Lavoro in un'azienda con uno staff di circa 1000+. Attualmente disponiamo di personale di sviluppo della programmazione che lavora su progetti basati sul web (circa 50 persone).
Recentemente a causa di problemi di sicurezza, il nostro reparto IT e sicurezza ha implementato una restrizione che non consente più l'accesso amministrativo locale alle macchine. L'intera azienda esegue il sistema operativo Windows per workstation e server. Sono completamente d'accordo con la decisione di rimuovere admin, onestamente ho pensato che fosse atteso da tempo (dato che l'azienda si occupa dei dati dei pazienti e richiede la conformità HIPAA). Sfortunatamente credo che abbiano preso la decisione troppo lontano. Supponevo che un sottogruppo o un gruppo AD venisse creato per gli utenti che avevano legittimamente bisogno dell'accesso amministrativo per svolgere il proprio lavoro (EX mio team di programmazione) qualcosa come un gruppo Tech che avrebbe mantenuto l'accesso all'amministratore. Tuttavia, questo non era il caso, l'unico gruppo ha creato uno specifico gruppo di amministratori per il personale della rete e dell'help desk.
Il problema principale è che, come sviluppatori web, eseguiamo programmi che richiedono l'accesso all'amministratore locale e sfortunatamente non possiamo svolgere il nostro lavoro senza che vengano eseguiti come amministratori. Programmi di esempio includono Visual Studio per lo sviluppo web ASP.NET, MAMP per lo sviluppo locale, compositore, ecc. Credo che il motivo principale per cui questi programmi hanno bisogno di accesso amministratore sia perché devono eseguire e modificare IIS locale, riga di comando, ecc.
Fondamentalmente ci fu un breve preavviso su quando l'accesso all'amministratore locale fu rimosso. Dopo circa 2 giorni in cui il team di sviluppo è morto nell'acqua in termini di capacità di lavoro, io e altri team leader fondamentalmente urlavamo e gridavamo allo staff IT per trovare una soluzione che alla fine hanno concesso e trovato un programma di terze parti che funziona come un passaggio che consente agli amministratori di creare la possibilità per determinati programmi di funzionare come admin anche se non abbiamo accesso di amministratore locale.
Sfortunatamente, questo programma che usiamo per l'accesso all'amministratore locale è incredibilmente bacato e inaffidabile e non da una fonte attendibile e non sembra esserci molto per le alternative disponibili. (Preferirei non divulgare il programma che usiamo.)
La mia domanda è, è tipico di non consentire l'accesso all'amministratore locale di programmatori / sviluppatori presso un'azienda o una società? E se è pratica comune farlo, allora come fanno gli sviluppatori a eseguire i programmi di cui hanno bisogno come amministratori locali?
Un po 'più di informazioni sul nostro ambiente di rete (non che si riferisca veramente alla domanda che ho appena pensato di aggiungere):
- Usiamo AppBlocker per bloccare programmi non su un elenco approvato
- Utilizziamo un blocco della sicurezza della posta elettronica che esegue operazioni come la scansione e la conversione di allegati in PDF, ecc.
- Abbiamo almeno 2 programmi antivirus importanti su tutte le workstation.
- La rete e i suoi server sono molto segregati, gli utenti hanno accesso solo a determinati server, cartelle e database a cui hanno legittimamente bisogno di accedere.