剛到了新環境,由於這個環境有建置AD(前公司規模小環境單純,未建置AD也沒金費)
大部分的部門(行政、業務)沒甚麼問題,但近日來RD部門一直在反應每次有新的更新或是要改變通信協定都要找管理員(也就小弟我)換權限很煩,寫code的思緒都打亂了- -
可是這是公司政策也跟主管反映過了,主管那沒甚麼下文,所以不期望它了
小弟職掛硬體工程師,孰不知連AD、Exchang、門禁等的權限管理也落在身上(但這好像不是重點),有想過開放Power Users的權限(目前一律歸到Domain User)可是心中有所疑問爬文也未能解惑,就是Power Users群組是Administrator的閹割版可執行大部分的權限(包含安裝軟體)但問題來了,就是不希望User能自行安裝軟體(亂亂安裝然後中毒,或安裝使用破解軟體)所以用AD來管理帳戶權限,一但開放Power Users不就打破這個限制(中毒了又拉我下水)而且其他部門知道了也會眼紅- -,不開嘛又會進入『RD抱怨→我反映主管→沒有下文→回覆RD因公司政策所以...→RD抱怨→我反映主管→沒有下文→回覆RD因公司政策所以...』這個迴圈
故來問問各位有相關經驗的大大門是如何解決這類問題
已邀請的邦友 {{ invite_list.length }}/5
本機權限就是拿來管理這種情境用的,要申請的寫切結書和申請單。
申請好的再幫他加進他保管電腦的 Power users 的群組。
處理掉rd或是處理掉主管就行了,呵呵呵。我說笑的。
其實你來這邊請教說真的也很沒有意義就是了。
我上面那句話雖然是在說笑也沒錯。但事實上這也可能是你唯一的解決方案。
我倒是有個建議就是了。如果非立即性的情況下。你可以統一周的其中一天為權限開放日。
如有安全機密性而言。則可採用申請制。
平常就是讓他們發mail申請或是其它申請的方式。依不吵你的情況下為主。
等到那天你再統一全部處理。
這樣也是一種解決的方式。只不過重點是.... 主管→沒有下文
好吧,那也就不了了之了。所以還是先幹掉你主管再說吧。哇哈哈。
不知道樓主所說的更新是指軟體更新或是OS更新,若是軟體更新,我自己的做法是將該軟體的安裝資料夾安全性裡面新增domainuser然後將domainuser的權限提升到可以修改,這樣大部分的軟體更新都可以由user自己做。
至於切換通訊協定,我自己的做法是用批次檔去做,先用autoIT軟體,將domainadmin的帳密寫在裡面後再compile成EXE檔,這樣user就無法直接看到domainadmin的帳密,而且user只要自己點EXE檔,就可以切換通訊協定。
以上是我自己的方法,不知道能否幫的上忙
我這邊的做法是鎖起來,要權限的話,就是點選桌面的"管理者權限申請"
會帶起一個文字視窗跟文字欄位,要求使用者填寫 "申請原因"
填完之後,會發送到訊息到Slack,我們公司用Slack做內部溝通,
IT用電腦查看Slack跳出的通知,然後查看使用者申請的原因,
再把管理者權限給他,預設時間一小時,時間到了會被強制登出,
當然申請跟給予權限都是自動化的,IT不用自己跑來跑去,
除非使用者連軟體都不會自己安裝,自己安裝的軟體自己負責阿
自己沒辦法負責那就=不要給權限,
自己開車撞死人了,是駕駛人要責任? 還是賣車的廠商要負責任?
跟主管好好討論,這點基本邏輯好好溝通一般人都會知道的道理。
Power Users 我建議你是不要再用了,現在安裝軟體是有可能會用到機碼這類系統核心的
有的軟體寫得太爛的,以為只要安裝到預設的Program Files (x86)有了就沒事了,
連自己機碼還有相關設定沒寫進系統核心也沒去檢查,等程式開始用了才跳Error給你看
你又要跑去幫他檢查為什麼軟體不能用了。
iThome鐵人賽
看影片追技術