilegien hat wie das Benutzerkonto, mit dem sie angemeldet sind (einschließlich Zugriff auf ihre E-Mails und ihre Tastenanschläge, ganz zu schweigen von Ressourcen auf Server).

Normalerweise bekomme ich eine Frage wie "Warum wird sich die Antivirensoftware nicht darum kümmern?" Wir haben dann das "Wettrüsten" - das eine über das, wie die Malware-Leute die gleichen Updates auf die Anti-Malware-Software herunterladen, die Sie sind, und um die neuen "Signaturen" usw.

Ich führe alles durch, indem ich erkläre, dass ich begrenzte Benutzerkonten auf allen meinen Computern verwende (und das seit Jahren).

Das ist alles, was ich gebraucht habe, um die Benutzer davon zu überzeugen, mit Benutzerkonten mit beschränkten Benutzerzahlen zu arbeiten. In einigen Fällen musste ich dem Benutzer eine Malware-Erfahrung geben (was unweigerlich passieren wird), aber da meine Dienste typischerweise mit einem sehr deutlichen Hinweis auf die damit verbundenen Kosten verbunden sind, geschieht dies normalerweise nur einmal.

Ich erstelle im Allgemeinen "Administrator" -Level-Benutzer entweder als lokale Konten oder Domänenkonten (zusammen mit der Richtlinie für eingeschränkte Gruppen, um dem Benutzerkonto tatsächlich "Rechte" zu geben), abhängig davon, auf wie viele Computer der Benutzer zugreifen muss. Ich achte darauf nicht um es in einer der Gruppen zu benennen, die vom täglichen Benutzerkonto verwendet werden, und nicht um ihm Zugriff auf ihr Exchange-Postfach zu geben. Ich möchte, dass das Konto "Administrator" für nichts nutzlos ist, außer für die Installation von Software / Treibern auf ihrem PC.

Diese Strategie hat mir viele Kopfschmerzen erspart und meinen Kunden viel Geld gespart. Es braucht "People Skills", um die Gespräche führen zu können, die Sie brauchen, und es ist sicherlich ein Problem, ein Unternehmer zu sein.


8
2017-07-15 02:11



+1 Wirklich hilfreiche Argumente, auch wenn es zu 100% vom Standpunkt des Beraters ausgeht - Oskar Duveborn


Anstatt zu versuchen, ihn davon zu überzeugen, dass er falsch liegt, sollten Sie vielleicht versuchen, einen Kompromiss zu finden. Vielleicht erlauben Sie ihm, eine Kopie von VMware mit einem Gast laufen zu lassen. Versuche, ihm die Fähigkeit zu geben, das zu tun, was er zu tun hat, und zwar so, dass er immer noch ein stabiles verwaltetes System hat.

Wirklich, Sie müssen wahrscheinlich den Geschäftsfall machen, dass er entweder einen Computer haben kann, der zuverlässig ist und der wiederhergestellt werden kann, wenn es scheitert oder er seinen Computer verliert, weil Sie genau wissen, was auf dem System ist und wie es zu reparieren ist und wo alles die Medien sind. Oder er kann einen Computer haben, für den er verantwortlich ist, und wenn der Computer kaputt geht, können Sie nicht garantieren, dass Sie etwas anderes machen können, als formatieren + neu installieren.

Versuchen Sie, die Risiken und das, was Sie tun, zu kommunizieren und versuchen Sie, einen Kompromiss zu finden. Ziehen Sie in Erwägung, eine VM oder eine Dual-Boot-Konfiguration einzurichten oder etwas, das ihm die Flexibilität bietet, die er braucht / wünscht, und dennoch ein stabiles System zu haben.


7
2017-07-14 22:24



Denken Sie daran, eine virtuelle Maschine zu verwenden, für die Sie möglicherweise Überlegungen zu Betriebssystemlizenzen anstellen. - Evan Anderson


Leider kann man dem Kerl, der den Gehaltsscheck unterschreibt, nicht viel antun. :-)

Der beste (praktische) Rat, den ich Ihnen geben könnte, wäre sicherzustellen, dass Sie eine gute Backup-Routine für sein System haben und ihn wild treiben lassen. LOL

Es läuft wirklich darauf hinaus:

  1. Jemand muss auf dem Fahrersitz sitzen. Es ist seine Firma so klar, er ist der Chef. Das Beste, was du tun kannst, ist, ihn über die beste Vorgehensweise (mit allem) zu beraten und dann eine "informierte Entscheidung" zu treffen. Wenn er nicht mit deinem Rat geht ... und da ist eine Vermummung ... es ist SEIN Fehler, dass er nicht zugehört hat.

  2. Wenn er Ihrem Rat folgt und es einen Fehler gibt ... ist es immer noch sein Fehler, weil er die Entscheidung getroffen hat. Denken Sie daran, er sitzt auf dem Fahrersitz.

Nun ... das wird dir von Zeit zu Zeit seltsame Blicke geben ... sogar ein Lachen oder Lachen.

Aber klar zu erklären, dass DER UNTERSCHIED ist ... Ihre Aufräumarbeiten (kostenlos) und tun Ihr Bestes, um die Situation zu lösen. Der andere zahlt Ihnen, um aufzuräumen und Sie behalten sich das Recht vor, ihn für 5-10 Minuten zu "predigen" und er stimmt zu, zuzuhören.

Versuche es auf der LUSTIGEN Seite zu halten.

Ich hatte nie ein Problem, einem Geschäftsinhaber diese Logik zu erklären. Die meisten von ihnen wissen es bereits. Es macht einfach Spaß, es in stumpfen (aber sanften) Worten zu erklären. ;-)


7
2017-07-14 22:20





Sagen Sie ihm, dass er wirklich das Beispiel geben sollte, dem der Rest der Firma folgen sollte.

Wenn er seinen (schlimmsten Fall) Laptop mit "Internet - Downloads" "anpasst", dann wird sein Direktor für Verkauf, der Finanzdirektor, der stellvertretende Verkaufsdirektor, der Verkäufer, die Techniker, der Kundendienst usw .

Erklären Sie dann, dass a) das Risiko für die BUSINESS INFRASTRUCTURE erhöht ist (Lust, alle Ihre Kunden- und Bestellinformationen im Internet zu finden), b) eine lockere Sicherheits- und Professionalisierungskultur in der Organisation setzt und c) viel mehr Unterstützung kostet und verringerte Zuverlässigkeit.

Wenn er eine Spielmaschine will, dann lass es ihn auf seinem eigenen PC machen, aber ein Business-PC / Laptop / Equipment ist für geschäftliche Zwecke.

Es ist eine erwachsene Sache ...


5
2017-07-15 08:45





Ich verstehe die Einseitigkeit der Antworten hier nicht. Der große Käse bekommt, was der große Käse will.

Wird ein nichttechnischer Manager selbst in Schwierigkeiten geraten?

Vielleicht - aber sieh dir das an, als eine Gelegenheit, um aus erster Hand deine Fähigkeiten zu zeigen und mit dem Typen, der die Schecks unterschreibt, ein bisschen Zeit zu haben. Eine talentierte, junge Admin-Präsenz dem CEO zu geben, ist eine großartige Möglichkeit, dem Kind Zeit zu geben und den Promotionsprozess zu erleichtern ... "Erinnere dich an den Typ, der den Tag letzten Monat gerettet hat ..."

Oder Sie können die mürrische, nach dem Buch Ansatz, piss off der CEO und geben Sie Ihrem Chef Sodbrennen.


4
2017-07-15 02:23