/ Forside / Teknologi / Operativsystemer / MS Windows / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
MS Windows
#NavnPoint
Klaudi 76474
o.v.n. 67550
refi 58409
tedd 45557
Manse9933 45149
molokyle 40687
miritdk 38357
briani 27239
BjarneD 26414
10  pallebhan.. 24310
Administration af Windows klienter
Fra : Anders Jensen


Dato : 23-02-05 12:15

Jeg høre konstant, at man under ingen omstændigheder må gøre brugere
medlem af den lokale administrator gruppe (så brugeren er lokal
administrator på sin maskine).

Jeg har igennem flere år kørt med denne politik, at brugeren er lokal
admin. Jeg køre i et Windows 2003 AD miljø, hvor brugere bliver
autoriseret og får diverse adgang til netværket. Jeg køre også enkelte
MSI pakker ud igennem GPO, men det er generelle pakker som alle skal have.

Vores scenarie er, at den lokale bruger også er primær bruger på
maskinen - dvs. vi har ikke maskiner der har flere brugere.


Fordele ved at lade brugere være lokal admin:

1) Brugere kan selv installere diverse små-programmer som de måtte finde
brugbare. Arbejde er mere end hård slid og hvis en bruger vil have
installeret RealPlayer i nyeste version fordi han så kan høre lige hans
yndlings radio station, ja så synes jeg der skal gode argumenter til
hvorfor det ikke kan lade sig gøre.

2) Det sker at der er programmer som kræver lokal admin rettigheder før
de kan køre. Det gælder f.eks. vores Trend AV og vores VPN klient. Man
kan klart nok argumentere at man burde skifte de programmer men ét eller
andet sted, så ér programmerne købt og de bør tjene sig selv ind igen,
før man kan overveje alternativer.

3) Man kan nemmere argumentere overfor brugerene, at de ikke skal gemme
lokale data på deres computer. Det sker jo, at en PC skal om-installeres
(netop pga. brugeren er lokal admin) og det er nemt nok, hvis brugeren
ikke har lokale data liggende.

4) Brugeren kan selv lave diverse små-justeringer mht. udseende og
program tilpasninger. Alt kan sikkert styres via GPO m.v. men det tager
evigheder at opsætte og det er svært at gøre alle tilpas (nogen vil have
det på én måde og andre på en anden).

5) Administratoren slipper for en masse administration mht. ikke at
skulle lave MSI pakker og program opdateringer m.v. Brugeren kan selv
installere programmet eller opdateringen (evt. automatisk men hvor det
igen kræver lokal admin rettighed).


Ulemper:

1) Brugeren er meget mere udsat for diverse svagheder i Windows (f.eks.
med en usikker IE på en grim webside). Det løses dog langt hen af vejen
med en uptodate PC (automatisk Windows Update installering).
Endvidere er det jo naturligvis en selvfølge, at brugeren har
installeret en uptodate antivirus.

2) Brugeren kan selv installere diverse små-programmer, som han absolut
ingen idé har om de er sikre eller ej. Det er det største problem synes
jeg men det har aldrig været et reelt problem (men det kan det
selvfølgelig blive).

3) Computeren bliver helt sikkert sløv med tiden. Efter et år eller
deromkring er PC'en blevet så labgsom efter diverse installeringer, at
den skal ominstalleres.

4) Der kan opstå mange forskellige fejl fordi fejlene kan være person
relateret (forkert opsætning).


Jeg kan dog godt lide idéen om, at brugeren ikke er lokal admin og jeg
véd som sådan også godt, "at det er det eneste rigtige at gøre", men jeg
synes bare at det rent praktisk giver alt alt for meget arbejde til mig!
Men modbevis mig gerne (det er jo det jeg ligger op til)

Lidt om mig selv. Jeg har arbejdet som sysadmin prof. i 5 år. Jeg
administrere selv 30-40 brugere med mindst lige så mange (forskellige)
workstations. Jeg køre rent Win2003 server med WinXP klienter.

Anders.

 
 
Kim Ludvigsen (23-02-2005)
Kommentar
Fra : Kim Ludvigsen


Dato : 23-02-05 12:22

Den 23-02-05 12.14 skrev Anders Jensen følgende:

> Jeg har igennem flere år kørt med denne politik, at brugeren er lokal
> admin.

Hvis du i stedet for Windowsgruppen poster i sikkerhedsgruppen (
news:dk.edb.sikkerhed ), er jeg sikker på, du får en masse kvalificerede
svar på, hvorfor din valgte politik er forkert.

--
Mvh. Kim Ludvigsen
Nemmere, hurtigere og mere sikkert internet med Firefox
http://kimludvigsen.dk

Anders Jensen (23-02-2005)
Kommentar
Fra : Anders Jensen


Dato : 23-02-05 12:33

> Hvis du i stedet for Windowsgruppen poster i sikkerhedsgruppen (
> news:dk.edb.sikkerhed ), er jeg sikker på, du får en masse kvalificerede
> svar på, hvorfor din valgte politik er forkert.

Du har ret - det gør jeg straks. Tak for henvisningen.

FUT: dk.edb.sikkerhed

Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408885
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste