iT邦幫忙

0

AD權限的矛盾處理建議

剛到了新環境,由於這個環境有建置AD(前公司規模小環境單純,未建置AD也沒金費)
大部分的部門(行政、業務)沒甚麼問題,但近日來RD部門一直在反應每次有新的更新或是要改變通信協定都要找管理員(也就小弟我)換權限很煩,寫code的思緒都打亂了- -

可是這是公司政策也跟主管反映過了,主管那沒甚麼下文,所以不期望它了

小弟職掛硬體工程師,孰不知連AD、Exchang、門禁等的權限管理也落在身上(但這好像不是重點),有想過開放Power Users的權限(目前一律歸到Domain User)可是心中有所疑問爬文也未能解惑,就是Power Users群組是Administrator的閹割版可執行大部分的權限(包含安裝軟體)但問題來了,就是不希望User能自行安裝軟體(亂亂安裝然後中毒,或安裝使用破解軟體)所以用AD來管理帳戶權限,一但開放Power Users不就打破這個限制(中毒了又拉我下水)而且其他部門知道了也會眼紅- -,不開嘛又會進入『RD抱怨→我反映主管→沒有下文→回覆RD因公司政策所以...→RD抱怨→我反映主管→沒有下文→回覆RD因公司政策所以...』這個迴圈

故來問問各位有相關經驗的大大門是如何解決這類問題

IT日常工作.
h1324512 iT邦新手 5 級 ‧ 2019-03-06 11:55:52 檢舉
該鎖權限 不給安裝就不要給
省得增加自已工作,吃力又不討好
要安裝軟體,行,先寫申請單,該單位主管同意後再由mis主管同意後
再開啟權限
要是user 覺得麻煩,請在會議中提出,與會主管同意後
統一更改公司電腦使用政策
被捉到盜版軟體之類的請不要找mis麻煩
以上給樓主參考
M大
真的,沒碰觸AD時每周寫信提醒所有USER不要亂亂安裝搞的各部門每天嘴說一直提醒很煩,然後中毒又說沒跟它們說這樣做會中毒- - 部分資料(客戶檔)沒備份所以又被該部門主管罵 那時還沒人能幫我擋 超幹
碰AD後又被嘴不給安裝 唉...來去學寫code加入RD好了

H大
這方法不錯,謝謝提供
IT主管一定也不想背責任才把管理任務放下來,還頭要他簽名.......唉 處長個性沒摸到只好再等等了
0
froce
iT邦高手 1 級 ‧ 2019-03-06 12:29:19
最佳解答

本機權限就是拿來管理這種情境用的,要申請的寫切結書和申請單。
申請好的再幫他加進他保管電腦的 Power users 的群組。

喔喔,看來我沒想通的點就是要有書面切結來切責任

目前就是寫申請單,在幫它們安裝、更新或是改本機設定,他煩我也煩

froce iT邦高手 1 級 ‧ 2019-03-06 14:07:59 檢舉

當然 h1324512 說的,改變作法前也要先經過召開會議及宣導也要做。

0
浩瀚星空
iT邦高手 1 級 ‧ 2019-03-06 11:50:50

處理掉rd或是處理掉主管就行了,呵呵呵。我說笑的。

其實你來這邊請教說真的也很沒有意義就是了。
我上面那句話雖然是在說笑也沒錯。但事實上這也可能是你唯一的解決方案。

我倒是有個建議就是了。如果非立即性的情況下。你可以統一周的其中一天為權限開放日。
如有安全機密性而言。則可採用申請制。

平常就是讓他們發mail申請或是其它申請的方式。依不吵你的情況下為主。
等到那天你再統一全部處理。

這樣也是一種解決的方式。只不過重點是.... 主管→沒有下文
好吧,那也就不了了之了。所以還是先幹掉你主管再說吧。哇哈哈。

它工號太前面(個位數的,我都幾百去了),還沒摸清楚公司秘辛還是不要想這個 呵呵呵

0
註冊單
iT邦新手 4 級 ‧ 2019-03-06 13:53:14

不要擅自作主就這樣惡性循環下去
很多工作都是這樣
小心成為標靶

0
tonikukoc
iT邦新手 5 級 ‧ 2019-03-06 15:46:40

不知道樓主所說的更新是指軟體更新或是OS更新,若是軟體更新,我自己的做法是將該軟體的安裝資料夾安全性裡面新增domainuser然後將domainuser的權限提升到可以修改,這樣大部分的軟體更新都可以由user自己做。
至於切換通訊協定,我自己的做法是用批次檔去做,先用autoIT軟體,將domainadmin的帳密寫在裡面後再compile成EXE檔,這樣user就無法直接看到domainadmin的帳密,而且user只要自己點EXE檔,就可以切換通訊協定。
以上是我自己的方法,不知道能否幫的上忙

果然板上大大的經驗都很豐富
重沒想過軟體那個資料夾只要增加Domainuser他們自己就能更新 給你N個讚

AutoIT那個我研究研究

0
tyudfg1682
iT邦新手 4 級 ‧ 2019-03-06 19:46:32

我這邊的做法是鎖起來,要權限的話,就是點選桌面的"管理者權限申請"

會帶起一個文字視窗跟文字欄位,要求使用者填寫 "申請原因"

填完之後,會發送到訊息到Slack,我們公司用Slack做內部溝通,

IT用電腦查看Slack跳出的通知,然後查看使用者申請的原因,

再把管理者權限給他,預設時間一小時,時間到了會被強制登出,

當然申請跟給予權限都是自動化的,IT不用自己跑來跑去,

除非使用者連軟體都不會自己安裝,自己安裝的軟體自己負責阿

自己沒辦法負責那就=不要給權限,

自己開車撞死人了,是駕駛人要責任? 還是賣車的廠商要負責任?

跟主管好好討論,這點基本邏輯好好溝通一般人都會知道的道理。

Power Users 我建議你是不要再用了,現在安裝軟體是有可能會用到機碼這類系統核心的

有的軟體寫得太爛的,以為只要安裝到預設的Program Files (x86)有了就沒事了,

連自己機碼還有相關設定沒寫進系統核心也沒去檢查,等程式開始用了才跳Error給你看

你又要跑去幫他檢查為什麼軟體不能用了。

真假,這麼多寫到機碼的程式喔!
是說第一次安裝是由資訊這用Administrator來安裝的,後面的軟體更新部分用Power Users就行了吧?
像是Python小更新我就幫RD用了兩次頻率有點快

harrytsai iT邦新手 5 級 ‧ 2019-03-07 10:52:19 檢舉

我的主管給我的建議是要就資訊部來弄,資訊部負責,要不RD部門自己處理自己負責,沒有RD單位弄出問題,資訊部來承擔責任

軟體更新要看軟體的設計,有的是直接覆蓋檔案,有的是移除重新安裝,
所以沒有一定的答案,雖然大多都是覆蓋更新,少數移除更新。

我要發表回答

立即登入回答