Дайте идеи, как не давать права админа неумному но высокому начальнику
14187
22
Alex_Golovin
experienced
Добрый вечер.
Пришла беда, откуда не ждали. Новый исполнительный директор хочет их - права суперпользователя. Хочет для не связанных с работой вещей, как он сам признавался - поставить софт для технического анализа и игры на биржах. Ну а там и торренты подтянутся, и прочий шлак. То есть мой геморрой. Административно ничего не сделать - с генеральным он на вась-вась, мои "положение по защите данных" и "рабочую инструкцию сисадмина" даже рассматривать не стали, не то что подписывать.
Нужно или убедить, почему это не стоит делать, или сделать демонстрацию - поставить кейлоггер, слить его данные, залочить ему комп и т.д. Второе в случае, если первая часть не окажет воздействия. То есть сначала убеждаем (нужны ссылки на законы, ФЗ о персональных данных и т.п.), а если туго - то наглядно демонстрируем последствия. Сначала восстановимые, потом по ситуации.
Как бы потоньше на этом лезвии пройти? Жду советов. Совет увольняться считаем, что уже прозвучал и не озвучиваем повторно.
Пришла беда, откуда не ждали. Новый исполнительный директор хочет их - права суперпользователя. Хочет для не связанных с работой вещей, как он сам признавался - поставить софт для технического анализа и игры на биржах. Ну а там и торренты подтянутся, и прочий шлак. То есть мой геморрой. Административно ничего не сделать - с генеральным он на вась-вась, мои "положение по защите данных" и "рабочую инструкцию сисадмина" даже рассматривать не стали, не то что подписывать.
Нужно или убедить, почему это не стоит делать, или сделать демонстрацию - поставить кейлоггер, слить его данные, залочить ему комп и т.д. Второе в случае, если первая часть не окажет воздействия. То есть сначала убеждаем (нужны ссылки на законы, ФЗ о персональных данных и т.п.), а если туго - то наглядно демонстрируем последствия. Сначала восстановимые, потом по ситуации.
Как бы потоньше на этом лезвии пройти? Жду советов. Совет увольняться считаем, что уже прозвучал и не озвучиваем повторно.
maxxx
guru
Предложите ему принести свой ноутбук и на него все поставить.
Я бы так сделал.
Я бы так сделал.
Alex_Golovin
experienced
'Да что я буду его туда-сюда таскать" был мне ответ.
Что-то с идеями у народа не густо. Хотя наверняка все попадали в такую ситуацию с VIP ами.
Что-то с идеями у народа не густо. Хотя наверняка все попадали в такую ситуацию с VIP ами.
hck
junior
Если сеть доменная используйте GPO. Всегда можно списать многие вещи почему что-то не встает на повышенную систему безопасности корпоративного продукта... и давить на то, что это встроено в корпоративные версии (в моих случаях всегда прокатывало, особенно если учесть, что сам директор таким софтом не пользуется и для которого важна репутация!) Сейчас с этим у меня вообще все просто, приходит человек пишет, что ему нужно для работы, остальное даже не обсуждается, ровно как и права админа которые имеют 4 человека отдела IT. Пишется письмо на имя директора и покупается нужный софт, права у всех только пользовательские, в очень редком случае даются права локального админа как пример бухгалтерия и ее софт который не всегда хочет работать без таких прав) если не поможет то пишите письмо (служебная записка) на имя директора, что в связи с требованием нового зама прав админа, системный администратор ФИО просит разрешения директора ФИО дать такие права конкретному сотруднику компании после чего системный администратор не несет ответственности за установленный софт на машине конкретного пользователя а так же за работоспособность данного компьютера, а так же за возможный причиненный вред который может принести пользователь и зараженный им компьютер локальной сети организации и третьим лицам. Да... не забудте зарегистрировать письмо у секретаря директора, копия после подписи директора должна остаться у Вас. Если директор адекватный то он не даст такого разрешения не зависимо от его отношений с замом.Ну и конечно же стоит закрыть порты на шлюзе кроме самых необходимых. После чего думаю пыл у зама сойдет на нет... а у Вас будет прикрыт зад от возможных неприятностей на тему не лицензионного ПО,хотя нервишки в случае проверки конечно потреплют, но не посадят.
Alex_Golovin
experienced
копия после подписи директора должна остаться у Вас..Вот этого не будет.
Felix666
v.i.p.
Я вижу только изоляцию такого компа от корп сети. Может быть поставить доп. АРМ, с выходом наружу, пусть на нем развлекается.
KSergey
guru
Не понятно чем именно вам не нравится идея дать ему права суперпользователя? чем именно вам оно мешает?
Залить весь софт какой надо, сделать образ - и при любых проблемах - тупо разворачивать образ назад, вот и всё. Нужен ему интернет - отделить от общей сети и пусть интернетит сколько угодно, канал можно подрезать, если боитесь торрентов. Хуже, если при этом ему нужен доступ к внутренним сетевым ресурсам - но и тут вроде можно аккуратно проточить дырочки, хотя, конечно, уже не так надёжно, особенно если нужен доступ к файлам в сети.
Воспитывать вышестоящего по должности в плане "что ему делать", придумывать для него инструкци - смысла особого нет, по-моему.
Залить весь софт какой надо, сделать образ - и при любых проблемах - тупо разворачивать образ назад, вот и всё. Нужен ему интернет - отделить от общей сети и пусть интернетит сколько угодно, канал можно подрезать, если боитесь торрентов. Хуже, если при этом ему нужен доступ к внутренним сетевым ресурсам - но и тут вроде можно аккуратно проточить дырочки, хотя, конечно, уже не так надёжно, особенно если нужен доступ к файлам в сети.
Воспитывать вышестоящего по должности в плане "что ему делать", придумывать для него инструкци - смысла особого нет, по-моему.
Сейчас читают
Девоньки, а вот кому женишка хорошего?
10865
127
ICQ и QIP
40860
208
Рассмотрим HTPC как замена ЭГ'шному setTopBox'у
7276
42
hck
junior
В принципе не важно будет она подписана или нет важно чтоб бумагу зарегистрировала секретарь в журнале регистраций, а копию оставить себе с отметкой порядкового № и датой регистрации. В таком случае директор будет обязан ответить, либо разрешить либо отказать.Или отправить Вас на рекрутинговый сайт...в любом случае 50-50 проблемы у вас или будут или нет. Ну а если не хотите чтоб руководство сильно Вас докучало, можно попросить кого нибудь из знакомых позвонить от имени компании скажем Microsoft и составить разговор в таком ключе " смотрели аналитику продаж в Новосибирске и обратили внимание что за последние 3 года ваша компания не приобрела ни одного продукта нашей компании. Ваша организация вся работает на Linux ?" После этого поверьте директор забудет про своего нового зама, он будет искать варианты приобрести хоть что нибудь от компании microsoft итд... а так же озаботится тем, что могут и другие так же позвонить, а то и просто инициировать проверку из прокуратуры.копия после подписи директора должна остаться у Вас..Вот этого не будет.
Chuck_Norris
v.i.p.
Проблема высосанная из пальца - права дать, порты наружу закрыть, в том числе торренты, можно в правилах закрыть конкретные сайты, опять же начальство может быть только в одном лице, либо в нескольких, но которые принимают решения согласовано - т.е. когда некоторые сотрудники фирм-клиентов просят расширенный доступ - всегда довожу про это либо собственников компании, либо других директоров, всегда здравый смысл побеждает,
как вариант, предложить написать написать список софта, установить для него, еще момент - если просит права, значит он знает ЧТО просит, квалификацию можно проверить в нейтральном разговоре
как вариант, предложить написать написать список софта, установить для него, еще момент - если просит права, значит он знает ЧТО просит, квалификацию можно проверить в нейтральном разговоре
Alex_Golovin
experienced
Я вижу только изоляцию такого компа от корп сетиУвы.
Может быть поставить доп. АРМ, с выходом наружу, пусть на нем развлекается.То же, что и "свой ноут". Нет.
Alex_Golovin
experienced
чтоб бумагу зарегистрировала секретарь в журнале регистраций, а копию оставить себе с отметкой порядкового № и датой регистрации.Организация маленькая, секретаря нету.
После этого поверьте директор забудет про своего нового замаДиректор в другом городе, это филиал.
Alex_Golovin
experienced
предложить написать написать список софтаЕще разочек: никто с бумажками не заморачивается.
если просит права, значит он знает ЧТО проситПросит пароль админа, потому что при установке ему выдается UAC-окно. И какова же тут квалификация?
Felix666
v.i.p.
А если логи прокси в конце месяца положить генералу? Дескать, вот это шишечка - это трафик всего филиала, а вот эта гора - трафик этого чувака. Ну и дать локального админа, на остальных ресурсах зарезать права (если еще не зарезаны), напилить портов на проксе и сидеть вдумчиво писать концепцию ИБ.
Felix666
v.i.p.
Да, и служебку генералу обязательно послать, дескать так и так, повышенные права юзера несут такие-то риски, прошу согласовать этот доступ. Служебку в рамочку.
KSergey
guru
Подождите, ветку вы начали с прав админа для пользователя.
Теперь рассказываете всего лишь про UAC-окно.
Так что надо на самом деле?
И главное, почему всё же вы противитесь? в самом деле не понятно.
Если это ваш непосредственный начальник (не зависимо от размера компании) - то вообще нефик субординацию нарушать.
Если начальник другой - доводите до сведения: мне для качественного исполнения своих обязанностей требуется соблюдение от пользователями таких-то правил. Такой-то сотрудник просит эти правила нарушить, что приведёт к таким-то и таким-то последствиям (ну вы же противитесь, значит последствия знаете и в терминах вреда для компании, а не собственного геморроя, можете озвучить?). А далее пусть будет ответ: даёт руководитель добро или нет. И всего делов-то.
Бумаги, понятно, не будет в небольшой компании, но слова будут, для себя зафиксировать дату, время, быть может записать, ибо разговор через пол-года непременно забудется.
и всё же ваши мотивы хотелось бы услышать. Ибо так и не понятно чем вам мешают торренты. (только ен надо говорить/думать "не знаешь чем мешают - чё лезешь, неграмотный", ибо вам ведь мешает, не мне, поэтому и хотелось бы ваши аргументы услышать, тогда будут понятны варианты решения этих (пока гипотетических) проблем. Либо можно уже более предметные формулировки обсуждать в терминах "чем это вредит компании" (а другого директор и не поймёт).
Теперь рассказываете всего лишь про UAC-окно.
Так что надо на самом деле?
И главное, почему всё же вы противитесь? в самом деле не понятно.
Если это ваш непосредственный начальник (не зависимо от размера компании) - то вообще нефик субординацию нарушать.
Если начальник другой - доводите до сведения: мне для качественного исполнения своих обязанностей требуется соблюдение от пользователями таких-то правил. Такой-то сотрудник просит эти правила нарушить, что приведёт к таким-то и таким-то последствиям (ну вы же противитесь, значит последствия знаете и в терминах вреда для компании, а не собственного геморроя, можете озвучить?). А далее пусть будет ответ: даёт руководитель добро или нет. И всего делов-то.
Бумаги, понятно, не будет в небольшой компании, но слова будут, для себя зафиксировать дату, время, быть может записать, ибо разговор через пол-года непременно забудется.
и всё же ваши мотивы хотелось бы услышать. Ибо так и не понятно чем вам мешают торренты. (только ен надо говорить/думать "не знаешь чем мешают - чё лезешь, неграмотный", ибо вам ведь мешает, не мне, поэтому и хотелось бы ваши аргументы услышать, тогда будут понятны варианты решения этих (пока гипотетических) проблем. Либо можно уже более предметные формулировки обсуждать в терминах "чем это вредит компании" (а другого директор и не поймёт).
hck
junior
Выскакивания UAK не говорит о его квалификации ровным счетом ни чего, Вам дали советов "Воз и маленькую тележку" И Вам ни чего не подходит... думаю любой на Вашем месте использовал хотя бы один. Хотя на войне как на войне все средства хороши, а раз не знаете что применить используйте метод перебора советоводин, но стрельнет! Я при очень многолетнем опыте в данной ситуации не знаю, что Вам подсказать более, тем более что все, что нужно уже Вам написали.
zorgy_1979
junior
Поставить вопрос перед гендиром. Мол так и так. Просит много прав. Даю. Но в случае какого сбоя прошу ответственность с себя за то что он наворотит снять. И в любом случае при любых косяках всегда можно отмазаться. Мол большое руководство приняло решение о наличии такого сбоя в сети. И сбой это не сбой инновация в работе от большого начальника. По мне так жизнь изза этого станет даже проще.
Alex_Golovin
experienced
Не подпишут. Писал уже.
Итальянец
activist
Автор, я бы сделал так.
1. Установка и настройка эталона, снятие образа
2. Вывести комп из домена, но дать доступ к шарам (или еще лучше - ftp)
3. Трафик от всяких торрентов - порезать скорость через QoS, при вопросах - валить на провайдера
4. Естественно, ежедневный бэкап пользовательских документов
Или дополнительно можно рабочее окружение вынести на виртуалку, к которой он будет цепляться по RDP, а с ноутбуком пусть делает что хочет (при этом сам ноут не будет иметь доступ ни к каким ресурсам корп.сети).
1. Установка и настройка эталона, снятие образа
2. Вывести комп из домена, но дать доступ к шарам (или еще лучше - ftp)
3. Трафик от всяких торрентов - порезать скорость через QoS, при вопросах - валить на провайдера
4. Естественно, ежедневный бэкап пользовательских документов
Или дополнительно можно рабочее окружение вынести на виртуалку, к которой он будет цепляться по RDP, а с ноутбуком пусть делает что хочет (при этом сам ноут не будет иметь доступ ни к каким ресурсам корп.сети).
KSergey
guru
Прекрасно то, что ТС не отвечает на обращённые к нему вопросы.
Это верный путь.
Это верный путь.
шейпер
experienced
А если ноутбук подцепить к сети через роутер, а все файловые шары вынести на ftp. Это не вариант? У меня пришлые пользователи цепляются к wi-fi роутеру и сеть не видят, только интернет. Пока проблем ни у кого не было.
polzovatelxs
junior
Если позволяют ресурсы- вирталку и режим совмещения рабочих столов, а там можно и виртуальный диск бэкапить, что б меньше ему гавно починять.
Если ресурсы не позволяют разделение прав на папки, но может не помочь.
Если ресурсы не позволяют разделение прав на папки, но может не помочь.