Je kunt eisen wat je wil, toon maar aan dat het noodzakelijk is voor je dagelijkse werkzaamheden. Geen aantoonbare noodzaak, geen admin rechten.
Meestal door een gebrek aan kennis van de betreffende IT afdeling.

Een niet capabele IT afdeling heeft niet zo veel recht op de god mode 'je krijgt alleen maar wat wij voor jouw werkzaamheden nodig vinden' .

Management (lijnmanagement van die gebruiker) gaat daar meestal over, en als gebrek aan oplossingen van de kant van IT inderdaad het werk in de weg staat, dan zal de lijnmanager (of daarboven, als er geëscaleerd moet worden) zonder problemen aftekenen voor local admin .

Beheerders zijn vaak zelf het grootste risico op malware. Ze werken vaak onnodig met beheerrechten, met name op de oudere Windows systemen. Vooral browsen met beheerrechten is een risico.

Of slecht geschreven software waardoor het soms gewoon niet mogelijk is om zonder admin rechten te werken...

Wat raar...
Op mijn werk hebben de IT medewerkers ook geen admin rechten op hun werkstation hoor.
Nergens voor nodig.

"Ik wil graag x, y of z"

"Kost zoveel regel maar budget bij je manager" :)

Pfft bij KaPX gaven ze elke medewerker van Die Tree in India alle rechten zodat de projecten zouden slagen.

Nooit moeite mee gehad toen ik de rol Security Officer had. Maakte er alleen geen vrienden mee....

Wat ze vergeten is de rootcause waarom veel werknemers, bedrijven (local) admin rechten verlenen op het gebruikersnetwerk.
En dat is dat veel applicatie`s en andere e.g. ontwikkel tools soms niet goed functioneren onder gebruikersaccounts met beperkte rechten.

Daarnaast bestaan ook nog vaak de problemen welke spelen met bepaalde Microsoft Windows systeemfolders onder de gebruikersprofielen.

En leuk voor Avecto Dat ze oplossingen hiervoor bieden, maar juist door dit in het artikel te melding lijkt me dit eerder een reclame boodschap dan een serieuse column.

Bedrijven zouden 3th party tools niet moeten willen hebben binnen hun bedrijfsnetwerk voor dit soort zaken.
Je kan beter vanaf het begin gewoon een goed applicatie`s en rechten beleid opstellen en een degrelijke testomgeving hebben.

Bij ons hebben ze ook de admin rechten weggenomen, zelfs van de ITers zelf. Wij hebben dan wel een apart admin account, maar handig is anders. Vooral omdat het admin account dan weer niet door de proxy heen kan.
Helemaal lollig: met het admin account kunnen we dus software installeren, maar niet deinstalleren, want zelfs met het admin account hebben we geen toegang tot de Windows 'Add/Remove applications' in het ConfigScherm.

Ik begrijp dat het geven van minder rechten wat dingen oplost, maar ik vind het een prut oplossing.

Een beetje IT-er werkt zich wel langs het afschermen van een stuk Configuratiescherm heen. Ik vind het niet meer dan normaal dat je voor werkzaamheden waarbij je meer rechten nodig hebt je een ander account moet gebruiken.

De meest gehoorde rede achter het aanvragen van meer rechten bij ons is dat men geen zin heeft in het laten goedkeuren en packagen van elk programma wat ze even snel willen gebruiken.

Tuurlijk, gebruik ik Revo voor. Maar dat neemt niet weg dat het slecht design is.

Ik vind het op de PC vooral gewoon overlast. Op een server, ja, daar vind ik het logisch. Maar als ik mijn PC verkloot, herinstalleren ze 'm zo nodig met 1 druk op de knop. Niet dat dat nodig is, ik fix het zelf wel, daar ben ik ITer voor.

Ach ja, packagen. Willen ze bij ons ook heel graag. Ik vind het prima. Ik maak zelfs een install handleiding voor ze. En dan komen zij na 4 maanden tot de conclusie dat het niet lukt en we het toch maar met de hand moeten installeren.
En los daarvan, waarom zou ik een tooltje dat ik, en misschien wel alleen ik, handig vind nou direct moeten laten packagen. Zeker portables.

Ok. Wat moet je dan?..

Zelfs zonder Admin-recht toe te kennen, weet je gewoon dat je collega het toch probeert.

Wat moet je dan?..

Het in goede banen leiden?.. Hoe dan?..

Eens, helaas werkt het vaak net even anders. pietje belt mij, pietje vraagt om rechten. Ik zeg: krijg je niet. Die heb je niet nodig. pietje gaat naar zijn manager toe en zegt: ja maar ik moet het hebben want zus en zo en de wereld vergaat en ik ben 6 uur productiever op een dag bla bla bla. manager belt naar mij. Zegt ik eis dat je nu pietje de rechten geeft. ik zeg: dat heeft pietje niet nodig! Als pietje wat geinstalleerd wilt hebben komt hij maar naar ons. Manager gaat naar zijn manager. Die gaat weer naar mijn manager. Mijn manager geeft hetzelfde antwoord. Hogere pief zegt: geef hem die rechten! Pietje heeft de rechten en een week later een virus uitbraak. blijkt pietje vrolijk te downloaden via torrents en limewire.

Dit is een voorbeeld, maar heb zo'n soort situatie wel meegemaakt in het verleden. Gelukkig had ik een manager die achter mij stond en is gaan monitoren hoeveel tijd we kwijt waren met dit soort gevallen. -> doorberekend naar betreffende afdeling en het was snel afgelopen. Maar dat werkt niet overal zo.

Los van het feit dat Malware ook zonder admin rechten zijn weg weet te vinden. Scheelt het een hoop in het verneuken van instellingen en gekut op de desktops als de gebruikers deze rechten missen. bij mijn huidige opdracht ben ik eigenwijs geweest en heb 1 afdeling tegen instructies in geen local admin gemaakt, laat dit nou net de afdeling zijn die nooit bellen met problemen! maar de leverancier van onze core applicatie heeft deze applicatie zo bagger in elkaar gezet dat het haast onmogelijk is om alle mappen waar deze in schrijft van rechten te voorzien. In principe kunnen ze dus nog steeds vrolijk rommelen op de C en D, maar installeren word nog wel netjes tegen gehouden.

Het ontnemen van admin rechten zou mijn inziens gepaard moeten gaan met het redirecten van my documents naar de home drive/roaming profiles en geen schrijfrechten op de lokale schijven. Dit scheelt niet alleen tijd met storingen maar een herinstallatie is dan ook zo gepiept. kwestie van image terugzetten en klaar is kees.

Dit is niet onhandig maar juist ontworpen om via runas te werken.

probeer eens runas /U:username appwiz.cpl

Op een desktop is het zeker van belang om neit onder admin te werken. Het packagen heeft als voordeel dat je een grote software libary kunt opbouwen en na het imagen zo kunt deployen zonder gedoe. Ik zou me er even in verdiepen als ik jou was en wennen aan het werken met runas en rcmd. ik ben al jaren niets anders gewend. Dit omdat ik begonnen ben bij een grote bank en daar was het allemaal netjes geregeld. daarnaast werk ik al jaren met linux / macOS waar dit soort dingen gewoon common sense zijn. werken met normale rechten Sudo voor admin taken. kun je het ook neit verneuken als je perongeluk rm -rf / tikt en op enter ramt ipv tab.

Reclame praatje voor de hobby sfeer.
Afpakken bang? Onzin natuurlijk.
Monitoring aanzetten (Zenoss oid) checken en je ziet wel wat ze proberen want dat gaat meestal met wat foutmeldingen gepaard, daarna of aanvullende maatregelen nemen of gesprek met personeelsfunctionaris laten plaatsvinden.

Je bent beheerder of niet, aan jou de keuze.

Zonet gedaan, doet niets. He, als ze bij ons iets dichttimmeren doen ze het goed he.

Wanneer het gaat om software die een redelijk aantal mensen gaat gebruiken heb je gelijk. Maar als je alles gaat lopen packagen dat door 3 man en een paardekop gebruikt wordt, in een bedrijf met duizenden mensen, blijf je bezig.

Ik ben inmiddels gewend aan het werken met een apart admin account en runas achtige tools en mogelijkheden. Ik heb immers weinig keus. Maar dat neemt niet weg dat ik het nog steeds een prut oplossing vind.
Ik vind het zoiets als 10 afzonderlijke sloten op de voordeur zetten om inbraak te voorkomen. Het zit op een gegeven moment net zo veel in de weg als dat het nut heeft

Waarna je naar die manager gaat en hem ermee om de oren slaat dat je daar niet voor de kat z'n kut zit. Managers, directeuren, ik heb ze allemaal schreeuwend aan m'n buro gehad. En ik heb ze allemaal met een kluitje het riet in gestuurd, inclusief leden van de raad van bestuur. Na jaren daar de boel veilig en virusvrij gehouden te hebben ben ik bij een ander bedrijf gaan werken. Ik was nog geen maand weg en de pleuris brak uit. M'n voormalige collega's hadden namelijk niet zo'n stijve poot als ik.

Dit lijkt mij meer een management probleem dan een IT probleem. Als er duidelijk beleid is met support van alle hoger management dan kan een gebruiker nog zo hard zeuren, hij krijgt het niet als het niet noodzakelijk is. Gaat de gebruiker op eigen houtje proberen zijn rechten te verhogen dan kan deze op sancties wachten.

Ik heb in beide soorten bedrijven gewerkt en degene met zwak mangement hadden inderdaad serieuze beveiligingsissues en zijn zelfs wel eens dagen plat gegaan door een virus uitbraak. Helaas zorgde zelfs dat niet voor een mentaliteitsverandering, dit terwijl er wel potentieel levens mee gemoeid zijn (ziekenhuis, in NL...).

dat was waarschijnlijk een zeer groot academisch ziekenhuis in het zuiden van het land? dan zijn we wellicht nog collega's geweest (als je daar extern zat)

grt,

Jeroen.

Uit de reacties is weer af te leiden dat onder systeembeheerders het aantal control freaks erg hoog is. Als ontwikkelaar een tijdje beheer erbij gedaan, en wilde mensen best meer rechten geven. Wel met de melding dat als ze het verklooien ze niet perse als eerste geholpen zouden worden. Werkte goed en scheelde een hoop gedoe.

Als je meer dan 5000 gebruikers moet beheren zul je wel moeten. Als je geen control freak bent wordt het simpelweg een chaos.

Het probleem wat je daarmee creëert is dat Pietje dat ook wil als hij ziet dat Jaap het wel krigt. Alleen is Pietje niet zo handig met computers als Jaap. Gevolg is dat Pietje ook admin rechten krijgt en vervolgens een virus oploopt. Om dus "scheve ogen" te voorkomen (en ellende later) kun je dan beter niemand die rechten geven. Vervelend voor die mensen die er mee om kunnen gaan maar je kunt nu eenmaal niet iedereen tevreden stellen. Liever een klein percentage zeikerds dan een hok vol ellende.

Bovendien is het rechtensysteem van Windows zo belachelijk fijnmazig dat je nauwelijks iemand lokale administrator rechten hoeft te geven om ze te laten doen wat ze wilden.

Voor mij is dat het grote falen van veel bedrijven. Om te voorkomen dat ze iemand moeten aanspreken op iets dat h/zij fout doet, gaan we maar iedereen behandelen als zijn/haar slechtste collega.
Pietje kan niet omgaan met computers, dus niemand krijgt admin rechten.
Janneke meldt zich om de haverklap ziek omdat ze te lui is om te werken, dus iedereen krijgt een dag verlof aftrek als hij vaker dan 2 keer per jaar ziek is.
Hans gooit de netwerkschijven iedere keer vol met films en mp3, dus iedereen krijgt een quota op de netwerkschijven.

Misschien zou het nuttiger zijn als bepaalde managers eens leerde mensen aan te spreken, en om te gaan met mensen die zich onbehoorlijk gedragen.

Bevoegdheden en verantwoordelijkheden dienen de juiste balans te hebben.

Als dat zou eens zou gebeuren.....
Ik heb eens op de formele weg geprobeerd om mp3's e.d. (zijnde niet-werk gerelateerd) van een afd.share verwijderd te krijgen.
Hoop gezeik en gedoe van het managment.
Vervolgens de betreffende afd.coordinator aangesproken waar ik een goede verstandhouding mee heb; was alles in 2 dagen weg. Er was zelf meer opgeruimd dan dat ik (geanoniemiseerd) had aangegeven.
Het scheelde ook dat de aan die afdeling toegewezen schijfruimte bijna vol was. Dat was in eerste intantie ook mijn trigger.

En wat de adminrechten betreft.
Toen we eenmaal aan het hogere managment duidelijk hadden gemaakt dat de beheerskosten structureel zouden dalen, kregen we opeens wel toestemming.
In de eerste periode een hoop geklaag van de users, maar na en paar maanden merkten zelfs de grootste klagers dat hun pc opeens veel stabieler was.
De callvolume was dusdanig afgenomen dat de IT supportgroep met ruim de helft verminderd kon worden.
Aangezien we een externe beheerspartij waren, waren de kostenbesparingen duidelijk zichtbaar.

"Uit de reacties is weer af te leiden dat onder systeembeheerders het aantal control freaks erg hoog is."

De vraag zou niet moeten zijn welke rechten een beheerder (of beveiliger) aan je wil toekennen, maar welke rechten jij toegekend krijgt volgens de security policy die het bedrijf heeft vastgesteld, en waarvoor het management team eindverantwoordelijk is.

Indien daar een uitzondering op wordt gemaakt, dan is het niet aan de beveiliger of beheerder om daar de eindbeslissing over te nemen, maar aan de verantwoordelijk manager die het risico dient te accepteren volgens de daarvoor geldende procedure. Als beheerder of beveiliger kan je natuurlijk wel je mening geven, en aangeven waarom zo'n uitzondering geen goed idee is.

Als beveiliger moet ik zorgen dat mensen de policy naleven, maar indien het management besluit om daarvan af te wijken, en het risico te accepteren, be my guest. Ik kan mij mening geven, maar moet uiteindelijk ook gewoon uitvoeren wat het management mij opdraagt.

Voor wat betreft ''control freak'', in een security policy staan over het algemeen control sets. Het werk van IT beveiligers is mede zorgen dat de controls worden nageleefd, zodat er sprake is van compliancy. Wat dat betreft kan je me dus een control freak noemen ;)

"Als ontwikkelaar een tijdje beheer erbij gedaan, en wilde mensen best meer rechten geven. Wel met de melding dat als ze het verklooien ze niet perse als eerste geholpen zouden worden. Werkte goed en scheelde een hoop gedoe."

Doet de vraag wat een beheerder of beveiliger wil ter zake, wanneer de rechten zijn vastgelegd in een policy, en wanneer er ook een duidelijk beleid is hoe om te gaan met afwijkingen van zo'n policy ? Overigens valt het met wel op dat sommige IT-ers denken dat zij de beslissingen moeten nemen, en niet het management in hun organisatie.

"Waarna je naar die manager gaat en hem ermee om de oren slaat dat je daar niet voor de kat z'n kut zit. Managers, directeuren, ik heb ze allemaal schreeuwend aan m'n buro gehad. En ik heb ze allemaal met een kluitje het riet in gestuurd, inclusief leden van de raad van bestuur. "

Je mag van geluk spreken dat je niet op straat bent gezet omdat je kennelijk je plaats niet kent. Je kan dit soort zaken ten stelligste afraden, en het zou slecht zijn indien je dat niet zou doen, maar uiteindelijk is het je werkgever die bepaalt als eindverantwoordelijke of iets wel of niet mag.

Indien je daar niet mee kan leven, dan kan je beter bij een andere werkgever aan de slag gaan. Sommige IT-ers lijken te denken dat zij de baas zijn binnen de organisatie en dat iedereen, inclusief de directie en de raad van bestuur, naar hen moet luisteren. Jij hebt niet het laatste woord.

Je bedoelt dat zij mijn plaats niet kende. Ik was aangenomen om dat soort dingen te doen.

Dat klopt. En we hadden een hele mooie policy, ondertekend door diezelfde raad van bestuur.

Nee, maar de raad van bestuur onderschrijft een bepaalde policy en dan vind ik het niet meer dan normaal dat diezelfde raad van bestuur het goede voorbeeld geeft en dus niet de policy aan alle kanten omzeilt. Want anders werk er inderdaad niet lang meer, niet omdat ik ontslagen ben maar omdat ikzelf opstap.

@SirDice:

Een goede security officer, die op autonome wijze kan handelen in het belang van security in een bedrijf of instelling, is een heel groot goed. Hij (of zij) moet overigens vaak wel ballen van staal hebben, maar de hoeveelheid hoofdpijn die een goede security officer kan voorkomen kan geen bulkverpakking paracetamol tegenop :)

Bij ons kost een werkplek met adminrechten minder omdat niet voor iedere wissewasje de servicedesk gebeld hoeft te worden. Maar de budgetbeheerders zijn wel duidelijk voorgelicht over de gevaren van adminrechten. Dat dan de kosten voor IT beheer lager worden, maar de kans op productieverlies hoger.

Ongeveer 90% van de PC's worden nu uitgerold zonder adminrechten.

Peter

"Dat klopt. En we hadden een hele mooie policy, ondertekend door diezelfde raad van bestuur."

En een risk acceptance procedure indien het management besluiten daarvan af te wijken ? Zolang zij volgens de regels de risico's accepteren, kan je daar als beheerder of beveiliger weinig aan doen, buiten het geven van een dringend advies om zo'n besluit te heroverwegen.

"Nee, maar de raad van bestuur onderschrijft een bepaalde policy en dan vind ik het niet meer dan normaal dat diezelfde raad van bestuur het goede voorbeeld geeft en dus niet de policy aan alle kanten omzeilt. Want anders werk er inderdaad niet lang meer, niet omdat ik ontslagen ben maar omdat ikzelf opstap."

Inhoudelijk heb je volstrekt gelijk, maar uiteindelijk is de beslissing aan hen. Waarbij je inderdaad de eer aan jezelf kan houden door op te stappen indien je je niet kan vinden in de gang van zaken ;)

Het is de kunst van het "nee" verkopen ;-)

Mee eens, maar dat betekent niet dat ik zonder slag of stoot akkoord ga. De meeste mensen hebben echter niet de ballen om iemand van het raad van bestuur op z'n kloten te geven. Ik heb er genoeg gezien die bij het minste of geringste al akkoord gingen, want dat is "iemand van de raad van bestuur". Nou, en! Regels zijn regels en ook hij heeft zich daar maar aan te houden. Juist hij, zou ik willen zeggen, omdat hij een voorbeeld functie heeft.

Policies kunnen goed helpen. Bijvoorbeeld door iedere gebruiker een normaal en een admin (als naam en supernaam) login te geven op zijn eigen kompjoetertje, en een pure admin voor onszelf te houden. En er duidelijk bij te vertellen dat als de rotzooi te moeilijk wordt om op te ruimen we beginnen met een complete herinstallatie. Dus zorg dat alle belangrijke data op de gedeelde bestandsopslag (met backups) staat want anders raakt'ie weg.

De meesten hadden genoeg benul om zo veel mogelijk onder de normale gebruiker te draaien. Als ze nog slimmer waren vroegen ze om een mac of een linux machine, en ja dat kon daar. Natuurlijk waren er uitzonderingen, en natuurlijk was de ergste supergebruiker nu eens niet de baas maar een developer. Dat levert software op die alleen onder admin draait, en dat is nog veel vervelender want blijft niet beperkt tot die ene domme rukker zijn machine. "Blijft van adminrechten af tenzij hele duidelijke noodzaak" hoort dan ook in de specificatie.