Борьба админа со Smart Asses
-
- Уже с Приветом
- Posts: 15339
- Joined: 30 Apr 2003 16:43
Re: Борьба админа со Smart Asses
У мего соседа по офису, тим лида Wintel (у него сотни серверов и больше десятка Windows админов под его началом), проблема локальных админ прав едва ли не #1. Он постоянно рассказывает как пытается добиться обоснования почему у него просят локального админа. Он резонно считает что для этого должны быть веские причины, но порой его продавливают силой - указом сверху.
У них есть script, который проверяет по списку какие accounts могут иметь admin и если находят тех что не в списке забирают права. Одно время я тоже был на месте того кому нужен был admin, но записаться в список мне было лень. Это не позволяло мне сделать мою работу. Но у меня была возможность залогиниться admin-ом не с моим userid, и я ставил свой userid локал admin-ом, делал работу. Потом они прогоняли script и я вылетал. Все начиналось сначала. Мне это надоело, я разобрался как делать мою работу без админ прав и теперь живу без них и без обходных маневров. Эти "обходные пути" очень плохо пахнут с точки зрения security, но они существуют, я думаю, повсеместно там где вроде бы эту проблему пытаются решать радикально. У нас это делается. Выглядит ужасно, CyberArk называется. Я в эти игры принципиально играть не стал и хотя у нас это политика, но я уже больше года хожу на нужные мне серваки Windows, минуя эту "политику". "Entrust" токен дали, ни разу не пользовался.
Зачем я это все писал? Конечно чтобы сказать про мэйнфрэйм. В z/OS такой проблемы нет в принципе. Все необходимые для работы не-администраторов права можно назначить без предоставления завышенных возможностей. И это работает строго и непробиваемо ни чем и ни кем. То что нужно делать с правами админa делаю я, и только я. Более того, много лет назад у нас было пару челов кто имел права модифицировать конфигурации некоторые системные - они были админстраторами одной важной компоненты z/OS (без z/OS admin прав). Я с ними побеседовал и они согласились что этих прав у них не будет. Если им надо что-то поменять в конфигурации они обращаются ко мне.
Кстати и под Windows права admin не необходимы для тех кто не администрирует систему. Им просто лень разобраться как то или иное делать обычным user-ом. И собственно admin-ы Windows не всегда проявляют настойчивость и умение чтобы помочь user-ам делать их работу без admin прав. Согласны? На моей рабочей Windows я никогда не был admin-ом, но это не мешало мне, так или иначе, делать все что требовало admin прав. На серваках я тоже нашел способ, хотя мой предшественик все делал будучи local admin. Это было элементарно. В самой сложной ситуации я подговаривал знакомого admin-a, он давал мне local admin, я делал инсталяцию (или добавлял себя в "Remote Desktop Users" - таким образом был обойден CyberArk), потом их script меня автоматом удалял. CyberArk остался в стороне - "Remote Desktop Users" их script не проверяет. Кстати, не будучи админ я вижу кто в групе "Administrators". Это шаг к тому чтобы получить полный доступ.
Так что, Dima, мой тебе совет - удаляй всех из local admin group, и каждого кто к тебе придет проси обосновать требование на admin. Может тебе придется за них что-то поделать, может поорать на них.
У них есть script, который проверяет по списку какие accounts могут иметь admin и если находят тех что не в списке забирают права. Одно время я тоже был на месте того кому нужен был admin, но записаться в список мне было лень. Это не позволяло мне сделать мою работу. Но у меня была возможность залогиниться admin-ом не с моим userid, и я ставил свой userid локал admin-ом, делал работу. Потом они прогоняли script и я вылетал. Все начиналось сначала. Мне это надоело, я разобрался как делать мою работу без админ прав и теперь живу без них и без обходных маневров. Эти "обходные пути" очень плохо пахнут с точки зрения security, но они существуют, я думаю, повсеместно там где вроде бы эту проблему пытаются решать радикально. У нас это делается. Выглядит ужасно, CyberArk называется. Я в эти игры принципиально играть не стал и хотя у нас это политика, но я уже больше года хожу на нужные мне серваки Windows, минуя эту "политику". "Entrust" токен дали, ни разу не пользовался.
Зачем я это все писал? Конечно чтобы сказать про мэйнфрэйм. В z/OS такой проблемы нет в принципе. Все необходимые для работы не-администраторов права можно назначить без предоставления завышенных возможностей. И это работает строго и непробиваемо ни чем и ни кем. То что нужно делать с правами админa делаю я, и только я. Более того, много лет назад у нас было пару челов кто имел права модифицировать конфигурации некоторые системные - они были админстраторами одной важной компоненты z/OS (без z/OS admin прав). Я с ними побеседовал и они согласились что этих прав у них не будет. Если им надо что-то поменять в конфигурации они обращаются ко мне.
Кстати и под Windows права admin не необходимы для тех кто не администрирует систему. Им просто лень разобраться как то или иное делать обычным user-ом. И собственно admin-ы Windows не всегда проявляют настойчивость и умение чтобы помочь user-ам делать их работу без admin прав. Согласны? На моей рабочей Windows я никогда не был admin-ом, но это не мешало мне, так или иначе, делать все что требовало admin прав. На серваках я тоже нашел способ, хотя мой предшественик все делал будучи local admin. Это было элементарно. В самой сложной ситуации я подговаривал знакомого admin-a, он давал мне local admin, я делал инсталяцию (или добавлял себя в "Remote Desktop Users" - таким образом был обойден CyberArk), потом их script меня автоматом удалял. CyberArk остался в стороне - "Remote Desktop Users" их script не проверяет. Кстати, не будучи админ я вижу кто в групе "Administrators". Это шаг к тому чтобы получить полный доступ.
Так что, Dima, мой тебе совет - удаляй всех из local admin group, и каждого кто к тебе придет проси обосновать требование на admin. Может тебе придется за них что-то поделать, может поорать на них.
-
- Уже с Приветом
- Posts: 28294
- Joined: 29 Aug 2000 09:01
- Location: SPB --> Gloucester, MA, US --> SPB --> Paris
Re: Борьба админа со Smart Asses
Но я либерал и сторонник свободы (((
не хочу чтобы меня считали Берией...
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014
-
- Уже с Приветом
- Posts: 15339
- Joined: 30 Apr 2003 16:43
Re: Борьба админа со Smart Asses
Dima, не комплексуй. Тебя "выносят из локальный админов", а ты своими правами воспользоваться боишься. Дождешься тебя за невыполнение обязаностей администратора накажут. А ты все, Берия, Берия. Берия не был admin-ом. А ты не член Политбюро и не генеральный коммисар ГБ.
-
- Уже с Приветом
- Posts: 13701
- Joined: 16 Jan 2001 10:01
Re: Борьба админа со Smart Asses
Хорошо сказано (IMHO)zVlad wrote: ↑13 Dec 2017 15:05Dima, не комплексуй. Тебя "выносят из локальный админов", а ты своими правами воспользоваться боишься. Дождешься тебя за невыполнение обязаностей администратора накажут. А ты все, Берия, Берия. Берия не был admin-ом. А ты не член Политбюро и не генеральный коммисар ГБ.
Как говорили во времена перестройки: "Демократия - это не вседозволенность. Стало быть, там где нет вседозволенности - там и есть демократия."
Борьба с умнымимля в целом основана на:
- образовании, разъяснении, агитации (у нас кстати постоянно ведётся мощная кампания, с мультфильмами, сувенирами и проч.)
- Запугивании (если будешь держать иголку остриём от себя - мать умрёт)
- показательных казней
При выборе объектов для гильотинизации необходимо взвешивать полезность объекта, возможность в итоге убедить его не борзеть и проч. У админа такой информации нет по определению, его дело - выдавать корректную информацию кто где гадит.
-
- Уже с Приветом
- Posts: 15339
- Joined: 30 Apr 2003 16:43
Re: Борьба админа со Smart Asses
По мне (я admin) мой долг и обязанность давать необходимый минимум прав для выполнения работ не-admin-ами.
Гадить, в моем понимают, должно быть возможным только самому сeбе. Информация из нормальной системы security (RACF), которую я обслуживаю и настраиваю, может быть только одна - о попытках несанкционированного доступа. Попытках! О том где и как было нагажено в пределах установленных границ дают информацию другие службы. В БД, например, журнал изменений.
Я конечно понимаю что то с чем Вы работаете таких возможностей не предоставляет, или пользоваться ими не предоставляется возможности. Поэтому и отношение к этому у нас разное.
-
- Уже с Приветом
- Posts: 13339
- Joined: 07 Dec 2004 04:00
- Location: Москва->CO
Re: Борьба админа со Smart Asses
Ну тогда не орите, а сначала свяжите, а потом слегка придушИте.
Как же это вы без гравицаппы пепелац выкатываете из гаража? Это непорядок...
-
- Уже с Приветом
- Posts: 28294
- Joined: 29 Aug 2000 09:01
- Location: SPB --> Gloucester, MA, US --> SPB --> Paris
Re: Борьба админа со Smart Asses
Влад, в винде тоже можно лишить админских прав и все. Вполне нормальное решение, например, для компов где обслуживают клиентов, например, в банках
Но для девелопера лишение админских прав, я считаю, это интеллектуальное оскопление.
Но для девелопера лишение админских прав, я считаю, это интеллектуальное оскопление.
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014
-
- Уже с Приветом
- Posts: 15339
- Joined: 30 Apr 2003 16:43
Re: Борьба админа со Smart Asses
Тогда чем admin отличается от developer? Это ложное представление, создающее риски безопасности всей ИТ фирмы где Вы администратором поставлены. Будь я Вашим менеджером, я выбил бы из Вас эту дурь быстро.
P.S. Разве интелект в правах проявляется? Вовсе нет, он в умении работать с заданными ограничениями проявляется. А ограничения всегда и везде есть, кроме ИТ, да и то только с такими "ограничителями" как Вы.
-
- Уже с Приветом
- Posts: 28294
- Joined: 29 Aug 2000 09:01
- Location: SPB --> Gloucester, MA, US --> SPB --> Paris
Re: Борьба админа со Smart Asses
Девелоперы не имеют доступа в QA/UAT и тем более PROD. Так что риски невелики
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014
-
- Уже с Приветом
- Posts: 6677
- Joined: 02 Sep 2003 15:19
- Location: Через речку от Манхэттена
Re: Борьба админа со Smart Asses
Вы неправы ))) Вот им как раз в первую очередь надо все права пообрезать ))) А то они такого наворотят...
ну не нужно обычному разработчику ставить софт на комп..не его это..
еще раз повторю, если ему надо просто поиграться с новым софтом , VM ему в руки, барабан на шею и вперед..
вот внутри VM он хоть суперадмином может быть..
да и VM в идеале не на его компе, а на серваке, под приглядом админа, а ему только RDC к этой VM.
у нас таких трое, и ниче, работают не жужат, только изредка просят поднять копию VM из вчерашнего Бэкапа, или запустить чистую копию.
Резюме — это список дел, которые ты больше никогда не хочешь делать.
-
- Уже с Приветом
- Posts: 38016
- Joined: 14 Dec 2006 20:13
- Location: USA
Re: Борьба админа со Smart Asses
Ну начнет удалять. Пользователи быстренько поставят сервис который их тут же на место ставит, причем назовут сервис так, что фиг найдешь. И будут два скрипта друг с другом бодаться, причем победит естественно локальный юзер.
Толку то... Это не агенты, это девелоперы. Умный девелопер всегда объедет сколь угодно умного админа на кривой кобыле. Поэтому лучше сделать полиси, что можно а что нельзя делать, и проверять ее, а не удалять админ права (или восстановят или объедут или докажут что им нужны). Тем паче виндовый девелопмент без прав админа делать зачастую нереально, слишком все криво в этой винде.
-
- Уже с Приветом
- Posts: 13339
- Joined: 07 Dec 2004 04:00
- Location: Москва->CO
Re: Борьба админа со Smart Asses
Девелопер - это типа токарь которому дали токарный станок, чертеж, резцы, заготовку и дату когда сделать.
Если Вы хотите дать ему/ей набор гаечных ключей шоб залезть внутрь станка...
Как же это вы без гравицаппы пепелац выкатываете из гаража? Это непорядок...
-
- Уже с Приветом
- Posts: 1494
- Joined: 08 Mar 2002 10:01
- Location: NJ
Re: Борьба админа со Smart Asses
Если уж лишать админских прав, то надо делать грамотно, с зашифровкой диска, чтобы нельзя было подмонтировать из другой системы. Иначе загрузят линукс с флешки и подберут пароль. Я сам так делал когда-то. Просто вынужден был. Без админских прав девелоперу очень хреново.
-
- Уже с Приветом
- Posts: 6677
- Joined: 02 Sep 2003 15:19
- Location: Через речку от Манхэттена
Re: Борьба админа со Smart Asses
и вылетят с работы....))) Сказано, что нельзя...то и нефиг лезть....ALV00 wrote: ↑13 Dec 2017 17:53 Если уж лишать админских прав, то надо делать грамотно, с зашифровкой диска, чтобы нельзя было подмонтировать из другой системы. Иначе загрузят линукс с флешки и подберут пароль. Я сам так делал когда-то. Просто вынужден был. Без админских прав девелоперу очень хреново.
Сильно надо - пиши обоснование и все оффициально, через начальство.
Резюме — это список дел, которые ты больше никогда не хочешь делать.
-
- Уже с Приветом
- Posts: 2761
- Joined: 11 Jul 2015 19:01
- Location: Chicago
Re: Борьба админа со Smart Asses
Блин как хорошо, что пока ни на одной организации админы не лазали по макам. Как вспомню эти искуственные ограничения виндоус, который во многих случаях разработчику не уперся. Бррр.
-
- Уже с Приветом
- Posts: 6677
- Joined: 02 Sep 2003 15:19
- Location: Через речку от Манхэттена
Re: Борьба админа со Smart Asses
угу..я тоже не лазаю по Макам..))) но и не занимаюсь никаким их суппортом, кроме настройки корпоративной почты...
и долго ржу, когда они сами корячаться с техсуппортом очередного извращения для Мака.
Даже установка MS Office под Мак - уже не моя проблема )))
и долго ржу, когда они сами корячаться с техсуппортом очередного извращения для Мака.
Даже установка MS Office под Мак - уже не моя проблема )))
Резюме — это список дел, которые ты больше никогда не хочешь делать.
-
- Уже с Приветом
- Posts: 6677
- Joined: 02 Sep 2003 15:19
- Location: Через речку от Манхэттена
Re: Борьба админа со Smart Asses
угу...вот именно из-за этих ограничений и нельзя давать разрабу админские права...
ибо в 99% такой разраб выдаст такое решение, которое у конечного пользователя заработает, только тогда, когда юзеру дадут админские права..
учитесь работать в рамках установленных системой ограничений.
Резюме — это список дел, которые ты больше никогда не хочешь делать.
-
- Уже с Приветом
- Posts: 2761
- Joined: 11 Jul 2015 19:01
- Location: Chicago
Re: Борьба админа со Smart Asses
Я вообще то разрабатываю под мобилку, причем тут ОС? Веберы разрабатывают под браузеры, причем тут ОС? Бэкенд разрабатывается в основном для серверов на линукс ОС, причем тут виндоус???Slonjra wrote: ↑13 Dec 2017 18:27угу...вот именно из-за этих ограничений и нельзя давать разрабу админские права...
ибо в 99% такой разраб выдаст такое решение, которое у конечного пользователя заработает, только тогда, когда юзеру дадут админские права..
учитесь работать в рамках установленных системой ограничений.
Лишь один кейс оправдан, это разработка клиентов под виндоус ОС. Но мля эксперементировал как то с мобил виндоус и сейчас меня виндоус разработчик то и дело дергает для обсуждения архитектурных деталей проекта, который я сделал для ИОС и ему только надо повторить, рассказывает кратко о нюансах своей кухни, им не привыкать делать мозги со своей виндоус фэмили.
-
- Уже с Приветом
- Posts: 6677
- Joined: 02 Sep 2003 15:19
- Location: Через речку от Манхэттена
Re: Борьба админа со Smart Asses
ну вот об.ясните мне Злому Админу...нафига тому же ВебДевелоперу админские права на его компе ??nyekimov wrote: ↑13 Dec 2017 18:39Я вообще то разрабатываю под мобилку, причем тут ОС? Веберы разрабатывают под браузеры, причем тут ОС? Бэкенд разрабатывается в основном для серверов на линукс ОС, причем тут виндоус???Slonjra wrote: ↑13 Dec 2017 18:27угу...вот именно из-за этих ограничений и нельзя давать разрабу админские права...
ибо в 99% такой разраб выдаст такое решение, которое у конечного пользователя заработает, только тогда, когда юзеру дадут админские права..
учитесь работать в рамках установленных системой ограничений.
Я еще пойму, если это самостоятельный фрилансер, но эти тут вообще не в тему.
Разраб же в конторе/команде должен работать на том продукте, который выбрал начальник и установил админ..
усе..
бери что дали. и к станку -> гнать план.
Резюме — это список дел, которые ты больше никогда не хочешь делать.
-
- Уже с Приветом
- Posts: 2761
- Joined: 11 Jul 2015 19:01
- Location: Chicago
Re: Борьба админа со Smart Asses
А вы уверены что мне сдался даром МС Офис? Прикиньте компания пользуется набором с онлайн гугл решений и я уже не помню когда даже кроме этой компании видел мс офис документ, тем более который не мог бы быть импортирован в гугл докс.
-
- Уже с Приветом
- Posts: 6677
- Joined: 02 Sep 2003 15:19
- Location: Через речку от Манхэттена
Re: Борьба админа со Smart Asses
вы похоже очень давно в большой конторе не работали..))) Гуглодокс там не катит, как и ОпенОфис..
в 90% серьезных контор - Ms Office стандарт... хотя я тоже считаю, что единственный полезный продукт в этом Офисе - Outlook.
пы.сы А Гуглу большие компании ну очень не любят, из-за его постоянных попыток чего-то улучшать в своих сервисах, и в любой момент может оказаться, что гуглю надоело потдерживать очередной свой сервис и они на него наплевали..)))
Резюме — это список дел, которые ты больше никогда не хочешь делать.
-
- Уже с Приветом
- Posts: 4207
- Joined: 10 Jan 2004 01:22
- Location: n-sk -> MD -> VA
Re: Борьба админа со Smart Asses
Slonjra, софт для веб разработки не работает под виндой без одминских прав. Такова реальность.
У варианта "забрать права" есть, конечно, по крайней мере, один бенефит: будет производиться меньше нового г-на софта на радость StrangerR
У варианта "забрать права" есть, конечно, по крайней мере, один бенефит: будет производиться меньше нового г-на софта на радость StrangerR
-
- Уже с Приветом
- Posts: 2761
- Joined: 11 Jul 2015 19:01
- Location: Chicago
Re: Борьба админа со Smart Asses
Это такая типично паршивая команда, получается никаких шагов влево, на всех моих фирмах приветствовали, когда разработчик изучает что-то новое и потом предлагает, как это применить, да и просто не дает мозгам засохнуть. Потому что иначе развитие сотруднику закрыто - образовывайся самостоятельно в свободное от работы время.Slonjra wrote: ↑13 Dec 2017 18:45 ну вот об.ясните мне Злому Админу...нафига тому же ВебДевелоперу админские права на его компе ??
Я еще пойму, если это самостоятельный фрилансер, но эти тут вообще не в тему.
Разраб же в конторе/команде должен работать на том продукте, который выбрал начальник и установил админ..
усе..
бери что дали. и к станку -> гнать план.
На первой работе в банке первый год полтора был виндоус комп, там мы были админами, но сеть постоянно сканировалась и прилетали письма счастья, типо удалите то тот запрещенный продукт. В основном типо антивирус замените на корпоративный касперский. Ок без проблем. Диктовать технологии? Каждый начальник в первую очередь сам хочет свободу и гибкость, потому что если это каждый раз согласовывать, затем вставать в очередь на установку к админам, то это будет занимать очень долго.
Еще в банке интернет давали в 2010 году по часам, и строго следили, чтобы не дай бог не смотрели видео или не слушали музыку онлайн. Надо ли говорить, что из-за такой политики там сидели только послушные. Мой отдел очень быстро сообразил купить беспроводной модуль на 5 компов через который мы и сидели во внешнем интернете. И я очень радовался, когда наконец убежал и увидел, что в остальном мире все не так паршиво.
-
- Уже с Приветом
- Posts: 6677
- Joined: 02 Sep 2003 15:19
- Location: Через речку от Манхэттена
Re: Борьба админа со Smart Asses
угу, именно об этом я и говорю...т.е. его тоже делал какой-то разраб, которому "до ужаса" надо было иметь админские права..
Был у нас подобный продукт ( слава богу сдох, его перестали потдерживать...аж целый IBM его выпускал....)
Резюме — это список дел, которые ты больше никогда не хочешь делать.
-
- Уже с Приветом
- Posts: 28294
- Joined: 29 Aug 2000 09:01
- Location: SPB --> Gloucester, MA, US --> SPB --> Paris
Re: Борьба админа со Smart Asses
Именно поэтому я и хочу с ними по хорошемуnyekimov wrote: ↑13 Dec 2017 19:00 Это такая типично паршивая команда, получается никаких шагов влево, на всех моих фирмах приветствовали, когда разработчик изучает что-то новое и потом предлагает, как это применить, да и просто не дает мозгам засохнуть. Потому что иначе развитие сотруднику закрыто - образовывайся самостоятельно в свободное от работы время.
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014