AD Windows и админ права для пользователя.

[КПП]

Добрый день!
Я работаю в небольшой конторе программистом. 70 человек штат, 15 в IT, около 100 PCs, 70% laptops. Сейчас все удаленно работают.
Года 3 назад пришел новый вайс президент по кибер безопастности. С его подачи у программистов стало по 2 акаунта, локальный и админ. Я, чтобы не вводить пароль админа на каждом шагу, сделал локальный аккаунт админом. Года 3 назад.
С пол-года назад я получил емейл от VP кибер секьюрити начальника, что это не хорошо, что локальный акаунт не должен быть админом. Я опечалился, но ничего не предпринял. Каждый месяц ко мне в лэптоп залазят работники из кибер отдела, устанавливают обновления Виндовс и проверяют акаунты. Я подумал, что они уже все исправили и мне не о чем беспокоится. Но оказалось, что никто ничего не менял и я подвергаю компанию кибер риску. Формально все так и есть.
Но задним умом я понимаю, что это responsability кибер отдела и я тут ничего не должен. Завтра будет собрание, где мне хотелось бы донести эту мысь до начальства, а то получается перекладывание ответственноски с кибер отдела на пользователя.
Как вы считает, прав ли я, ну хотя бы на треть?
Можно ли с Виндовз сервера выяснить, есть ли на локальном PC пользователя админ права на локальном акаунте?
Можно ли с Вондовс сервера (или откуда то еще) удалить у меня админ права с локального акаунта?
Это я хочу предложить начальству самому следить за моими Виндовз установками удаленно, исправлять если что не так и не перекладывать на меня ответственность.
Я погуглил, но пока не разобрался.
Спасибо!

[jekasa]

Добрый день!
Я работаю в небольшой конторе программистом. 70 человек штат, 15 в IT, около 100 PCs, 70% laptops. Сейчас все удаленно работают.
Года 3 назад пришел новый вайс президент по кибер безопастности. С его подачи у программистов стало по 2 акаунта, локальный и админ. Я, чтобы не вводить пароль админа на каждом шагу, сделал локальный аккаунт админом. Года 3 назад.
С пол-года назад я получил емейл от VP кибер секьюрити начальника, что это не хорошо, что локальный акаунт не должен быть админом. Я опечалился, но ничего не предпринял. Каждый месяц ко мне в лэптоп залазят работники из кибер отдела, устанавливают обновления Виндовс и проверяют акаунты. Я подумал, что они уже все исправили и мне не о чем беспокоится. Но оказалось, что никто ничего не менял и я подвергаю компанию кибер риску. Формально все так и есть.
Но задним умом я понимаю, что это responsability кибер отдела и я тут ничего не должен. Завтра будет собрание, где мне хотелось бы донести эту мысь до начальства, а то получается перекладывание ответственноски с кибер отдела на пользователя.
Как вы считает, прав ли я, ну хотя бы на треть?
Можно ли с Виндовз сервера выяснить, есть ли на локальном PC пользователя админ права на локальном акаунте?
Можно ли с Вондовс сервера (или откуда то еще) удалить у меня админ права с локального акаунта?
Это я хочу предложить начальству самому следить за моими Виндовз установками удаленно, исправлять если что не так и не перекладывать на меня ответственность.
Я погуглил, но пока не разобрался.
Спасибо!

Можно ли с Виндовз сервера выяснить, есть ли на локальном PC пользователя админ права на локальном акаунте?

Можно, компьютер в домене я так понимаю.

Можно ли с Вондовс сервера (или откуда то еще) удалить у меня админ права с локального акаунта?

То же можно сделать.

[КПП]

В домене, да. Соединение по ВПН. Спасибо!
Получается кибер секьюрити могут сами все сделать и я им не нужен. Очень хорошо.
А нельзя ли коротко объяснить им как это можно сделать? Мне бы им намекнуть, что они должны погуглить. Ключевое слово или хоть куда им копать?

[Amirko]

перекладывать ответственность на пользователя это так везде. Я админ в нашей конторе. Мы всё делаем, пользователи никуда не лезут. Это нормально. Давать пользователям локального админа иногда приходится, но это наш выбор. Разрешать пользователям самим конфигурировать локальный доступ это в компьютерной безопастности моветон. Вам я советую сказать что как только было указано на недостатки вы сделали "руки прочь" и думали что всё теперь будут делать админы. Тем более что так оно и было.

[veey+]

Давать админские права без необходимости - это весьма плохо. А если пользователь несознательный и работает под админским аккаунтом когда не надо, да еще и дает другим аккаунтам админские права - это совсем плохо. Я бы такому нерадивому юзеру админских прав никогда бы не дал.

[jekasa]

В домене, да. Соединение по ВПН. Спасибо!
Получается кибер секьюрити могут сами все сделать и я им не нужен. Очень хорошо.
А нельзя ли коротко объяснить им как это можно сделать? Мне бы им намекнуть, что они должны погуглить. Ключевое слово или хоть куда им копать?

Я бы не стал на Вашем месте этого делать. Можете профессионально "обидеть". Это то же айтишники только в другой стороне баррикад. Захотят, сами накопают и автоматизируют. Захотят, подключатся через тот же TeamViewer и уберут ручками или через Computer Management -> Action -> Connect to another computer

В кратце, есть групповые политики, есть локальные политики, есть инструменты в виде PowerShell и VBS для автоматизации или конфигурирования. С помощью этих инструментов можно играться с учетными записями. Для всяких выборок может применяться WMI (аналог SQL).
Ну и маленький хинт, если компьютер в домене, все Ваши файлы доступны Вашему IT отделу, без дополнительных программ.

[КПП]

Спасибо всем ответившим! Кто же хранит секреты на конторском лэптопе?
Собрание прошло, меня загнали в стойло. Непривычно, но жить можно. Заметил интересную особенность. Для примера возьму FAR3. Если он установлен в \Program Files\ то не может ходить по мап дискам, даже после ввода админского пароля (или запуска с правами админа) - диски видит, а зайти не может. А вот если его же скопировать куда-нибудь в другое место, то нет никаких ограничений, даже админ права не просит. Странно это, хотя удобно. Значит теперь можно часто используемые программы убрать в другое место запуска и не париться?

[veey+]

Для примера возьму FAR3. Если он установлен в \Program Files\ то не может ходить по мап дискам, даже после ввода админского пароля (или запуска с правами админа) - диски видит, а зайти не может. А вот если его же скопировать куда-нибудь в другое место, то нет никаких ограничений

Чо за бред питт?
Доступ или есть или его нет. Зависит от account permissions, а не от программы.

[zVlad]

У меня тоже была история с парой аккаунтов. Админом можно было логиниться через CyberArk. Это было не очень удобно, но только так можно было зайти через RDP на сервер где крутилось нужное мне приложение, и само приложение работало только с правами админа. Сначала я сделал чтобы приложение заработало без админ и добавил свой не админ аккаунт в группу удаленного доступа к серверу. Меня из нее переиодически выхеривали, и я снова добавлял используя мой админ. Потом мне это надоело и я поставил приложение на свой десктоп. Нужда в аккаунтах отпала совсем, т.к. стало не нужно удаленно логиниться к серверу.