¿Cómo convencer a un gran jefe de que no necesita privilegios de administrador?

32

Muchas veces he encontrado que "el gran jefe" en una empresa quiere poder instalar "cualquier cosa" y hacer cualquier cosa en su computadora.

Por supuesto, podemos decirle que es malo porque los administradores del sistema de TI pierden el control sobre la computadora, y así sucesivamente.

¿Algún argumento irrefutable para convencer a los grandes jefes de que es mejor no tener privilegios de administrador en su computadora de escritorio?

FerranB
fuente
9
Tuvimos un problema, no con el CEO, sino con el gerente de recursos humanos. WTF? No recuerdo la solución, pero creo que implicaba presentarle al CEO lo que le estaba costando a la compañía cada vez que cargaba su computadora portátil. Ella obtuvo los derechos de administrador eliminados después de eso.
staticsan el

Respuestas:

25

La única vez que tuve un poco de éxito en esto fue un jefe que estaba dispuesto a usar ejecutar como con credenciales alternativas si quería instalar algo. Le expliqué que incluso los administradores de sistemas se conectaban a sistemas con cuentas normales la mayor parte del tiempo y luego le creé su propia cuenta de administrador que solo debía usar cuando quería hacer algo especial. En realidad fue muy efectivo y evitó que su máquina se arruinara totalmente en los dos años que estuve en la compañía. Este fue un CEO relativamente inteligente que fue capaz de entender toda la carrera como tal, y estoy seguro de que tenía cosas allí que no habría aprobado, pero al menos le impidió arruinar pasivamente las cosas.

Catherine MacInnes
fuente
3
+1 La mejor solución si no hay forma de disuadirlo ... algunos jefes incluso merecen una cuenta de administrador en realidad: los he visto, si no estropean las cosas y siempre preguntan sobre las cosas primero, y solo usan para arreglar su maldito software de sincronización de teléfonos móviles no estándar en su tiempo libre ^^
Oskar Duveborn
15

Dígales que pueden tener el mismo acceso que obtienen los administradores de dominio, y luego deles exactamente eso:

  • Una cuenta de usuario estándar que está conectada a su correo electrónico, documentos y aplicaciones comerciales que pueden usar para el trabajo diario.
  • Una cuenta separada en la máquina que tiene privilegios de administrador para esa máquina (análoga a la cuenta de administrador del dominio de un administrador), pero que NO está conectada a su cuenta de correo electrónico ni a ninguna aplicación comercial que requiera autenticación basada en el usuario conectado actualmente, y no tiene ninguna impresora configurada. Esta cuenta debe romperse por diseño, de modo que no sea buena para el uso diario.

La idea es que la cuenta privilegiada se rompa lo suficiente como para que sea menos doloroso permanecer conectado como usuario estándar la mayor parte del tiempo; el jefe solo querrá usar la cuenta privilegiada cuando realmente la necesite. Los grandes jefes casi siempre dependen en gran medida del acceso al correo electrónico y a los sistemas de informes, por lo que si puede hacer que acceder a ellos desde la cuenta privilegiada sea un poco menos conveniente, estará en buena forma. La mitad del tiempo tu jefe olvidará las credenciales de todos modos.

Si esto todavía no los satisface, continúe y entregue una cuenta de administrador / raíz de dominio completo, pero aún así hágalo como una cuenta separada de su cuenta de trabajo normal; después de todo, ellos son el jefe. Asegúrese de que la cuenta esté fuertemente auditada. En este punto, lo que a menudo buscan realmente es una póliza de seguro o cobertura contra un administrador deshonesto; necesitan sentir que el dinero se detiene con ellos si se trata de eso, y siempre que tengan una cuenta de usuario estándar para su trabajo diario, no hay nada de malo en esto.

Joel Coel
fuente
¿"Administrador de dominio completo" para un tipo de administración? Eso es completamente loco. Dales derechos de administrador local a través de un médico de cabecera en su máquina solo si no puedes hacer otra cosa, pero nunca más que eso.
Shadok
@Shadok - " administrator privileges para esa máquina (análoga to an admin's domain admin account) " - Nunca recomendaría dar administrador de dominio a alguien que no lo necesita.
Joel Coel
1
Lo sentimos, pero esa frase no estaba claro para mí "mano a cabo una cuenta de administrador de dominio completo / root", feliz de ver que no quería decir lo que me listada :)
Shadok
Al volver a leer esto, recomiendo que esté disponible, pero con dos grandes advertencias ... ni siquiera está en la mesa como una opción hasta después de que hayan intentado y rechazado la cuenta de administrador local, y la cuenta se rompe deliberadamente por un día uso diario. Es algo que se hace como último recurso, porque son el jefe y tienen poder de disparo si te niegas.
Joel Coel
13

Ninguno, excepto para hacerles saber que tomará al menos 3 a 4 horas limpiar su computadora cuando la haya limpiado.

Solo una advertencia justa ...

Dayton Brown
fuente
12
Si usted fue quien escribió el gran cheque para pagar todo ese hardware, será condenado si no puede usarlo como quiera. El jefe consigue lo que quiera, planifica el fracaso. Recomiendo encarecidamente crear una "instalación nueva" y mantenerla disponible.
bobby
1
De acuerdo con esto Nunca he tenido éxito en bloquear las computadoras portátiles de administración superior. Planifique el fracaso y hágalo con una sonrisa.
kashani el
1
No estoy de acuerdo con el comentario "hazlo con una sonrisa". No hay nada de malo en expresar una opinión negativa sobre el asunto mientras estás atrapado reinstalando todo el software y los datos necesarios porque una alta gerencia idiota decidió que hacer clic en ese gran cartel de bocina era una buena idea. Solo sé neutral en tono cuando lo hagas.
Chris
1
He tenido bastante éxito en mantenerlos fuera del administrador. Una vez que les he demostrado que realmente no hay nada que no puedan hacer sin él, es bastante fácil. Creo que he tenido suerte
Jim B
2
No he tenido mucho éxito en mantenerlos fuera del administrador de las computadoras portátiles. Parece que hay demasiadas veces que están en el camino y "NECESITAN" algún software instalado en este momento. Sin embargo, he tenido éxito en mantener una imagen base para todas las computadoras portátiles. En el peor de los casos, pueden recibir una computadora portátil limpia en aproximadamente 2 o 3 horas. Y eso es solo alrededor de 10 minutos totales de mi tiempo. Y sí, entrego con una sonrisa, ya que soy un contratista y sobrevivo al NO ser "Steve the IT Guy".
Dayton Brown el
8

Solo trabajo por contrato, así que hago lo que mis clientes me dicen o, si realmente no me gusta, ejerzo la "cláusula de rescate" en mi contrato.

Con eso en mente, la mayoría de las personas han tenido algún tipo de experiencia de "malware" hoy. Analizo con el Cliente cómo el software malicioso que ejecutan a través de errores del navegador, etc., tiene los mismos derechos y privilegios que la cuenta de usuario con la que inicia sesión (incluido el acceso a su correo electrónico y sus pulsaciones de teclas, sin mencionar los recursos en servidores).

Normalmente recibo una pregunta como "¿Por qué el software antivirus no se ocupa de eso?" Luego tenemos la charla de "carrera armamentista": la de cómo la gente de malware está descargando las mismas actualizaciones para el software antimalware que usted e ingeniando alrededor de las nuevas "firmas", etc.

Lo termino explicando que uso cuentas de usuario limitadas en todas mis computadoras (y lo he hecho durante años).

Esto es todo lo que me ha llevado convencer a los usuarios para que se ejecuten con cuentas de usuario limitadas. En algunas ocasiones he tenido que permitir que el usuario tenga una experiencia de malware primero (lo que sucede invariablemente), pero dado que mis servicios generalmente vienen con una indicación muy clara del gasto relacionado, generalmente solo ocurre una vez.

En general, creo usuarios de nivel "Administrador" como cuentas locales o cuentas de dominio (junto con la política de grupos restringidos para otorgarle a la cuenta de usuario "derechos"), dependiendo de a cuántas computadoras el usuario necesita acceso. Me aseguro de no nombrarlo en ninguno de los grupos utilizados por la cuenta de usuario diaria y de no darle acceso a su buzón de Exchange. Quiero que la cuenta de nivel "Administrador" sea lo más inútil posible para cualquier cosa, excepto instalar software / controladores en su PC.

Esta estrategia me ha ahorrado muchos dolores de cabeza y ha ahorrado a mis clientes una cantidad sustancial de dinero. Se necesitan "habilidades de la gente" para tener las conversaciones que necesita tener, y ser un contratista ciertamente ayuda, pero definitivamente es un problema superable.

Evan Anderson
fuente
+1 Argumentos realmente útiles incluso si es 100% desde el punto de vista de un consultor
Oskar Duveborn
7

En lugar de tratar de convencerlo de que está equivocado, tal vez debería intentar encontrar alguna forma de compromiso. Quizás le permita ejecutar una copia de VMware con un vm invitado en el que pueda volverse loco. Intenta darle la capacidad de lograr lo que cree que necesita hacer de una manera que aún lo dejará con un sistema administrado estable.

Realmente, es probable que necesite exponer el caso comercial de que puede tener una computadora confiable y que se puede restaurar cuando falla o pierde su computadora porque sabe exactamente qué hay en el sistema y cómo solucionarlo y dónde está todo los medios lo son. O puede tener una computadora de la que es responsable, y cuando la computadora se rompe, no puede garantizar que podrá hacer otra cosa que no sea formatear + reinstalar.

Intente y comunique los riesgos y lo que hace, y trate de llegar a un compromiso. Considere configurar una VM, o una configuración de arranque dual o algo que le permita la flexibilidad que necesita / desea, pero aún así le permite tener un sistema estable.

Zoredache
fuente
2
Tenga en cuenta con el uso de una máquina virtual que puede tener consideraciones de licencia de sistema operativo.
Evan Anderson el
7

Desafortunadamente, no hay mucho que pueda hacerle al tipo que firma su cheque de pago. :-)

El mejor consejo (práctico) que podría darte sería asegurarte de que tienes una buena rutina de respaldo para su sistema y dejarlo enloquecer. Jajaja

Realmente se reduce a esto:

  1. ALGUIEN tiene que estar en el asiento del conductor. Es su compañía tan claramente que él es el jefe. Lo mejor que puede hacer es AVISARLE sobre el mejor curso de acción (con cualquier cosa) y luego dejar que tome una "decisión informada". Si él no sigue su consejo ... y hay un error ... es SU culpa por no escuchar.

  2. Si él sigue su consejo y hay un error ... todavía es SU culpa porque ÉL tomó la decisión. Recuerde, ÉL está en el asiento del conductor.

Ahora ... esto te dará algunas miradas extrañas de vez en cuando ... incluso una sonrisa o una risa.

Pero asegúrese de explicar que LA DIFERENCIA es ... que limpia SU desastre (gratis) y hace todo lo posible para resolver la situación. El otro le paga por limpiar y usted se reserva el derecho de "predicarle" durante 5-10 minutos y él acepta escuchar.

Intenta mantenerlo en el lado DIVERTIDO.

Nunca he tenido problemas para explicar esta lógica al dueño de un negocio. La mayoría de ellos ya lo sabe. Es divertido explicarlo en términos contundentes (pero suaves). ;-)

KPWINC
fuente
5

Dígale que realmente debería dar el ejemplo que debería seguir el resto de la compañía.

Si comienza a "personalizar" su computadora portátil (el peor de los casos) con "descargas de Internet", entonces su Director de Ventas lo hará, el Director de Finanzas lo hará, el Asistente del Director de Ventas, la voluntad del vendedor, los técnicos, los servicios al cliente, etc. .

Luego, explique que a) se incrementa el riesgo para la INFRAESTRUCTURA EMPRESARIAL (es conveniente encontrar toda la información de sus clientes y pedidos en Internet), b) establece una cultura de seguridad y profesionalismo en la organización, yc) cuesta mucho más en soporte y confiabilidad reducida.

Si quiere una máquina de juego, déjelo hacerlo en su propia PC, pero una PC / computadora portátil / equipo de negocios es para fines comerciales.

Es una cosa adulta ...

Chico
fuente
4

No entiendo la unilateralidad de las respuestas aquí. El gran queso obtiene lo que quiere el gran queso.

¿Un ejecutivo no técnico se meterá en problemas por su propia cuenta?

Tal vez, pero mira eso como una oportunidad para obtener una habilidad de primera mano para mostrar tus habilidades y tener un poco de tiempo con el chico que firma los cheques. Dar una exposición administrativa joven y talentosa al CEO es una excelente manera de darle tiempo al niño y facilita el proceso de promoción ... "Recuerda al tipo que salvó el día el mes pasado ..."

O puede adoptar el enfoque gruñón y poco convencional, molestar al CEO y provocarle ardor de estómago a su jefe.

duffbeer703
fuente
3

Eludí totalmente el problema y compré al CEO una estación de trabajo Mac muy cara (en ese momento) muy cara con una gran pantalla de estudio. Le encantaba la exclusividad, me encantaba el hecho de que había un poco menos de problemas en los que podía meterse. Mantuve la capacidad de avanzar y correr solo para vigilar las cosas. Afortunadamente, él no era un chico portátil.

Kyle Hodgson
fuente
3

Dígale que muy pocos jefes de hospitales realizan cirugía cerebral o cualquier procedimiento quirúrgico para el caso.

mm2010
fuente
2

En lugar de tratar de evitar que el jefe instale cosas en su máquina, creo que es mejor encontrar una manera de evitar que su computadora cause la destrucción desenfrenada del resto de sus sistemas de TI cuando inevitablemente obtiene algún virus después de deshabilitar el escáner de virus.

Keith
fuente
2

Si surge esta pregunta, supongo que la organización no cuenta con políticas explícitas para hacer frente a este tipo de solicitud. Si estos estuvieran en su lugar, sería imposible, o estaría en el registro presentando las solicitudes especiales para obtener los privilegios. O le estaría pidiendo que viole la política. Ejem.

No hay mucho que puedas hacer. No hay argumento mágico si alguien no lo entiende o si su jefe u organización no reconoce los posibles riesgos. Puede tomar la postura y decir que no, pero eso puede o no funcionar y puede provocar sentimientos negativos.

En pocas palabras: si un jefe no está preocupado por la apariencia del tratamiento preferido o el riesgo asociado con los usuarios que se ejecutan como administradores Y usted (o su departamento) no tiene la autoridad reconocida para rechazar la solicitud, también podría dársela a él.

Lo mejor que puede hacer es tratar de formular una declaración cortés "esto va en contra de las mejores prácticas técnicas", respaldar sus cosas, dejarlo ir y dejarlo ir a la ciudad.

Damorg
fuente
2

Descubrí que la mayoría de los gerentes tienen uno de los dos estilos de uso de la computadora: o son extremadamente prácticos porque tienen cosas más importantes que hacer que jugar con una computadora, o les gusta meterse allí y perder el tiempo.

Los gerentes no son un problema: configura su computadora, les dice lo que pueden y no pueden hacer, y se asegura de que siempre esté allí si necesitan instalar algo (y tienen tantas opciones como sea posible, por ejemplo una cuenta local con acceso de administrador, acceso remoto probado a través de VPN, etc.).

En mi caso, casi todos los gerentes y tipos de nivel VP que les gustaba instalar o configurar cosas en sus computadoras habían matado sus computadoras en algún momento, por lo que no tuvimos demasiados problemas para bloquearlas. Un par de ellos tuvimos que contarles sobre la cuenta de administrador local para hacerlos felices, pero entendieron los riesgos de hacer algo sin involucrarnos o al menos preguntarnos primero.

Sin embargo, el presidente nunca entendió cuánto costaba cuando mató su sistema, pero se retiró antes de que pudiéramos intentar nuestro último intento de solución: íbamos a conseguirle dos computadoras, una bloqueada con todas nuestras cosas estándar instalado, y un segundo en el que podría instalar cualquier cosa que le apeteciera. Le gustaban los cuadernos pequeños mucho antes de que se acuñara el término "netbook", así que pensé que podría llevar dos de ellos, pero solo una fuente de alimentación.

Ward - Restablece a Monica
fuente
El presidente probablemente nunca tuvo control sobre los gastos de TI. Tienes razón en que no puedes razonar con personas así.
Jim B
2

Explique que tener privilegios administrativos hace que su computadora sea más vulnerable a los piratas informáticos, que podrían robar secretos de la compañía, destruir datos o abusar de servicios o virus, lo que podría destruir datos o hacer que forme parte de una red de bots, lo que podría abrirlos a cargos criminales informáticos si participan en un ataque DoS o similar.

Además, explique que si dañan algo accidentalmente, podrían estar sin su computadora durante unas horas (o días) mientras intenta repararlo. Si no tienen privilegios administrativos, tendrán menos capacidad para romper cosas.

David Pashley
fuente
2

Primero necesita las políticas de TI: las soluciones técnicas siempre se basan en ellas, no al revés, sin importar cuán obvias nos parezcan algunas configuraciones técnicas, como las cuentas de usuarios que no son administradores.

Oskar Duveborn
fuente
1

Le preguntaría qué es lo que cree que no puede hacer con los privilegios que tiene. Aparte de eso, dale los derechos de administrador: está firmando el cheque de tiempo extra cuando lo rompe.

Jim B
fuente
1

Lo que hemos hecho es explicar lo que ya se ha mencionado ... si tenemos que limpiar un sistema, significa que están sin su sistema durante ese período de tiempo. También tenemos una política estricta de hacer una evaluación rápida. Si la limpieza demorará más de una hora, o si no podemos evaluar rápidamente el alcance de la infección, simplemente reimpresionamos el sistema. El problema con esto, en lo que respecta al ejecutivo, es que ahora todos sus juguetes se han ido. Pero dado que no sabíamos qué había en el sistema o dónde obtener todos los paquetes de instalación ... ya tiene la idea. Es posible que no tenga ese apalancamiento, pero vale la pena intentarlo.

Finalmente, el gran jefe tiene que tomar una decisión comercial sobre lo que es aceptable para él / ella. Técnicamente, podemos estar en desacuerdo con todo lo que queramos, pero no es asunto nuestro. Si no podemos vivir con dicha decisión, siempre tenemos la opción de buscar empleo en otro lugar.

Por cierto, si está buscando un recurso para ayudar con este argumento, consulte el siguiente sitio: Threatcode.com . No sé si está actualizado, pero se ha promocionado en el pasado.

K. Brian Kelley
fuente
1

Si va de frente y dice "no puede hacer esto" con el tipo que está firmando, usted paga el cheque, ¡entonces perderá!

Como siempre, debes girar y girar para evitar esto. La respuesta solo se puede encontrar si entiendes por qué quiere ser administrador.

Si es técnico, puede convencerlo, pero si se trata de "poder" y de ser su jefe, no tendrá suerte. Es muy difícil convencer a un jefe de que necesita menos privilegios que las personas de las que está mandando, lo que probablemente significaría, desde su punto de vista, que se les permite hacer más que él y eso pone la jerarquía normal al revés ( y a la mayoría de los jefes no les gusta eso).

Así que elija sus palabras con cuidado y no olvide el lado humano de este problema.

Johan
fuente
-2

\ computername \ c $ a su PC, lea todos sus documentos, cópielos, péguelos en una ubicación diferente y luego preséntele un ejemplo de lo que un hacker hará a su sistema y con toda su información personal si se infecta porque quería navegar a sitios extraños o descargar juegos gratis desde algún lugar.

Probablemente te despedirá. He estado en la situación antes y es una situación de no ganar. Estoy en otro ahora mismo. Trabajo para una empresa a la que no le importa dar derechos de administrador local a los usuarios. Tenemos problemas de virus / spyware / malware TODO EL TIEMPO. Además de todo, nuestro chico de escritorio es un novato, pero muy arrogante, como si hubiera inventado Internet.

De todos modos, soy un administrador de red. Solo bloqueo los sitios realmente malos e intento evitar cosas de mi parte, pero los usuarios tontos siempre parecen encontrar la manera. Me alegro de no tener que cubrir mucho al tipo de escritorio.

PRESA
fuente
Leer los archivos de otras personas sin su permiso generalmente no es una buena idea (tal vez incluso ilegal en algunas jurisdicciones), incluso si es solo para probar un punto.
fisión