题 如何说服大老板他不需要管理员权限?


我发现很多时候公司的“大老板”希望能够安装“任何东西”并在他们的计算机上做任何事情。

当然,我们可以告诉他这很糟糕,因为IT系统管理员失去了对计算机的控制权,等等。

任何无可辩驳​​的论据都可以说服大老板最好不要在台式电脑上拥有管理员权限?


32
2017-07-14 22:11




我们遇到了问题,而不是CEO,而是人力资源经理。 WTF?我不记得这个解决方案了,但我认为它涉及向首席执行官介绍每次她将笔记本电脑搞砸时,公司的成本是多少。之后她删除了Admin权限。 - staticsan


答案:


我唯一一次在这方面取得了一点点成功的是一个老板,如果他想安装一些东西,他愿意使用替代证书。我解释说,即使系统管理员大部分时间都使用普通帐户登录到系统,然后创建了他自己的管理员帐户,他只想在他想要做一些特别的事情时使用。它实际上是非常有效的,并且让我的机器在我公司工作的两年里完全搞砸了。这是一个相对精明的首席执行官,能够理解整个运行的事情,而且我确信他的东西在那里我不会批准,但至少它阻止了他被动地搞砸了。


25
2017-07-14 22:51



+1最好的解决方案,如果没有办法让他说出来......有些老板甚至应该得到一个管理员帐户 - 我见过他们,如果他们不搞砸了,总是先询问一下 - 并且只使用它在业余时间修复他们该死的非标准手机同步软件^^ - Oskar Duveborn


告诉他们他们可以拥有域管理员获得的相同访问权限,然后准确地告诉他们:

  • 标准用户帐户,连接到可用于日常工作的电子邮件,文档和业务应用程序。
  • 计算机上具有该计算机管理员权限的单独帐户(与管理员的域管理员帐户类似),但未连接到其电子邮件帐户或需要基于当前登录用户进行身份验证的任何业务应用程序,并且没有设置任何打印机。这个帐户应该是 破坏了设计, 这样对日常使用不利。

我们的想法是,特权帐户应该被打破,以便在大多数情况下以标准用户身份登录不那么痛苦;老板只会在他真正需要的时候使用特权账户。大老板几乎总是非常依赖于对电子邮件和报告系统的访问,所以如果你可以从特权帐户访问这些,那么你就不太方便了。无论如何,老板会忘记凭证的一半时间。

如果这仍然不能满足他们,那么继续并分发一个完整的域管理员/ root帐户,但仍然将其作为一个单独的帐户从他们的正常工作帐户 - 毕竟,他们是老板。确保帐户经过严格审核。在这一点上,他们经常真正寻找的只是一个保险政策或对冲流氓管理员;如果涉及它们,他们需要感觉降压与它们停止,并且只要他们有日常工作的标准用户帐户,就没有任何问题。


15
2017-07-15 01:44



管理人员的“全域管理员”?这太疯狂了。只有在你不能做到的情况下,才能通过GP将他们的本地管理员权限授予他们的机器。 - Shadok
@Shadok - “administrator privileges  对于那台机器 (类似于  to an admin's domain admin account)“ - 我绝不会主张给那些不需要它的人提供域管理员。 - Joel Coel
对不起,但这句话对我来说并不清楚“分发一个完整的域名管理员/ root帐户”,很高兴看到你并不是说我想要的:) - Shadok
再读一遍,我确实提倡让它可用,但有两个 大 警告......它甚至不在桌面上作为选项 后 他们已经尝试并拒绝了本地管理员帐户,并且故意将该帐户用于日常使用。作为最后的手段,这是完成的事情,因为如果你拒绝,他们就是老板并拥有射击力量。 - Joel Coel


没有,除了让他们知道,当他毫无希望地把它淹没时,至少需要3到4个小时来清理他的电脑。

公平的警告..


13
2017-07-14 22:18



如果你是那个写大支票以支付所有硬件费用的人,那么如果你不想随意使用它,你就会被诅咒。老板得到他想要的任何东西,计划失败。我强烈建议您对“全新安装”进行成像并使其保持可用状态。 - bobby
同意这一点。我从来没有成功锁定上层管理笔记本电脑。计划失败并微笑着做。 - kashani
我不同意“笑着做”的评论。在你重新安装所有必要的软件和数据时,对此事表达负面意见是没有错的,因为一些白痴上层管理人员决定点击那个大喇叭的旗帜是一个好主意。当你这样做时,请保持中立。 - Chris
我一直非常成功地让他们远离管理员。一旦我向他们展示了没有任何东西,没有它就没有它,这很容易。我想我很幸运 - Jim B
我一直非常不成功地让他们远离笔记本电脑管理员。好像有太多次他们在路上并且“需要”现在安装了一些软件。但是,我成功地保留了所有笔记本电脑的基本图像。在最坏的情况下,他们可以在大约2或3个小时内交付干净的笔记本电脑。这只是我工作时间的10分钟。是的,我微笑着交付,因为我是一名承包商并且不是“史蒂夫IT家伙”而活下来。 - Dayton Brown


我只做合同工作,所以我做客户告诉我的任何事情,或者,如果我真的不喜欢它,我在合同中行使“救助条款”。

考虑到这一点,大多数人今天都有某种“恶意软件”体验。我与客户讨论他们如何通过浏览器错误等运行的恶意软件与他们登录的用户帐户具有相同的权限和权限(包括访问他们的电子邮件和他们的按键,更不用说资源了服务器)。

通常我会得到一个问题,“为什么反病毒软件不会照顾它?”然后,我们进行了“军备竞赛”谈话 - 关于恶意软件如何下载与您的反恶意软件软件相同的更新并围绕新的“签名”等进行工程设计。

我通过解释我在所有计算机上使用有限的用户帐户来做到这一点(并且多年来已经这样做了)。

这就是我用它来说服用户使用有限用户帐户运行的全部内容。在某些情况下,我必须首先让用户拥有恶意软件体验(这总是会发生),但由于我的服务通常会附带相关费用的明确指示,因此通常只会发生一次。

我通常将“管理员”级别用户创建为本地帐户或域帐户(以及实际授予用户帐户“权限”的受限制组策略),具体取决于用户需要访问的计算机数量。我确定  在日常用户帐户使用的任何组中命名,以及  授予其访问其Exchange邮箱的权限。除了在PC上安装软件/驱动程序之外,我希望“管理员”级别帐户尽可能无用。

这个策略给我带来了很多麻烦,并为我的客户节省了大量资金。需要“人才技能”来进行你需要的对话,而作为承包商当然有助于解决问题,但这绝对是一个可以克服的问题。


8
2017-07-15 02:11



+1即使从顾问的角度来看,它也是100%真正有用的论据 - Oskar Duveborn


而不是试图说服他说他错了,也许你应该尝试找到妥协的方法。也许允许他与客户一起运行VMware的副本,他可以疯狂。尝试并让他有能力完成他认为他需要做的事情,但仍然会给他一个稳定的管理系统。

实际上,你可能需要做一个商业案例,他可以拥有一台可靠的计算机,当计算机出现故障或者丢失计算机时可以恢复计算机,因为你确切知道系统上的内容以及如何修复它以及所有媒体是。或者他可以拥有一台他负责的计算机,当计算机坏了,你无法保证你能够做任何其他事情然后格式化+重新安装。

尝试并传达风险和您的工作,并尝试达成妥协。考虑设置一个VM,或双启动设置或允许他需要/想要的灵活性的东西,但仍然让他拥有一个稳定的系统。


7
2017-07-14 22:24



请记住使用可能具有操作系统许可证注意事项的虚拟机。 - Evan Anderson


不幸的是,对于签署薪水的人来说,你所能做的并不多。 :-)

我能给你的最好的(实用的)建议是确保你的系统有一个很好的备份程序,让他疯狂。大声笑

它真的归结为:

  1. 有人必须坐在驾驶座上。他的公司显然是他的老板。你能做的最好的事就是建议他采取最好的行动方案(包括任何事情),然后让他做出“明智的决定”。如果他不遵循你的建议......并且有一个搞砸...它的错误就是不听。

  2. 如果他遵循你的建议并且有一个搞砸......它仍然是他的错,因为他做出了决定。记住,他在司机座位上。

现在......这会不时给你一些奇怪的表情......甚至是笑声或笑声。

但一定要解释说,差异是......你清理你的混乱(免费)并尽力解决问题。另一个他付钱让你清理,你保留向他“讲道”5-10分钟的权利,他同意听。

尽量保持它在FUNNY方面。

我从来没有遇到过向业主解释这种逻辑的问题。他们中的大多数人已经知道了。以简单(但温和)的方式解释它很有趣。 ;-)


7
2017-07-14 22:20





告诉他他应该真正树立公司其他人应该遵循的榜样。

如果他开始用“互联网下载”“定制”他的(最坏情况)笔记本电脑,那么他的销售总监将会,财务总监,助理销售总监,销售人员的意愿,技术人员,客户服务等等。

然后,解释一下:a)商业基础设施的风险增加(想要在互联网上找到所有客户和订单信息),b)在组织中设置一个松散的安全和专业文化,以及c)支持成本更高并降低了可靠性。

如果他想要一台游戏机,那就让他在自己的电脑上做,但商务电脑/笔记本电脑/设备是出于商业目的。

这是一个成年人的事情......


5
2017-07-15 08:45





我不明白答案的片面性。大奶酪得到了大奶酪想要的东西。

一位非技术高管是否会为自己制造麻烦?

也许 - 但是看看这是一个获得第一手能力炫耀你的能力并与签署支票的人进行面对面交流的机会。为首席执行官提供有才华的年轻管理人员是一个很好的方式,可以让孩子面对面,让晋升过程更轻松......“记住上个月拯救了这一天的那个人......”

或者你可以采取脾气暴躁的,通过书本方式,惹恼首席执行官,让你的老板心痛。


4
2017-07-15 02:23





我完全回避了这个问题,买了一个非常昂贵的高端(当时)Mac工作站,带有巨大的工作室显示器。他喜欢排他性,我喜欢这样一个事实,即他可以接受的麻烦稍微少一些。我保持了ssh in和run top的能力,只是为了关注事情。幸运的是,他不是一个笔记本电脑的人。


3
2017-07-14 23:08





告诉他很少有医院的老板进行脑外科或任何外科手术。


3
2017-07-15 10:08