Борьба админа со Smart Asses

zVlad
Уже с Приветом
Posts: 15339
Joined: 30 Apr 2003 16:43

Re: Борьба админа со Smart Asses

Post by zVlad »

У мего соседа по офису, тим лида Wintel (у него сотни серверов и больше десятка Windows админов под его началом), проблема локальных админ прав едва ли не #1. Он постоянно рассказывает как пытается добиться обоснования почему у него просят локального админа. Он резонно считает что для этого должны быть веские причины, но порой его продавливают силой - указом сверху.

У них есть script, который проверяет по списку какие accounts могут иметь admin и если находят тех что не в списке забирают права. Одно время я тоже был на месте того кому нужен был admin, но записаться в список мне было лень. Это не позволяло мне сделать мою работу. Но у меня была возможность залогиниться admin-ом не с моим userid, и я ставил свой userid локал admin-ом, делал работу. Потом они прогоняли script и я вылетал. Все начиналось сначала. Мне это надоело, я разобрался как делать мою работу без админ прав и теперь живу без них и без обходных маневров. Эти "обходные пути" очень плохо пахнут с точки зрения security, но они существуют, я думаю, повсеместно там где вроде бы эту проблему пытаются решать радикально. У нас это делается. Выглядит ужасно, CyberArk называется. Я в эти игры принципиально играть не стал и хотя у нас это политика, но я уже больше года хожу на нужные мне серваки Windows, минуя эту "политику". "Entrust" токен дали, ни разу не пользовался.

Зачем я это все писал? Конечно чтобы сказать про мэйнфрэйм. В z/OS такой проблемы нет в принципе. Все необходимые для работы не-администраторов права можно назначить без предоставления завышенных возможностей. И это работает строго и непробиваемо ни чем и ни кем. То что нужно делать с правами админa делаю я, и только я. Более того, много лет назад у нас было пару челов кто имел права модифицировать конфигурации некоторые системные - они были админстраторами одной важной компоненты z/OS (без z/OS admin прав). Я с ними побеседовал и они согласились что этих прав у них не будет. Если им надо что-то поменять в конфигурации они обращаются ко мне.

Кстати и под Windows права admin не необходимы для тех кто не администрирует систему. Им просто лень разобраться как то или иное делать обычным user-ом. И собственно admin-ы Windows не всегда проявляют настойчивость и умение чтобы помочь user-ам делать их работу без admin прав. Согласны? На моей рабочей Windows я никогда не был admin-ом, но это не мешало мне, так или иначе, делать все что требовало admin прав. На серваках я тоже нашел способ, хотя мой предшественик все делал будучи local admin. Это было элементарно. В самой сложной ситуации я подговаривал знакомого admin-a, он давал мне local admin, я делал инсталяцию (или добавлял себя в "Remote Desktop Users" - таким образом был обойден CyberArk), потом их script меня автоматом удалял. CyberArk остался в стороне - "Remote Desktop Users" их script не проверяет. Кстати, не будучи админ я вижу кто в групе "Administrators". Это шаг к тому чтобы получить полный доступ.

Так что, Dima, мой тебе совет - удаляй всех из local admin group, и каждого кто к тебе придет проси обосновать требование на admin. Может тебе придется за них что-то поделать, может поорать на них.
User avatar
Dmitry67
Уже с Приветом
Posts: 28294
Joined: 29 Aug 2000 09:01
Location: SPB --> Gloucester, MA, US --> SPB --> Paris

Re: Борьба админа со Smart Asses

Post by Dmitry67 »

zVlad wrote: 13 Dec 2017 14:38 Так что, Dima, мой тебе совет - удаляй всех из local admin group, и каждого кто к тебе придет проси обосновать требование на admin. Может тебе придется за них что-то поделать, может поорать на них.
Но я либерал и сторонник свободы (((
не хочу чтобы меня считали Берией...
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014
zVlad
Уже с Приветом
Posts: 15339
Joined: 30 Apr 2003 16:43

Re: Борьба админа со Smart Asses

Post by zVlad »

Dmitry67 wrote: 13 Dec 2017 14:41
zVlad wrote: 13 Dec 2017 14:38 Так что, Dima, мой тебе совет - удаляй всех из local admin group, и каждого кто к тебе придет проси обосновать требование на admin. Может тебе придется за них что-то поделать, может поорать на них.
Но я либерал и сторонник свободы (((
не хочу чтобы меня считали Берией...
Dima, не комплексуй. Тебя "выносят из локальный админов", а ты своими правами воспользоваться боишься. Дождешься тебя за невыполнение обязаностей администратора накажут. А ты все, Берия, Берия. Берия не был admin-ом. А ты не член Политбюро и не генеральный коммисар ГБ.
Palych
Уже с Приветом
Posts: 13701
Joined: 16 Jan 2001 10:01

Re: Борьба админа со Smart Asses

Post by Palych »

zVlad wrote: 13 Dec 2017 15:05
Dmitry67 wrote: 13 Dec 2017 14:41
zVlad wrote: 13 Dec 2017 14:38 Так что, Dima, мой тебе совет - удаляй всех из local admin group, и каждого кто к тебе придет проси обосновать требование на admin. Может тебе придется за них что-то поделать, может поорать на них.
Но я либерал и сторонник свободы (((
не хочу чтобы меня считали Берией...
Dima, не комплексуй. Тебя "выносят из локальный админов", а ты своими правами воспользоваться боишься. Дождешься тебя за невыполнение обязаностей администратора накажут. А ты все, Берия, Берия. Берия не был admin-ом. А ты не член Политбюро и не генеральный коммисар ГБ.
Хорошо сказано (IMHO)
Как говорили во времена перестройки: "Демократия - это не вседозволенность. Стало быть, там где нет вседозволенности - там и есть демократия."
Борьба с умнымимля в целом основана на:
- образовании, разъяснении, агитации (у нас кстати постоянно ведётся мощная кампания, с мультфильмами, сувенирами и проч.)
- Запугивании (если будешь держать иголку остриём от себя - мать умрёт)
- показательных казней
При выборе объектов для гильотинизации необходимо взвешивать полезность объекта, возможность в итоге убедить его не борзеть и проч. У админа такой информации нет по определению, его дело - выдавать корректную информацию кто где гадит.
zVlad
Уже с Приветом
Posts: 15339
Joined: 30 Apr 2003 16:43

Re: Борьба админа со Smart Asses

Post by zVlad »

Palych wrote: 13 Dec 2017 15:49 ..... У админа такой информации нет по определению, его дело - выдавать корректную информацию кто где гадит.
По мне (я admin) мой долг и обязанность давать необходимый минимум прав для выполнения работ не-admin-ами.
Гадить, в моем понимают, должно быть возможным только самому сeбе. Информация из нормальной системы security (RACF), которую я обслуживаю и настраиваю, может быть только одна - о попытках несанкционированного доступа. Попытках! О том где и как было нагажено в пределах установленных границ дают информацию другие службы. В БД, например, журнал изменений.

Я конечно понимаю что то с чем Вы работаете таких возможностей не предоставляет, или пользоваться ими не предоставляется возможности. Поэтому и отношение к этому у нас разное.
User avatar
Ion Tichy
Уже с Приветом
Posts: 13339
Joined: 07 Dec 2004 04:00
Location: Москва->CO

Re: Борьба админа со Smart Asses

Post by Ion Tichy »

Dmitry67 wrote: 13 Dec 2017 14:41
zVlad wrote: 13 Dec 2017 14:38 Так что, Dima, мой тебе совет - удаляй всех из local admin group, и каждого кто к тебе придет проси обосновать требование на admin. Может тебе придется за них что-то поделать, может поорать на них.
Но я либерал и сторонник свободы (((
не хочу чтобы меня считали Берией...
Ну тогда не орите, а сначала свяжите, а потом слегка придушИте.
Как же это вы без гравицаппы пепелац выкатываете из гаража? Это непорядок...
User avatar
Dmitry67
Уже с Приветом
Posts: 28294
Joined: 29 Aug 2000 09:01
Location: SPB --> Gloucester, MA, US --> SPB --> Paris

Re: Борьба админа со Smart Asses

Post by Dmitry67 »

Влад, в винде тоже можно лишить админских прав и все. Вполне нормальное решение, например, для компов где обслуживают клиентов, например, в банках

Но для девелопера лишение админских прав, я считаю, это интеллектуальное оскопление.
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014
zVlad
Уже с Приветом
Posts: 15339
Joined: 30 Apr 2003 16:43

Re: Борьба админа со Smart Asses

Post by zVlad »

Dmitry67 wrote: 13 Dec 2017 17:26 Влад, в винде тоже можно лишить админских прав и все. Вполне нормальное решение, например, для компов где обслуживают клиентов, например, в банках

Но для девелопера лишение админских прав, я считаю, это интеллектуальное оскопление.
Тогда чем admin отличается от developer? Это ложное представление, создающее риски безопасности всей ИТ фирмы где Вы администратором поставлены. Будь я Вашим менеджером, я выбил бы из Вас эту дурь быстро.

P.S. Разве интелект в правах проявляется? Вовсе нет, он в умении работать с заданными ограничениями проявляется. А ограничения всегда и везде есть, кроме ИТ, да и то только с такими "ограничителями" как Вы.
User avatar
Dmitry67
Уже с Приветом
Posts: 28294
Joined: 29 Aug 2000 09:01
Location: SPB --> Gloucester, MA, US --> SPB --> Paris

Re: Борьба админа со Smart Asses

Post by Dmitry67 »

zVlad wrote: 13 Dec 2017 17:32
Dmitry67 wrote: 13 Dec 2017 17:26 Влад, в винде тоже можно лишить админских прав и все. Вполне нормальное решение, например, для компов где обслуживают клиентов, например, в банках

Но для девелопера лишение админских прав, я считаю, это интеллектуальное оскопление.
Тогда чем admin отличается от developer? Это ложное представление, создающее риски безопасности всей ИТ фирмы где Вы администратором поставлены. Будь я Вашим менеджером, я выбил бы из Вас эту дурь быстро.
Девелоперы не имеют доступа в QA/UAT и тем более PROD. Так что риски невелики
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014
User avatar
Slonjra
Уже с Приветом
Posts: 6677
Joined: 02 Sep 2003 15:19
Location: Через речку от Манхэттена

Re: Борьба админа со Smart Asses

Post by Slonjra »

Dmitry67 wrote: 13 Dec 2017 17:26 Влад, в винде тоже можно лишить админских прав и все. Вполне нормальное решение, например, для компов где обслуживают клиентов, например, в банках

Но для девелопера лишение админских прав, я считаю, это интеллектуальное оскопление.
Вы неправы ))) Вот им как раз в первую очередь надо все права пообрезать ))) А то они такого наворотят...
ну не нужно обычному разработчику ставить софт на комп..не его это..

еще раз повторю, если ему надо просто поиграться с новым софтом , VM ему в руки, барабан на шею и вперед..
вот внутри VM он хоть суперадмином может быть..
да и VM в идеале не на его компе, а на серваке, под приглядом админа, а ему только RDC к этой VM.
у нас таких трое, и ниче, работают не жужат, только изредка просят поднять копию VM из вчерашнего Бэкапа, или запустить чистую копию.
Резюме — это список дел, которые ты больше никогда не хочешь делать.
StrangerR
Уже с Приветом
Posts: 38016
Joined: 14 Dec 2006 20:13
Location: USA

Re: Борьба админа со Smart Asses

Post by StrangerR »

Dmitry67 wrote: 13 Dec 2017 14:41
zVlad wrote: 13 Dec 2017 14:38 Так что, Dima, мой тебе совет - удаляй всех из local admin group, и каждого кто к тебе придет проси обосновать требование на admin. Может тебе придется за них что-то поделать, может поорать на них.
Но я либерал и сторонник свободы (((
не хочу чтобы меня считали Берией...
Ну начнет удалять. Пользователи быстренько поставят сервис который их тут же на место ставит, причем назовут сервис так, что фиг найдешь. И будут два скрипта друг с другом бодаться, причем победит естественно локальный юзер.

Толку то... Это не агенты, это девелоперы. Умный девелопер всегда объедет сколь угодно умного админа на кривой кобыле. Поэтому лучше сделать полиси, что можно а что нельзя делать, и проверять ее, а не удалять админ права (или восстановят или объедут или докажут что им нужны). Тем паче виндовый девелопмент без прав админа делать зачастую нереально, слишком все криво в этой винде.
User avatar
Ion Tichy
Уже с Приветом
Posts: 13339
Joined: 07 Dec 2004 04:00
Location: Москва->CO

Re: Борьба админа со Smart Asses

Post by Ion Tichy »

Dmitry67 wrote: 13 Dec 2017 17:26...

Но для девелопера лишение админских прав, я считаю, это интеллектуальное оскопление.
Девелопер - это типа токарь которому дали токарный станок, чертеж, резцы, заготовку и дату когда сделать.
Если Вы хотите дать ему/ей набор гаечных ключей шоб залезть внутрь станка...
Как же это вы без гравицаппы пепелац выкатываете из гаража? Это непорядок...
User avatar
ALV00
Уже с Приветом
Posts: 1494
Joined: 08 Mar 2002 10:01
Location: NJ

Re: Борьба админа со Smart Asses

Post by ALV00 »

Если уж лишать админских прав, то надо делать грамотно, с зашифровкой диска, чтобы нельзя было подмонтировать из другой системы. Иначе загрузят линукс с флешки и подберут пароль. Я сам так делал когда-то. Просто вынужден был. Без админских прав девелоперу очень хреново.
User avatar
Slonjra
Уже с Приветом
Posts: 6677
Joined: 02 Sep 2003 15:19
Location: Через речку от Манхэттена

Re: Борьба админа со Smart Asses

Post by Slonjra »

ALV00 wrote: 13 Dec 2017 17:53 Если уж лишать админских прав, то надо делать грамотно, с зашифровкой диска, чтобы нельзя было подмонтировать из другой системы. Иначе загрузят линукс с флешки и подберут пароль. Я сам так делал когда-то. Просто вынужден был. Без админских прав девелоперу очень хреново.
и вылетят с работы....))) Сказано, что нельзя...то и нефиг лезть....
Сильно надо - пиши обоснование и все оффициально, через начальство.
Резюме — это список дел, которые ты больше никогда не хочешь делать.
nyekimov
Уже с Приветом
Posts: 2761
Joined: 11 Jul 2015 19:01
Location: Chicago

Re: Борьба админа со Smart Asses

Post by nyekimov »

Блин как хорошо, что пока ни на одной организации админы не лазали по макам. Как вспомню эти искуственные ограничения виндоус, который во многих случаях разработчику не уперся. Бррр.
User avatar
Slonjra
Уже с Приветом
Posts: 6677
Joined: 02 Sep 2003 15:19
Location: Через речку от Манхэттена

Re: Борьба админа со Smart Asses

Post by Slonjra »

угу..я тоже не лазаю по Макам..))) но и не занимаюсь никаким их суппортом, кроме настройки корпоративной почты...
и долго ржу, когда они сами корячаться с техсуппортом очередного извращения для Мака.
Даже установка MS Office под Мак - уже не моя проблема )))
Резюме — это список дел, которые ты больше никогда не хочешь делать.
User avatar
Slonjra
Уже с Приветом
Posts: 6677
Joined: 02 Sep 2003 15:19
Location: Через речку от Манхэттена

Re: Борьба админа со Smart Asses

Post by Slonjra »

nyekimov wrote: 13 Dec 2017 18:19 Блин как хорошо, что пока ни на одной организации админы не лазали по макам. Как вспомню эти искуственные ограничения виндоус, который во многих случаях разработчику не уперся. Бррр.
угу...вот именно из-за этих ограничений и нельзя давать разрабу админские права...
ибо в 99% такой разраб выдаст такое решение, которое у конечного пользователя заработает, только тогда, когда юзеру дадут админские права..
учитесь работать в рамках установленных системой ограничений.
Резюме — это список дел, которые ты больше никогда не хочешь делать.
nyekimov
Уже с Приветом
Posts: 2761
Joined: 11 Jul 2015 19:01
Location: Chicago

Re: Борьба админа со Smart Asses

Post by nyekimov »

Slonjra wrote: 13 Dec 2017 18:27
nyekimov wrote: 13 Dec 2017 18:19 Блин как хорошо, что пока ни на одной организации админы не лазали по макам. Как вспомню эти искуственные ограничения виндоус, который во многих случаях разработчику не уперся. Бррр.
угу...вот именно из-за этих ограничений и нельзя давать разрабу админские права...
ибо в 99% такой разраб выдаст такое решение, которое у конечного пользователя заработает, только тогда, когда юзеру дадут админские права..
учитесь работать в рамках установленных системой ограничений.
Я вообще то разрабатываю под мобилку, причем тут ОС? Веберы разрабатывают под браузеры, причем тут ОС? Бэкенд разрабатывается в основном для серверов на линукс ОС, причем тут виндоус???

Лишь один кейс оправдан, это разработка клиентов под виндоус ОС. Но мля эксперементировал как то с мобил виндоус и сейчас меня виндоус разработчик то и дело дергает для обсуждения архитектурных деталей проекта, который я сделал для ИОС и ему только надо повторить, рассказывает кратко о нюансах своей кухни, им не привыкать делать мозги со своей виндоус фэмили.
User avatar
Slonjra
Уже с Приветом
Posts: 6677
Joined: 02 Sep 2003 15:19
Location: Через речку от Манхэттена

Re: Борьба админа со Smart Asses

Post by Slonjra »

nyekimov wrote: 13 Dec 2017 18:39
Slonjra wrote: 13 Dec 2017 18:27
nyekimov wrote: 13 Dec 2017 18:19 Блин как хорошо, что пока ни на одной организации админы не лазали по макам. Как вспомню эти искуственные ограничения виндоус, который во многих случаях разработчику не уперся. Бррр.
угу...вот именно из-за этих ограничений и нельзя давать разрабу админские права...
ибо в 99% такой разраб выдаст такое решение, которое у конечного пользователя заработает, только тогда, когда юзеру дадут админские права..
учитесь работать в рамках установленных системой ограничений.
Я вообще то разрабатываю под мобилку, причем тут ОС? Веберы разрабатывают под браузеры, причем тут ОС? Бэкенд разрабатывается в основном для серверов на линукс ОС, причем тут виндоус???
ну вот об.ясните мне Злому Админу...нафига тому же ВебДевелоперу админские права на его компе ??
Я еще пойму, если это самостоятельный фрилансер, но эти тут вообще не в тему.
Разраб же в конторе/команде должен работать на том продукте, который выбрал начальник и установил админ..
усе..
бери что дали. и к станку -> гнать план.
Резюме — это список дел, которые ты больше никогда не хочешь делать.
nyekimov
Уже с Приветом
Posts: 2761
Joined: 11 Jul 2015 19:01
Location: Chicago

Re: Борьба админа со Smart Asses

Post by nyekimov »

Slonjra wrote: 13 Dec 2017 18:24 угу..я тоже не лазаю по Макам..))) но и не занимаюсь никаким их суппортом, кроме настройки корпоративной почты...
и долго ржу, когда они сами корячаться с техсуппортом очередного извращения для Мака.
Даже установка MS Office под Мак - уже не моя проблема )))
А вы уверены что мне сдался даром МС Офис? Прикиньте компания пользуется набором с онлайн гугл решений и я уже не помню когда даже кроме этой компании видел мс офис документ, тем более который не мог бы быть импортирован в гугл докс.
User avatar
Slonjra
Уже с Приветом
Posts: 6677
Joined: 02 Sep 2003 15:19
Location: Через речку от Манхэттена

Re: Борьба админа со Smart Asses

Post by Slonjra »

nyekimov wrote: 13 Dec 2017 18:49
Slonjra wrote: 13 Dec 2017 18:24 угу..я тоже не лазаю по Макам..))) но и не занимаюсь никаким их суппортом, кроме настройки корпоративной почты...
и долго ржу, когда они сами корячаться с техсуппортом очередного извращения для Мака.
Даже установка MS Office под Мак - уже не моя проблема )))
А вы уверены что мне сдался даром МС Офис? Прикиньте компания пользуется набором с онлайн гугл решений и я уже не помню когда даже кроме этой компании видел мс офис документ, тем более который не мог бы быть импортирован в гугл докс.
вы похоже очень давно в большой конторе не работали..))) Гуглодокс там не катит, как и ОпенОфис..
в 90% серьезных контор - Ms Office стандарт... хотя я тоже считаю, что единственный полезный продукт в этом Офисе - Outlook.

пы.сы А Гуглу большие компании ну очень не любят, из-за его постоянных попыток чего-то улучшать в своих сервисах, и в любой момент может оказаться, что гуглю надоело потдерживать очередной свой сервис и они на него наплевали..)))
Резюме — это список дел, которые ты больше никогда не хочешь делать.
User avatar
fruit6
Уже с Приветом
Posts: 4207
Joined: 10 Jan 2004 01:22
Location: n-sk -> MD -> VA

Re: Борьба админа со Smart Asses

Post by fruit6 »

Slonjra, софт для веб разработки не работает под виндой без одминских прав. Такова реальность.

У варианта "забрать права" есть, конечно, по крайней мере, один бенефит: будет производиться меньше нового г-на софта на радость StrangerR
nyekimov
Уже с Приветом
Posts: 2761
Joined: 11 Jul 2015 19:01
Location: Chicago

Re: Борьба админа со Smart Asses

Post by nyekimov »

Slonjra wrote: 13 Dec 2017 18:45 ну вот об.ясните мне Злому Админу...нафига тому же ВебДевелоперу админские права на его компе ??
Я еще пойму, если это самостоятельный фрилансер, но эти тут вообще не в тему.
Разраб же в конторе/команде должен работать на том продукте, который выбрал начальник и установил админ..
усе..
бери что дали. и к станку -> гнать план.
Это такая типично паршивая команда, получается никаких шагов влево, на всех моих фирмах приветствовали, когда разработчик изучает что-то новое и потом предлагает, как это применить, да и просто не дает мозгам засохнуть. Потому что иначе развитие сотруднику закрыто - образовывайся самостоятельно в свободное от работы время.

На первой работе в банке первый год полтора был виндоус комп, там мы были админами, но сеть постоянно сканировалась и прилетали письма счастья, типо удалите то тот запрещенный продукт. В основном типо антивирус замените на корпоративный касперский. Ок без проблем. Диктовать технологии? Каждый начальник в первую очередь сам хочет свободу и гибкость, потому что если это каждый раз согласовывать, затем вставать в очередь на установку к админам, то это будет занимать очень долго.
Еще в банке интернет давали в 2010 году по часам, и строго следили, чтобы не дай бог не смотрели видео или не слушали музыку онлайн. Надо ли говорить, что из-за такой политики там сидели только послушные. Мой отдел очень быстро сообразил купить беспроводной модуль на 5 компов через который мы и сидели во внешнем интернете. И я очень радовался, когда наконец убежал и увидел, что в остальном мире все не так паршиво.
User avatar
Slonjra
Уже с Приветом
Posts: 6677
Joined: 02 Sep 2003 15:19
Location: Через речку от Манхэттена

Re: Борьба админа со Smart Asses

Post by Slonjra »

fruit6 wrote: 13 Dec 2017 18:58 Slonjra, софт для веб разработки не работает под виндой без одминских прав. Такова реальность.

У варианта "забрать права" есть, конечно, по крайней мере, один бенефит: будет производиться меньше нового г-на софта на радость StrangerR

угу, именно об этом я и говорю...т.е. его тоже делал какой-то разраб, которому "до ужаса" надо было иметь админские права..
Был у нас подобный продукт ( слава богу сдох, его перестали потдерживать...аж целый IBM его выпускал....)
Резюме — это список дел, которые ты больше никогда не хочешь делать.
User avatar
Dmitry67
Уже с Приветом
Posts: 28294
Joined: 29 Aug 2000 09:01
Location: SPB --> Gloucester, MA, US --> SPB --> Paris

Re: Борьба админа со Smart Asses

Post by Dmitry67 »

nyekimov wrote: 13 Dec 2017 19:00 Это такая типично паршивая команда, получается никаких шагов влево, на всех моих фирмах приветствовали, когда разработчик изучает что-то новое и потом предлагает, как это применить, да и просто не дает мозгам засохнуть. Потому что иначе развитие сотруднику закрыто - образовывайся самостоятельно в свободное от работы время.
Именно поэтому я и хочу с ними по хорошему
Зарегистрированный нацпредатель, удостоверение N 19719876044787 от 22.09.2014

Return to “Работа и Карьера в IT”