I miei utenti di notebook devono viaggiare molto.
Molto spesso, hanno bisogno di privilegi elevati su quella macchina, come quando si aggiunge una stampante o si modificano le impostazioni di rete.
Devo dare loro la password dell'amministratore locale per risolvere i problemi di shuch?
La risposta è: dipende.
Dipende dal rapporto con i tuoi utenti e da quanto possono essere considerati attendibili per non creare problemi e dalla misura in cui desideri supportare i laptop in cui l'utente ha accesso a livello di amministratore e la necessità di livello di amministratore accesso da una prospettiva di missione / business.
È solo una domanda con una serie di compromessi e dovrai decidere dal punto di vista della tua organizzazione che cosa ha più senso per te. Il vantaggio di fornire l'accesso a livello di amministratore ai tuoi utenti è, come hai identificato, che può consentire loro di risolvere autonomamente i problemi, ad es. Mentre sono in viaggio o mentre l'help desk di supporto non è aperto o senza contattare l'help desk di supporto. Lo svantaggio è che ora gli utenti hanno il potere di spararsi ai piedi. Possono apportare modifiche alle impostazioni che rendono il loro sistema inaffidabile o inutilizzabile; possono installare software dannosi, cattivi o semplicemente contrari ai criteri della propria organizzazione. Potresti vedere quegli utenti in seguito al tuo help desk che ti chiedono aiuto per far funzionare il loro computer portatile, perché lo hanno rovinato (potrebbero anche non rendersi conto che è colpa loro). Sulla mano che stringe, se blocchi i laptop degli utenti troppo strettamente, e hai utenti esperti, potrebbero venire risentiti dal reparto IT per controllare le cose con un pugno così stretto, cosa che non fa bene alla tua organizzazione.
Vorrei chiederti che tipo di relazione vuoi avere con i tuoi utenti, quale livello di supporto vuoi fornire e quali rischi vuoi accettare o non accettare.
Per la maggior parte, questo ha solo una modesta connessione alla sicurezza. Ci sono alcuni maggiori rischi per la sicurezza dal fornire agli utenti l'accesso a livello di amministratore sulle proprie macchine. Tuttavia, dal punto di vista della sicurezza, anche se gli utenti non hanno accesso a livello di amministratore, possono comunque essere infettati da software che ruba tutti i loro file, quindi non è come nascondere la password dell'amministratore in qualche modo elimina automaticamente tutti i rischi per la sicurezza.
Sembra che ci sia una logica circolare in questa domanda.
Dal punto di vista della sicurezza, l'intero punto delle password è proteggere alcuni asset. Nel caso di Windows 7 l'idea di avere diversi livelli di accesso per gli account amministrativi e utenti è proteggere il sistema operativo da corruzione, malware, virus, ecc. Avere le password amministrative non fa davvero nulla per proteggere i file di dati degli utenti come un documento word dal l'account utente deve avere accesso a quei file affinché l'utente possa modificarli.
Se stai cercando di proteggere i file del sistema operativo, al contrario dei segreti aziendali, le password di amministratore funzionano in modo abbastanza ragionevole.
Ora introduci il fattore della convenienza dell'utente. L'utente desidera utilizzare una nuova stampante con breve preavviso e non vuole l'inconveniente di dover controllare con IT e dover attendere che eseguano alcune funzioni.
Il che porta l'utente a voler collegare un dispositivo USB sconosciuto che non è mai stato controllato dall'IT e consentire a tale dispositivo di identificare automaticamente e causare il download e l'installazione dei driver.
Poiché si tratta di un dispositivo sconosciuto in un ambiente non controllato, potrebbe chiaramente causare l'installazione di malware come un logger di tasti ecc. Inoltre, anche se il dispositivo è legittimo, non è garantito che la rete utilizzata in quel momento non abbia stato violato Ad esempio, quando il sistema operativo va a scaricare il driver da quello che l'utente pensa è il sito Web HP, potrebbe facilmente, e senza che l'utente lo sappia, accedere a un sito Web alternativo (voci DNS fasulle ecc.) che scarica un driver che sembra funzionare ma che include anche malware.
Quindi dov'è la sicurezza?
Suppongo che stiano usando windows:
È possibile impostare un criterio locale sulla macchina che consenta all'utente di "caricare e scaricare i driver di periferica"
Se apri gpedit.msc vai alla configurazione del computer > impostazioni di Windows > Impostazioni di sicurezza > politiche locali > Assegnazione diritti utente > Carica e scarica i driver di dispositivo
Leggi altre domande sui tag windows access-control privileged-account