Дайте идеи, как не давать права админа неумному но высокому начальнику
14186
22
Добрый вечер.
Пришла беда, откуда не ждали. Новый исполнительный директор хочет их - права суперпользователя. Хочет для не связанных с работой вещей, как он сам признавался - поставить софт для технического анализа и игры на биржах. Ну а там и торренты подтянутся, и прочий шлак. То есть мой геморрой. Административно ничего не сделать - с генеральным он на вась-вась, мои "положение по защите данных" и "рабочую инструкцию сисадмина" даже рассматривать не стали, не то что подписывать.
Нужно или убедить, почему это не стоит делать, или сделать демонстрацию - поставить кейлоггер, слить его данные, залочить ему комп и т.д. Второе в случае, если первая часть не окажет воздействия. То есть сначала убеждаем (нужны ссылки на законы, ФЗ о персональных данных и т.п.), а если туго - то наглядно демонстрируем последствия. Сначала восстановимые, потом по ситуации.
Как бы потоньше на этом лезвии пройти? Жду советов. Совет увольняться считаем, что уже прозвучал и не озвучиваем повторно.
Alex_Golovin
Предложите ему принести свой ноутбук и на него все поставить.
Я бы так сделал.
maxxx
'Да что я буду его туда-сюда таскать" был мне ответ.
Что-то с идеями у народа не густо. Хотя наверняка все попадали в такую ситуацию с VIP ами.
Alex_Golovin
Если сеть доменная используйте GPO. Всегда можно списать многие вещи почему что-то не встает на повышенную систему безопасности корпоративного продукта... и давить на то, что это встроено в корпоративные версии (в моих случаях всегда прокатывало, особенно если учесть, что сам директор таким софтом не пользуется и для которого важна репутация!) Сейчас с этим у меня вообще все просто, приходит человек пишет, что ему нужно для работы, остальное даже не обсуждается, ровно как и права админа которые имеют 4 человека отдела IT. Пишется письмо на имя директора и покупается нужный софт, права у всех только пользовательские, в очень редком случае даются права локального админа как пример бухгалтерия и ее софт который не всегда хочет работать без таких прав) если не поможет то пишите письмо (служебная записка) на имя директора, что в связи с требованием нового зама прав админа, системный администратор ФИО просит разрешения директора ФИО дать такие права конкретному сотруднику компании после чего системный администратор не несет ответственности за установленный софт на машине конкретного пользователя а так же за работоспособность данного компьютера, а так же за возможный причиненный вред который может принести пользователь и зараженный им компьютер локальной сети организации и третьим лицам. Да... не забудте зарегистрировать письмо у секретаря директора, копия после подписи директора должна остаться у Вас. Если директор адекватный то он не даст такого разрешения не зависимо от его отношений с замом.Ну и конечно же стоит закрыть порты на шлюзе кроме самых необходимых. После чего думаю пыл у зама сойдет на нет... а у Вас будет прикрыт зад от возможных неприятностей на тему не лицензионного ПО,хотя нервишки в случае проверки конечно потреплют, но не посадят.
hck
копия после подписи директора должна остаться у Вас..
Вот этого не будет.
Alex_Golovin
Я вижу только изоляцию такого компа от корп сети. Может быть поставить доп. АРМ, с выходом наружу, пусть на нем развлекается.
Alex_Golovin
Не понятно чем именно вам не нравится идея дать ему права суперпользователя? чем именно вам оно мешает?

Залить весь софт какой надо, сделать образ - и при любых проблемах - тупо разворачивать образ назад, вот и всё. Нужен ему интернет - отделить от общей сети и пусть интернетит сколько угодно, канал можно подрезать, если боитесь торрентов. Хуже, если при этом ему нужен доступ к внутренним сетевым ресурсам - но и тут вроде можно аккуратно проточить дырочки, хотя, конечно, уже не так надёжно, особенно если нужен доступ к файлам в сети.

Воспитывать вышестоящего по должности в плане "что ему делать", придумывать для него инструкци - смысла особого нет, по-моему.
Alex_Golovin
копия после подписи директора должна остаться у Вас..
Вот этого не будет.
В принципе не важно будет она подписана или нет важно чтоб бумагу зарегистрировала секретарь в журнале регистраций, а копию оставить себе с отметкой порядкового № и датой регистрации. В таком случае директор будет обязан ответить, либо разрешить либо отказать.:улыб:Или отправить Вас на рекрутинговый сайт...:миг:в любом случае 50-50 проблемы у вас или будут или нет. Ну а если не хотите чтоб руководство сильно Вас докучало, можно попросить кого нибудь из знакомых позвонить от имени компании скажем Microsoft и составить разговор в таком ключе " смотрели аналитику продаж в Новосибирске и обратили внимание что за последние 3 года ваша компания не приобрела ни одного продукта нашей компании. Ваша организация вся работает на Linux ?" После этого поверьте директор забудет про своего нового зама, он будет искать варианты приобрести хоть что нибудь от компании microsoft итд... а так же озаботится тем, что могут и другие так же позвонить, а то и просто инициировать проверку из прокуратуры.
Alex_Golovin
Проблема высосанная из пальца - права дать, порты наружу закрыть, в том числе торренты, можно в правилах закрыть конкретные сайты, опять же начальство может быть только в одном лице, либо в нескольких, но которые принимают решения согласовано - т.е. когда некоторые сотрудники фирм-клиентов просят расширенный доступ - всегда довожу про это либо собственников компании, либо других директоров, всегда здравый смысл побеждает,
как вариант, предложить написать написать список софта, установить для него, еще момент - если просит права, значит он знает ЧТО просит, квалификацию можно проверить в нейтральном разговоре
Felix666
Я вижу только изоляцию такого компа от корп сети
Увы.
Может быть поставить доп. АРМ, с выходом наружу, пусть на нем развлекается.
То же, что и "свой ноут". Нет.
hck
чтоб бумагу зарегистрировала секретарь в журнале регистраций, а копию оставить себе с отметкой порядкового № и датой регистрации.
Организация маленькая, секретаря нету.
После этого поверьте директор забудет про своего нового зама
Директор в другом городе, это филиал.
Chuck_Norris
предложить написать написать список софта
Еще разочек: никто с бумажками не заморачивается.
если просит права, значит он знает ЧТО просит
Просит пароль админа, потому что при установке ему выдается UAC-окно. И какова же тут квалификация?
Alex_Golovin
А если логи прокси в конце месяца положить генералу? Дескать, вот это шишечка - это трафик всего филиала, а вот эта гора - трафик этого чувака. Ну и дать локального админа, на остальных ресурсах зарезать права (если еще не зарезаны), напилить портов на проксе и сидеть вдумчиво писать концепцию ИБ.
Alex_Golovin
Да, и служебку генералу обязательно послать, дескать так и так, повышенные права юзера несут такие-то риски, прошу согласовать этот доступ. Служебку в рамочку.
Alex_Golovin
Подождите, ветку вы начали с прав админа для пользователя.
Теперь рассказываете всего лишь про UAC-окно.

Так что надо на самом деле?

И главное, почему всё же вы противитесь? в самом деле не понятно.

Если это ваш непосредственный начальник (не зависимо от размера компании) - то вообще нефик субординацию нарушать.
Если начальник другой - доводите до сведения: мне для качественного исполнения своих обязанностей требуется соблюдение от пользователями таких-то правил. Такой-то сотрудник просит эти правила нарушить, что приведёт к таким-то и таким-то последствиям (ну вы же противитесь, значит последствия знаете и в терминах вреда для компании, а не собственного геморроя, можете озвучить?). А далее пусть будет ответ: даёт руководитель добро или нет. И всего делов-то.
Бумаги, понятно, не будет в небольшой компании, но слова будут, для себя зафиксировать дату, время, быть может записать, ибо разговор через пол-года непременно забудется.

и всё же ваши мотивы хотелось бы услышать. Ибо так и не понятно чем вам мешают торренты. (только ен надо говорить/думать "не знаешь чем мешают - чё лезешь, неграмотный", ибо вам ведь мешает, не мне, поэтому и хотелось бы ваши аргументы услышать, тогда будут понятны варианты решения этих (пока гипотетических) проблем. Либо можно уже более предметные формулировки обсуждать в терминах "чем это вредит компании" (а другого директор и не поймёт).
Alex_Golovin
Выскакивания UAK не говорит о его квалификации ровным счетом ни чего, Вам дали советов "Воз и маленькую тележку" И Вам ни чего не подходит... думаю любой на Вашем месте использовал хотя бы один. Хотя на войне как на войне все средства хороши, а раз не знаете что применить используйте метод перебора советов:миг:один, но стрельнет! Я при очень многолетнем опыте в данной ситуации не знаю, что Вам подсказать более, тем более что все, что нужно уже Вам написали.
Alex_Golovin
Поставить вопрос перед гендиром. Мол так и так. Просит много прав. Даю. Но в случае какого сбоя прошу ответственность с себя за то что он наворотит снять. И в любом случае при любых косяках всегда можно отмазаться. Мол большое руководство приняло решение о наличии такого сбоя в сети. И сбой это не сбой инновация в работе от большого начальника. По мне так жизнь изза этого станет даже проще.
Alex_Golovin
Автор, я бы сделал так.
1. Установка и настройка эталона, снятие образа
2. Вывести комп из домена, но дать доступ к шарам (или еще лучше - ftp)
3. Трафик от всяких торрентов - порезать скорость через QoS, при вопросах - валить на провайдера
4. Естественно, ежедневный бэкап пользовательских документов

Или дополнительно можно рабочее окружение вынести на виртуалку, к которой он будет цепляться по RDP, а с ноутбуком пусть делает что хочет (при этом сам ноут не будет иметь доступ ни к каким ресурсам корп.сети).
Alex_Golovin
Прекрасно то, что ТС не отвечает на обращённые к нему вопросы.
Это верный путь.
Alex_Golovin
А если ноутбук подцепить к сети через роутер, а все файловые шары вынести на ftp. Это не вариант? У меня пришлые пользователи цепляются к wi-fi роутеру и сеть не видят, только интернет. Пока проблем ни у кого не было.
Alex_Golovin
Если позволяют ресурсы- вирталку и режим совмещения рабочих столов, а там можно и виртуальный диск бэкапить, что б меньше ему гавно починять.
Если ресурсы не позволяют разделение прав на папки, но может не помочь.