Munkahelyi gépeden van admin jogod?

Címkék

Van és én felelek mások gépéért is (olyanoknak is van (∃ vagy ∀), akik nem felelnek)
11% (50 szavazat)
Van, mert én felelek mások gépéért is (akik nem felelnek mások gépéért, azoknak nincs)
14% (67 szavazat)
Van, pedig nem felelek mások gépéért
47% (218 szavazat)
Nincs, pedig felelek mások gépéért is
0% (1 szavazat)
Nincs, nem felelek mások gépéért
10% (47 szavazat)
Van, mert BYOD
5% (22 szavazat)
Van, mert otthonról dolgozom
9% (41 szavazat)
Egyéb, leírom hozzászoólásban
1% (7 szavazat)
Nem dolgozom / nem számítógéppel dolgozom
3% (15 szavazat)
Összes szavazat: 468

Hozzászólások

Pár hónapja még volt, aztán kiszerveztek minket. Nyártól már egy India cég viszi a bulit. Szépen lassan vesznek vissza mindent Még az AD-ben a saját országomban pár dolgot megtudok csinálni meg az Azurban. De lassan nekem is ticketet kell írnom ha egy nyomtatót szeretnék felrakatni a gépemre.

Pár éve teljesen jól működött, hogy mindenkinek admin joga volt. A felhasználók éretten kezelték minimális probléma volt. Aztán elindult a kiszervezési mizéria és azóta veszegetik vissza a jogokat. Lehet csak kicsit magam alatt vagyok azért rinyálok most de szerintem ha a munkavállaló tájékoztatva van a felhasználás veszélyeiről és egy normális emberről van szó minden további nélkül adható neki admin jog a saját gépén. Most az én cégem ahol még nyárig vagyok abba az irányba indult, hogy a java frissítéshez és ticket a supportnak a nyomtató telepítéshez is ticket a supportnak a felhasználó szabadságot teljesen visszavágták. A fejesek biztos tudják az okát. Szerény véleményem szerint egy jó melóhelyen mindenkinek ott az admin jog. Csak úgy lehet belakni egy gépet, hogy neked megfelelő legyen.

az indok általában az hogy:
csak úgy lehet megvédeni (vagy akár csak hitelt érdemlően felügyelni) egy gépet, ha a usernek nincsenek admin jogai.

Azzal nem értek egyet hogy ez jó megoldás, mert ez a user hozzáértésétől, felelősségi körétől, és a szándékától függ.

"titkárnő" szintű felhasználó esetében pl teljesen jó, hogy nincs admin joga.
"biztonsági szakértő" esetében viszont egész egyszerűen röhelyes, ha más akar a gépére vigyázni.

--
zrubi.hu

Háát minél több szempontot viszel be annál bonyolultabb lesz a rendszered és vele együtt az átláthatóságból is veszítesz. Ha csak a hálózatra és a netre koncentrálsz jóval kisebb erőforrások kellenek a rendszerhez. Épp ezért szerintem nem kell osztályozni a felhasználókat csak tájékoztatni a veszélyekről és felhívni a figyelmét a körtekintő használatra (olyan melóhelyen ahol értelmes emberek melóznak).

De értem az álláspontod és dolgoztam olyan helyen ahol az éjszaki műszakban fullba ment a pornó még mi ezt le nem vágtuk és bizony ott vissza is kellett venni a jogokat, mert a csávókámból nem nézted ki a 8 általánost se de közben egy power user volt aki már korlátozott jogokkal is képes volt bűvészkedni. És a pornó nézéshez kellően motiváltak voltak, hogy ahol tudják kerüljék a tűzfalunkat és hozzáférjenek a kívánt tartalomhoz.

Aztán elindult a kiszervezési mizéria és azóta veszegetik vissza a jogokat.
Nyugtasson a gondolat, hogy az Indiába való kiszervezés csak ideiglenes. Az rendben van, hogy a munkaerő olcsó, de sokkal kevesebb hozzáadott értéket képviselnek (sajnos vagy nem sajnos), mint a többi ország az EU-ban. Több nagy (telekommunikációs) cég kiszervezte már korábban a munkát, de tavaly vissza is jött tőlük, ezért van most ott ennyi felszabadult FTE.

Nem féltetlenül.
Nálunk ez szerver (esetleg nyomtató szinten) van lekezelve, s nincs 3rd party telepítve az image-ünkbe.

Nyomtatók vannak betéve egy közös poolba, akármelyikhez is megyek az épületbe és beloginolok, tudok nyomtatni.
A nyomtató pool-t fel tudod venni a gépeden és megy, driver telepítés nélkül (a drivert a szerverről húzza ha kell). Tudom, mert kapott a gépem olyan image-et amiben biztosan nincs benne a lokál printerek dirver-ja :)

Valószínüleg a belépés pillanatában nem akar 1232382732837 oldalt nyomtatni, de az osztálya azért csak ad támpontot... Tudom van egy ilyen mánia, hogy még besem lépett az ajtón az új ember, azt sem tudja hogy eszik-e vagy isszák a konkrét munkáját, de már nyomtasson, meg mindent csináljon. Hát persze.

nemadmin laci a multkor végigszántotta ransomware-rel a céges hálót

azt mondjuk nem értem, hogy a "local admin" jog és a "felelek más gépekért" szituációknak mi közük van egymáshoz...

--
zrubi.hu

Pl servicedesk, kell admin jog ahhoz, hogy más gépén megcsináljak eztazt, meg a szerveren eztazt beállítsak(de csak bizonyos keretek között, pl egy ip címet lefoglalhatok fixen a nyomtatónak és senki se szól, de pl ha hirtelen átírnám a címtartomány akkor kivégzés lenne) a gépemen általában sima userként vagyok bejelentkezve, de van saját admin fiókom + exchange/o365 admin fiókom is van

Technikailag valóban nincs. Munkaszervezés szempontjából viszont valószínűleg van. A kérdező meg gondolom arra kíváncsi.

(Írhattam volna azt is, hogy próbálja felderíteni, hogy ahol nincs szigorúan elvéve a local admin, ott milyen elvek mentén szokás ezt megadni. Meg általában milyen az aránya a szigorú és nem annyira szigorú helyeknek. Az elkülönítést meg azon elv mentén csinálja, hogy aki felel a gépekért általában annak kezelni kell a sajátját is. [Bár ezt a feltételezést is vissza ellenőrzi. Érdekes, hogy volt is rá egy szavazat eddig] )

Zavard össze a világot: mosolyogj hétfőn.

AD-n keresztuli admin jog a gepeken, de van domain admin is arra az esetre ha kene (van kb 6 usernevem es kb 8 jelszavam), elegge sysadmin oldali helpdesk vagyunk :D itt ha kell valami akkor azonnal kell, jo indok kell, hozza, hogy valami tobb oran keresztul tartson, kb 4 hete vagyok itt es meg mindig keverem a userneveim es jelszavaim reggelente

Akkor dupláz, ha elküldted a hozzászólást, de valamiért néhány 5-10 esetleg 20 másodpercen belül nem jelenik meg, de a beküldés gomb még aktív és te rányomsz még egyet.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Előző munkahelyemen volt, de csak azoknak akik használtak régi legacy programokat amik igényelték ezt szarul kódoltságukból kifolyólag.

Új munkahelyemen nincs admin jogom a gépemen, viszont jump szerverre fel tudok menni ahol folyamatosan dolgoznom kell, ott viszont teljes körű admin vagyok a useremmel.

Az admint ugy kell erteni, hogy maganak a usernek van admin joga,
vagy pedig tud a felhasznalo egy olyan felhasznalonev/pass parost,
akinek van admin joga, hogyha telepiteni akar valamit?

Az utobbi eset az kb. a sudo linux alatt.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Szerintem adminnak kell tekinteni bármilyen módszert ami ezt lehetővé teszi, amennyiben az megfelel a cég szabályzatainak és szándékainak. (Más szóval a meghekkeltem, elloptam, elfelejtkeztek róla és tárasin kívül minden más admin jognak minősül. Így tehát az is ha egy felhasználó több különböző szintű bejelentkezéssel rendelkezik a rendszerhez (már amennyiben ezekhez a hozzáférést ténylegesen megkapta).

Zavard össze a világot: mosolyogj hétfőn.

Lehet, hogy arra gondol, hogy telefonon sem kell az átlagparas.. izé, átlagember számára sudo jog. A lényeg, hogy legyen egy olyan entitás (gyártó cég, helyi rendszergazda, stb) ami jogosul megnyomni azt a gombot is aminek a megnyomásához több ész kell mint nekem van.

Autós példa ugyanerre a kérdésre: szoktad-e, és szabad-e neked a céges autódat otthon a garázsodban a saját szerszámkészleteddel motorgenerálozni?

Az android komoly disztró? :-)

Amúgy én a sudo jogot a népnek híve vagyok, mert hogy magamat is a nép közé sorolom, - de aztán elnézve a népet az utcán, hát, lehet, hogy jobban járnak ha nincs joguk hülyeségeket csinálni. Sajnos.

Hogy egy sima (RHEL, Debian, Fedora, Ubuntu, stb) disztróban a sudo ördögtől való, az szerintem nettó marhaság, ezért írtam, hogy telefonon tudom elképzelni, hogy jobb ha a felhasználó nem kap ilyen hatékony eszközt a kezébe.

> Az android komoly disztró? :-)

Az android szerintem nem disztró, teljesen más a userlandje. Ráadásul ott egész undorító módon a saját eszközödben nem mondhatod, hogy én okosabb vagyok, nem cég-alkalmazott, hanem gyártó-tulajdonos viszony van, ami sokkal undibb, szóval szerintem kötelező sudo jogot az androidra.

su != sudo

sudo nélkül simán össze tudsz rakni egy rendszert, a su viszont alap program. A sudoban a legveszélyesebb a configja amibe konkrétan bármit be tudsz írni.

A su ezzel szemben annyit csinál, hogy szeretnék egy másik user lenni (default a root), és ad password promptot.

su != sudo
LOL
taníts, még.

sudo nélkül simán össze tudsz rakni egy rendszert, a su viszont alap program.
Könyörgöm, a su használatához kell a másik user jelszava.
EZ a veszélyes! Hiszen ez akkor már egy shared secret, amit mindenkinek tudni kell, akinek az adott privilégiumra szüksége lenne.

A sudo-nál a saját usered a saját jelszavával tud privilégium emelést elérni, táhát nincs shared secret probléma.

Veszélyes?
persze, a konyhakéssel is el tudod vágni az újjadat - ha béna vagy.

szvsz, aki nem ért hozzá, ne üzemeltessen multi user szervert.

Továbbra is várom, a "komoly diszró" megnevezését,
meg a sudo helyetti privilégium emelési megoldást.

köszi.
--
zrubi.hu

A "komoly distroknak" erre nincs alapértelmezésük. Debian telepítéskor megkérdezi, hogy "engedélyezed-e a root bejelentkezést" A válaszodtól függen felteszi a sudo-t vagy nem.

Nem dönt helyetted. ;) Azt a win-style distrok (next-next-finish) csinálják, hogy a user válláról levegyék a gondolkodás terhét.

---
"A megoldásra kell koncentrálni nem a problémára."

"A sudoban a legveszélyesebb a configja amibe konkrétan bármit be tudsz írni."

Ez ebben a formában nem igaz, sem a mondat első-, sem a második fele.

Az egész sudo nem fog működni (és rohadt sok mailt küld a rootnak) ha sudoers, vagy sudoers.d/* valamelyikének a jogai 440-nál nagyobb. Ahhoz hogy írni tudd root-nak kell lenned, de olvasni sem tudja az egyszerü paraszt.

Tartalmilag pedig komoly megkötések vannak rá, szóval bármit beleírás sem áll meg.

Továbbá adhatsz úgy jogot usernek, hogy csak az a user, csak azt a parancsot adhatja ki, csak az általad meghatározott paraméterekkel, a sudoval, saját jelszavát használva.
Szerintem ez kevésbé veszélyes mint megadni a root jelszavát a su-hoz, és megesketni hogy használat után felejtse el. ;)

---
"A megoldásra kell koncentrálni nem a problémára."

egyéb:
van saját gépen, máséért nem felelek, másén nincs ilyen jogom

Office gépen nincs, termelésben lévőkön van.

Detto. Ahol kell admin jog, ott van. Ahol nem kell, ott nincs, és ez így van jól.
Az egyetlen gondom hogy az Office gépen amikor feljön, hogy a Windows szeretne meghalni egy kicsit mert a frissítés anélkül nem buli, és csak 4 óráig tudom elhalasztani, akkor az agyf4sz.
Nem azért, mert akkor és ott annyira fáj, hanem mert erőszakos és szánalmas.

Hiányzik a "Van, és nem felelek mások gépéért"

Nem. És nem ez az első eset, hogy értelmezhetetlen dolgokat írsz.
A pedig-gel sikerült egy olyan negatív konnotációt odabiggyesztened, amivel degradálod az igényt az admin jogra.

Nekem kell a lokális amdin jog, ÉS nincs máshol, mert máshova nem kell.
Na, ilyen válaszlehetőség nincs. Amit te magyarázol, az nem igaz.

én asszem csak állami szférában találkoztam csak olyannal, hogy nem volt. de ott tiltva voltak weblapok is, de talán a gmail is, már nem emlékszem pontosan.

sudo jog szoftver telepítéshez, update-hez, egyéb szükséges mindennapi feladatokhoz.
--
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods

A desktopomon nincs, céges policy, de az összes szakmai szolgáltatást adó szerveren sudo -m van.

Szóval portable(!) puttyal lépek be a szerverre adminkodni.

418 szavazat, <2% osszesen 7 szavazott "Egyeb, leirom hozzaszolasban"-ra. Ebbol ketten ti vagytok az autista intezetbol a szobatarsaddal fentebb. A maradek 5 semmikeppen sem 612. De majd legkozelebb irj ki te egy szavazast, hatha annak az opcioiba senki nem kot bele. (Hupkon ez egy igazi challenge).

(Szerintem amugy Aaadaam se egyebet ikszelt, de ez most mindegy)

Én konkrétan nem is ikszeltem csak leírtam, mert azért valahol nem tudom hogy röhögjek vagy sírjak a szitun :)

Felajánlották h kiléptetnek domainből, de akkor pár smb fájlt nem érnék el, kb ennyi lenne a változás, meg az outlookot újra kéne configolni. Mondjuk f.sznak tartunk dolgokat smb-n eleve, de ez már más kérdés, nyilván a többieknek kényelmesebb.

Van saját gépem a saját cégemnél, ami természetesen mac, de az egyik állami ügyfél nem beszállítói szerződést kötött mint a többiek hanem felvett részmunkaidőbe. Állami ügyfél, sok bürokrácia, Word és Excel nagyerőkkel.

Csak közbe azok akik eddig ott szakmai informatikát csináltak elmentek, és bár baromira nem ez volt az utóbbi években az aktív területem, futó szolgáltatást még el tudok üzemeltetgetni linuxon (debian legfrissebb stable), meg tudok értelmes lekérdezéseket írni postgresben, ill. bele tudok nyúlni a php / python kódokba (sőt, elf disassemblerrel akár c-be is). Nem kedvtelésből teszem, de más nem teszi, valakinek meg muszáj.

Szóval csinálom ezt is amellett, hogy több projekten én vezetem a tervezést (ideértve az üzleti elemzést, rendszerszervezést, de a klasszikus service design, ux, ui területeket is) náluk is meg más ügyfeleknél is.

Jelenleg nincs és másfél év alatt nagyjából 2 vagy 3 alkalommal kellett volna. De nem felelek más gépéért.

Előző munkahelyemen rendelkeztem domain admin jogkörökkel, saját gépemen nem voltam local admin. Nagyjából hasonló rendszerességgel kellett elevált jog, mint most.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Van admin jogom.
De ha nem lenne, akkor is lenne. ;)

---
"A megoldásra kell koncentrálni nem a problémára."