Борьба админа со Smart Asses

[zVlad]

У мего соседа по офису, тим лида Wintel (у него сотни серверов и больше десятка Windows админов под его началом), проблема локальных админ прав едва ли не #1. Он постоянно рассказывает как пытается добиться обоснования почему у него просят локального админа. Он резонно считает что для этого должны быть веские причины, но порой его продавливают силой - указом сверху.

У них есть script, который проверяет по списку какие accounts могут иметь admin и если находят тех что не в списке забирают права. Одно время я тоже был на месте того кому нужен был admin, но записаться в список мне было лень. Это не позволяло мне сделать мою работу. Но у меня была возможность залогиниться admin-ом не с моим userid, и я ставил свой userid локал admin-ом, делал работу. Потом они прогоняли script и я вылетал. Все начиналось сначала. Мне это надоело, я разобрался как делать мою работу без админ прав и теперь живу без них и без обходных маневров. Эти "обходные пути" очень плохо пахнут с точки зрения security, но они существуют, я думаю, повсеместно там где вроде бы эту проблему пытаются решать радикально. У нас это делается. Выглядит ужасно, CyberArk называется. Я в эти игры принципиально играть не стал и хотя у нас это политика, но я уже больше года хожу на нужные мне серваки Windows, минуя эту "политику". "Entrust" токен дали, ни разу не пользовался.

Зачем я это все писал? Конечно чтобы сказать про мэйнфрэйм. В z/OS такой проблемы нет в принципе. Все необходимые для работы не-администраторов права можно назначить без предоставления завышенных возможностей. И это работает строго и непробиваемо ни чем и ни кем. То что нужно делать с правами админa делаю я, и только я. Более того, много лет назад у нас было пару челов кто имел права модифицировать конфигурации некоторые системные - они были админстраторами одной важной компоненты z/OS (без z/OS admin прав). Я с ними побеседовал и они согласились что этих прав у них не будет. Если им надо что-то поменять в конфигурации они обращаются ко мне.

Кстати и под Windows права admin не необходимы для тех кто не администрирует систему. Им просто лень разобраться как то или иное делать обычным user-ом. И собственно admin-ы Windows не всегда проявляют настойчивость и умение чтобы помочь user-ам делать их работу без admin прав. Согласны? На моей рабочей Windows я никогда не был admin-ом, но это не мешало мне, так или иначе, делать все что требовало admin прав. На серваках я тоже нашел способ, хотя мой предшественик все делал будучи local admin. Это было элементарно. В самой сложной ситуации я подговаривал знакомого admin-a, он давал мне local admin, я делал инсталяцию (или добавлял себя в "Remote Desktop Users" - таким образом был обойден CyberArk), потом их script меня автоматом удалял. CyberArk остался в стороне - "Remote Desktop Users" их script не проверяет. Кстати, не будучи админ я вижу кто в групе "Administrators". Это шаг к тому чтобы получить полный доступ.

Так что, Dima, мой тебе совет - удаляй всех из local admin group, и каждого кто к тебе придет проси обосновать требование на admin. Может тебе придется за них что-то поделать, может поорать на них.

[Dmitry67]

Так что, Dima, мой тебе совет - удаляй всех из local admin group, и каждого кто к тебе придет проси обосновать требование на admin. Может тебе придется за них что-то поделать, может поорать на них.

Но я либерал и сторонник свободы (((
не хочу чтобы меня считали Берией...

[zVlad]

Так что, Dima, мой тебе совет - удаляй всех из local admin group, и каждого кто к тебе придет проси обосновать требование на admin. Может тебе придется за них что-то поделать, может поорать на них.

Но я либерал и сторонник свободы (((
не хочу чтобы меня считали Берией...

Dima, не комплексуй. Тебя "выносят из локальный админов", а ты своими правами воспользоваться боишься. Дождешься тебя за невыполнение обязаностей администратора накажут. А ты все, Берия, Берия. Берия не был admin-ом. А ты не член Политбюро и не генеральный коммисар ГБ.

[Palych]

Так что, Dima, мой тебе совет - удаляй всех из local admin group, и каждого кто к тебе придет проси обосновать требование на admin. Может тебе придется за них что-то поделать, может поорать на них.

Но я либерал и сторонник свободы (((
не хочу чтобы меня считали Берией...

Dima, не комплексуй. Тебя "выносят из локальный админов", а ты своими правами воспользоваться боишься. Дождешься тебя за невыполнение обязаностей администратора накажут. А ты все, Берия, Берия. Берия не был admin-ом. А ты не член Политбюро и не генеральный коммисар ГБ.

Хорошо сказано (IMHO)
Как говорили во времена перестройки: "Демократия - это не вседозволенность. Стало быть, там где нет вседозволенности - там и есть демократия."
Борьба с умнымимля в целом основана на:
- образовании, разъяснении, агитации (у нас кстати постоянно ведётся мощная кампания, с мультфильмами, сувенирами и проч.)
- Запугивании (если будешь держать иголку остриём от себя - мать умрёт)
- показательных казней
При выборе объектов для гильотинизации необходимо взвешивать полезность объекта, возможность в итоге убедить его не борзеть и проч. У админа такой информации нет по определению, его дело - выдавать корректную информацию кто где гадит.

[zVlad]

..... У админа такой информации нет по определению, его дело - выдавать корректную информацию кто где гадит.

По мне (я admin) мой долг и обязанность давать необходимый минимум прав для выполнения работ не-admin-ами.
Гадить, в моем понимают, должно быть возможным только самому сeбе. Информация из нормальной системы security (RACF), которую я обслуживаю и настраиваю, может быть только одна - о попытках несанкционированного доступа. Попытках! О том где и как было нагажено в пределах установленных границ дают информацию другие службы. В БД, например, журнал изменений.

Я конечно понимаю что то с чем Вы работаете таких возможностей не предоставляет, или пользоваться ими не предоставляется возможности. Поэтому и отношение к этому у нас разное.

[Ion Tichy]

Так что, Dima, мой тебе совет - удаляй всех из local admin group, и каждого кто к тебе придет проси обосновать требование на admin. Может тебе придется за них что-то поделать, может поорать на них.

Но я либерал и сторонник свободы (((
не хочу чтобы меня считали Берией...

Ну тогда не орите, а сначала свяжите, а потом слегка придушИте.

[Dmitry67]

Влад, в винде тоже можно лишить админских прав и все. Вполне нормальное решение, например, для компов где обслуживают клиентов, например, в банках

Но для девелопера лишение админских прав, я считаю, это интеллектуальное оскопление.

[zVlad]

Влад, в винде тоже можно лишить админских прав и все. Вполне нормальное решение, например, для компов где обслуживают клиентов, например, в банках

Но для девелопера лишение админских прав, я считаю, это интеллектуальное оскопление.

Тогда чем admin отличается от developer? Это ложное представление, создающее риски безопасности всей ИТ фирмы где Вы администратором поставлены. Будь я Вашим менеджером, я выбил бы из Вас эту дурь быстро.

P.S. Разве интелект в правах проявляется? Вовсе нет, он в умении работать с заданными ограничениями проявляется. А ограничения всегда и везде есть, кроме ИТ, да и то только с такими "ограничителями" как Вы.

[Dmitry67]

Влад, в винде тоже можно лишить админских прав и все. Вполне нормальное решение, например, для компов где обслуживают клиентов, например, в банках

Но для девелопера лишение админских прав, я считаю, это интеллектуальное оскопление.

Тогда чем admin отличается от developer? Это ложное представление, создающее риски безопасности всей ИТ фирмы где Вы администратором поставлены. Будь я Вашим менеджером, я выбил бы из Вас эту дурь быстро.

Девелоперы не имеют доступа в QA/UAT и тем более PROD. Так что риски невелики

[Slonjra]

Влад, в винде тоже можно лишить админских прав и все. Вполне нормальное решение, например, для компов где обслуживают клиентов, например, в банках

Но для девелопера лишение админских прав, я считаю, это интеллектуальное оскопление.

Вы неправы ))) Вот им как раз в первую очередь надо все права пообрезать ))) А то они такого наворотят...
ну не нужно обычному разработчику ставить софт на комп..не его это..

еще раз повторю, если ему надо просто поиграться с новым софтом , VM ему в руки, барабан на шею и вперед..
вот внутри VM он хоть суперадмином может быть..
да и VM в идеале не на его компе, а на серваке, под приглядом админа, а ему только RDC к этой VM.
у нас таких трое, и ниче, работают не жужат, только изредка просят поднять копию VM из вчерашнего Бэкапа, или запустить чистую копию.

[StrangerR]

Так что, Dima, мой тебе совет - удаляй всех из local admin group, и каждого кто к тебе придет проси обосновать требование на admin. Может тебе придется за них что-то поделать, может поорать на них.

Но я либерал и сторонник свободы (((
не хочу чтобы меня считали Берией...

Ну начнет удалять. Пользователи быстренько поставят сервис который их тут же на место ставит, причем назовут сервис так, что фиг найдешь. И будут два скрипта друг с другом бодаться, причем победит естественно локальный юзер.

Толку то... Это не агенты, это девелоперы. Умный девелопер всегда объедет сколь угодно умного админа на кривой кобыле. Поэтому лучше сделать полиси, что можно а что нельзя делать, и проверять ее, а не удалять админ права (или восстановят или объедут или докажут что им нужны). Тем паче виндовый девелопмент без прав админа делать зачастую нереально, слишком все криво в этой винде.

[Ion Tichy]

...

Но для девелопера лишение админских прав, я считаю, это интеллектуальное оскопление.

Девелопер - это типа токарь которому дали токарный станок, чертеж, резцы, заготовку и дату когда сделать.
Если Вы хотите дать ему/ей набор гаечных ключей шоб залезть внутрь станка...

[ALV00]

Если уж лишать админских прав, то надо делать грамотно, с зашифровкой диска, чтобы нельзя было подмонтировать из другой системы. Иначе загрузят линукс с флешки и подберут пароль. Я сам так делал когда-то. Просто вынужден был. Без админских прав девелоперу очень хреново.

[Slonjra]

Если уж лишать админских прав, то надо делать грамотно, с зашифровкой диска, чтобы нельзя было подмонтировать из другой системы. Иначе загрузят линукс с флешки и подберут пароль. Я сам так делал когда-то. Просто вынужден был. Без админских прав девелоперу очень хреново.

и вылетят с работы....))) Сказано, что нельзя...то и нефиг лезть....
Сильно надо - пиши обоснование и все оффициально, через начальство.

[nyekimov]

Блин как хорошо, что пока ни на одной организации админы не лазали по макам. Как вспомню эти искуственные ограничения виндоус, который во многих случаях разработчику не уперся. Бррр.

[Slonjra]

угу..я тоже не лазаю по Макам..))) но и не занимаюсь никаким их суппортом, кроме настройки корпоративной почты...
и долго ржу, когда они сами корячаться с техсуппортом очередного извращения для Мака.
Даже установка MS Office под Мак - уже не моя проблема )))

[Slonjra]

Блин как хорошо, что пока ни на одной организации админы не лазали по макам. Как вспомню эти искуственные ограничения виндоус, который во многих случаях разработчику не уперся. Бррр.

угу...вот именно из-за этих ограничений и нельзя давать разрабу админские права...
ибо в 99% такой разраб выдаст такое решение, которое у конечного пользователя заработает, только тогда, когда юзеру дадут админские права..
учитесь работать в рамках установленных системой ограничений.

[nyekimov]

Блин как хорошо, что пока ни на одной организации админы не лазали по макам. Как вспомню эти искуственные ограничения виндоус, который во многих случаях разработчику не уперся. Бррр.

угу...вот именно из-за этих ограничений и нельзя давать разрабу админские права...
ибо в 99% такой разраб выдаст такое решение, которое у конечного пользователя заработает, только тогда, когда юзеру дадут админские права..
учитесь работать в рамках установленных системой ограничений.

Я вообще то разрабатываю под мобилку, причем тут ОС? Веберы разрабатывают под браузеры, причем тут ОС? Бэкенд разрабатывается в основном для серверов на линукс ОС, причем тут виндоус???

Лишь один кейс оправдан, это разработка клиентов под виндоус ОС. Но мля эксперементировал как то с мобил виндоус и сейчас меня виндоус разработчик то и дело дергает для обсуждения архитектурных деталей проекта, который я сделал для ИОС и ему только надо повторить, рассказывает кратко о нюансах своей кухни, им не привыкать делать мозги со своей виндоус фэмили.

[Slonjra]

Блин как хорошо, что пока ни на одной организации админы не лазали по макам. Как вспомню эти искуственные ограничения виндоус, который во многих случаях разработчику не уперся. Бррр.

угу...вот именно из-за этих ограничений и нельзя давать разрабу админские права...
ибо в 99% такой разраб выдаст такое решение, которое у конечного пользователя заработает, только тогда, когда юзеру дадут админские права..
учитесь работать в рамках установленных системой ограничений.

Я вообще то разрабатываю под мобилку, причем тут ОС? Веберы разрабатывают под браузеры, причем тут ОС? Бэкенд разрабатывается в основном для серверов на линукс ОС, причем тут виндоус???

ну вот об.ясните мне Злому Админу...нафига тому же ВебДевелоперу админские права на его компе ??
Я еще пойму, если это самостоятельный фрилансер, но эти тут вообще не в тему.
Разраб же в конторе/команде должен работать на том продукте, который выбрал начальник и установил админ..
усе..
бери что дали. и к станку -> гнать план.

[nyekimov]

угу..я тоже не лазаю по Макам..))) но и не занимаюсь никаким их суппортом, кроме настройки корпоративной почты...
и долго ржу, когда они сами корячаться с техсуппортом очередного извращения для Мака.
Даже установка MS Office под Мак - уже не моя проблема )))

А вы уверены что мне сдался даром МС Офис? Прикиньте компания пользуется набором с онлайн гугл решений и я уже не помню когда даже кроме этой компании видел мс офис документ, тем более который не мог бы быть импортирован в гугл докс.

[Slonjra]

угу..я тоже не лазаю по Макам..))) но и не занимаюсь никаким их суппортом, кроме настройки корпоративной почты...
и долго ржу, когда они сами корячаться с техсуппортом очередного извращения для Мака.
Даже установка MS Office под Мак - уже не моя проблема )))

А вы уверены что мне сдался даром МС Офис? Прикиньте компания пользуется набором с онлайн гугл решений и я уже не помню когда даже кроме этой компании видел мс офис документ, тем более который не мог бы быть импортирован в гугл докс.

вы похоже очень давно в большой конторе не работали..))) Гуглодокс там не катит, как и ОпенОфис..
в 90% серьезных контор - Ms Office стандарт... хотя я тоже считаю, что единственный полезный продукт в этом Офисе - Outlook.

пы.сы А Гуглу большие компании ну очень не любят, из-за его постоянных попыток чего-то улучшать в своих сервисах, и в любой момент может оказаться, что гуглю надоело потдерживать очередной свой сервис и они на него наплевали..)))

[fruit6]

Slonjra, софт для веб разработки не работает под виндой без одминских прав. Такова реальность.

У варианта "забрать права" есть, конечно, по крайней мере, один бенефит: будет производиться меньше нового г-на софта на радость StrangerR

[nyekimov]

ну вот об.ясните мне Злому Админу...нафига тому же ВебДевелоперу админские права на его компе ??
Я еще пойму, если это самостоятельный фрилансер, но эти тут вообще не в тему.
Разраб же в конторе/команде должен работать на том продукте, который выбрал начальник и установил админ..
усе..
бери что дали. и к станку -> гнать план.

Это такая типично паршивая команда, получается никаких шагов влево, на всех моих фирмах приветствовали, когда разработчик изучает что-то новое и потом предлагает, как это применить, да и просто не дает мозгам засохнуть. Потому что иначе развитие сотруднику закрыто - образовывайся самостоятельно в свободное от работы время.

На первой работе в банке первый год полтора был виндоус комп, там мы были админами, но сеть постоянно сканировалась и прилетали письма счастья, типо удалите то тот запрещенный продукт. В основном типо антивирус замените на корпоративный касперский. Ок без проблем. Диктовать технологии? Каждый начальник в первую очередь сам хочет свободу и гибкость, потому что если это каждый раз согласовывать, затем вставать в очередь на установку к админам, то это будет занимать очень долго.
Еще в банке интернет давали в 2010 году по часам, и строго следили, чтобы не дай бог не смотрели видео или не слушали музыку онлайн. Надо ли говорить, что из-за такой политики там сидели только послушные. Мой отдел очень быстро сообразил купить беспроводной модуль на 5 компов через который мы и сидели во внешнем интернете. И я очень радовался, когда наконец убежал и увидел, что в остальном мире все не так паршиво.

[Slonjra]

Slonjra, софт для веб разработки не работает под виндой без одминских прав. Такова реальность.

У варианта "забрать права" есть, конечно, по крайней мере, один бенефит: будет производиться меньше нового г-на софта на радость StrangerR

угу, именно об этом я и говорю...т.е. его тоже делал какой-то разраб, которому "до ужаса" надо было иметь админские права..
Был у нас подобный продукт ( слава богу сдох, его перестали потдерживать...аж целый IBM его выпускал....)

[Dmitry67]

Это такая типично паршивая команда, получается никаких шагов влево, на всех моих фирмах приветствовали, когда разработчик изучает что-то новое и потом предлагает, как это применить, да и просто не дает мозгам засохнуть. Потому что иначе развитие сотруднику закрыто - образовывайся самостоятельно в свободное от работы время.

Именно поэтому я и хочу с ними по хорошему