Munkahelyi gépeden van admin jogod?

 ( carlcolt | 2019. február 27., szerda - 21:45 )
Van és én felelek mások gépéért is (olyanoknak is van (∃ vagy ∀), akik nem felelnek)
11% (50 szavazat)
Van, mert én felelek mások gépéért is (akik nem felelnek mások gépéért, azoknak nincs)
14% (67 szavazat)
Van, pedig nem felelek mások gépéért
47% (218 szavazat)
Nincs, pedig felelek mások gépéért is
0% (1 szavazat)
Nincs, nem felelek mások gépéért
10% (47 szavazat)
Van, mert BYOD
5% (22 szavazat)
Van, mert otthonról dolgozom
9% (41 szavazat)
Egyéb, leírom hozzászoólásban
1% (7 szavazat)
Nem dolgozom / nem számítógéppel dolgozom
3% (15 szavazat)
Összes szavazat: 468

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Pár hónapja még volt, aztán kiszerveztek minket. Nyártól már egy India cég viszi a bulit. Szépen lassan vesznek vissza mindent Még az AD-ben a saját országomban pár dolgot megtudok csinálni meg az Azurban. De lassan nekem is ticketet kell írnom ha egy nyomtatót szeretnék felrakatni a gépemre.

Azért az általad elérhető nyomtatóknak bydefault elérhetőnek kéne lennie, nem neked kéne keresgélni.

Pár éve teljesen jól működött, hogy mindenkinek admin joga volt. A felhasználók éretten kezelték minimális probléma volt. Aztán elindult a kiszervezési mizéria és azóta veszegetik vissza a jogokat. Lehet csak kicsit magam alatt vagyok azért rinyálok most de szerintem ha a munkavállaló tájékoztatva van a felhasználás veszélyeiről és egy normális emberről van szó minden további nélkül adható neki admin jog a saját gépén. Most az én cégem ahol még nyárig vagyok abba az irányba indult, hogy a java frissítéshez és ticket a supportnak a nyomtató telepítéshez is ticket a supportnak a felhasználó szabadságot teljesen visszavágták. A fejesek biztos tudják az okát. Szerény véleményem szerint egy jó melóhelyen mindenkinek ott az admin jog. Csak úgy lehet belakni egy gépet, hogy neked megfelelő legyen.

az indok általában az hogy:
csak úgy lehet megvédeni (vagy akár csak hitelt érdemlően felügyelni) egy gépet, ha a usernek nincsenek admin jogai.

Azzal nem értek egyet hogy ez jó megoldás, mert ez a user hozzáértésétől, felelősségi körétől, és a szándékától függ.

"titkárnő" szintű felhasználó esetében pl teljesen jó, hogy nincs admin joga.
"biztonsági szakértő" esetében viszont egész egyszerűen röhelyes, ha más akar a gépére vigyázni.

--
zrubi.hu

Háát minél több szempontot viszel be annál bonyolultabb lesz a rendszered és vele együtt az átláthatóságból is veszítesz. Ha csak a hálózatra és a netre koncentrálsz jóval kisebb erőforrások kellenek a rendszerhez. Épp ezért szerintem nem kell osztályozni a felhasználókat csak tájékoztatni a veszélyekről és felhívni a figyelmét a körtekintő használatra (olyan melóhelyen ahol értelmes emberek melóznak).

De értem az álláspontod és dolgoztam olyan helyen ahol az éjszaki műszakban fullba ment a pornó még mi ezt le nem vágtuk és bizony ott vissza is kellett venni a jogokat, mert a csávókámból nem nézted ki a 8 általánost se de közben egy power user volt aki már korlátozott jogokkal is képes volt bűvészkedni. És a pornó nézéshez kellően motiváltak voltak, hogy ahol tudják kerüljék a tűzfalunkat és hozzáférjenek a kívánt tartalomhoz.

Aztán elindult a kiszervezési mizéria és azóta veszegetik vissza a jogokat.
Nyugtasson a gondolat, hogy az Indiába való kiszervezés csak ideiglenes. Az rendben van, hogy a munkaerő olcsó, de sokkal kevesebb hozzáadott értéket képviselnek (sajnos vagy nem sajnos), mint a többi ország az EU-ban. Több nagy (telekommunikációs) cég kiszervezte már korábban a munkát, de tavaly vissza is jött tőlük, ezért van most ott ennyi felszabadult FTE.

Ezt, ha egy irodaházban van 30 nyomtató és a belépés pillanatában nem tudod, hogy a kolléga hol fog ülni, akkor annyira nem triviális megoldani, felhasználói interakció nélkül.

elküldöm a poolba a nyomtatnivalót
odamegyek akármelyik nyomtatóhoz
belépek kártyával vagy bepötyögöm az user/pass párost
nyomtatok
kilépek

Nem egy űrtudomány.

Ugye ehhez kell, hogy legyen gyártói megoldás a gépeken, amit nem feltétlenül vesznek meg, ha nincs nagymennyiségű nyomtatás.

Nem féltetlenül.
Nálunk ez szerver (esetleg nyomtató szinten) van lekezelve, s nincs 3rd party telepítve az image-ünkbe.

Nyomtatók vannak betéve egy közös poolba, akármelyikhez is megyek az épületbe és beloginolok, tudok nyomtatni.
A nyomtató pool-t fel tudod venni a gépeden és megy, driver telepítés nélkül (a drivert a szerverről húzza ha kell). Tudom, mert kapott a gépem olyan image-et amiben biztosan nincs benne a lokál printerek dirver-ja :)

Valószínüleg a belépés pillanatában nem akar 1232382732837 oldalt nyomtatni, de az osztálya azért csak ad támpontot... Tudom van egy ilyen mánia, hogy még besem lépett az ajtón az új ember, azt sem tudja hogy eszik-e vagy isszák a konkrét munkáját, de már nyomtasson, meg mindent csináljon. Hát persze.

ez akkor lesz szep, mikor az ilyen fiszfasz ticketek miatt nemtudsz dolgozni napokat, a honap vegen meg jon a fonok, hogy "miert nincs meg kesz a project?"

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

https://hup.hu/node/163126

Ebbol a topikbol jott az otlet, leven mindket tabor arca nagy volt, hogy csak ugy jo, ha van/nincs admin joga a fejlesztoknek.

Szerintem is csak úgy a jó (ha van). A hálózaton oldja meg a biztonságot az, akinek ez a feladata. :P

Megoldja majd a GPO, meg megfelelő csoport tagság. :)

nemadmin laci a multkor végigszántotta ransomware-rel a céges hálót

Ez így ismerős.

- Az élet, a világmindenség, meg minden (DA) -

az miben mas mintha nemadminlaci shiftdelt nyom a ceges halon?

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

semmiben. úgy látszik nem találtuk meg azt a paramétert, ami megkülönbözteti a Borzasztóan Komoly Céget a Tonercserélők Réme Gányoldától

Akkor most mégis admin?
Vagy Windoznál sima user is befertőzhet?

https://xkcd.com/1200/

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

azt mondjuk nem értem, hogy a "local admin" jog és a "felelek más gépekért" szituációknak mi közük van egymáshoz...

--
zrubi.hu

Pl servicedesk, kell admin jog ahhoz, hogy más gépén megcsináljak eztazt, meg a szerveren eztazt beállítsak(de csak bizonyos keretek között, pl egy ip címet lefoglalhatok fixen a nyomtatónak és senki se szól, de pl ha hirtelen átírnám a címtartomány akkor kivégzés lenne) a gépemen általában sima userként vagyok bejelentkezve, de van saját admin fiókom + exchange/o365 admin fiókom is van

OK, de ennek mi köze ahhoz hogy a SAJÁT gépeden van-e admin jogod???

szerintem it erősen keveredik a "local admin" meg a windows "domain admin" fogalom...
technikailag ezeknek az ég világon semmi köze egymáshoz.

--
zrubi.hu

Technikailag valóban nincs. Munkaszervezés szempontjából viszont valószínűleg van. A kérdező meg gondolom arra kíváncsi.

(Írhattam volna azt is, hogy próbálja felderíteni, hogy ahol nincs szigorúan elvéve a local admin, ott milyen elvek mentén szokás ezt megadni. Meg általában milyen az aránya a szigorú és nem annyira szigorú helyeknek. Az elkülönítést meg azon elv mentén csinálja, hogy aki felel a gépekért általában annak kezelni kell a sajátját is. [Bár ezt a feltételezést is vissza ellenőrzi. Érdekes, hogy volt is rá egy szavazat eddig] )

Zavard össze a világot: mosolyogj hétfőn.

a kerdezo nem irta, hogy local admin (amim szinten van) vagy AD admin, de nagyon ritka, hogy a local adminhoz kell nyulni

Ezt úgy értsem, hogy domain adminnal menedzseltek? :O

AD-n keresztuli admin jog a gepeken, de van domain admin is arra az esetre ha kene (van kb 6 usernevem es kb 8 jelszavam), elegge sysadmin oldali helpdesk vagyunk :D itt ha kell valami akkor azonnal kell, jo indok kell, hozza, hogy valami tobb oran keresztul tartson, kb 4 hete vagyok itt es meg mindig keverem a userneveim es jelszavaim reggelente

Pedig szerintem elég egyértelmű, hogy ha az a kérdés, hogy a gépeden van-e admin jogod, akkor az local admin. Az AD admin az nem a gépedre vonatkozik, hanem a domainre.

dadog a drupal.

--
zrubi.hu

Akkor dupláz, ha elküldted a hozzászólást, de valamiért néhány 5-10 esetleg 20 másodpercen belül nem jelenik meg, de a beküldés gomb még aktív és te rányomsz még egyet.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Elgondolkodtatónak, annak aki szereti a nagyon szigorítós megoldásokat; az éremnek mindig két oldala van :)
https://mobile.twitter.com/johnlatwc/status/699304590500634625

Hiányolom a GOD jogot. :)

Előző munkahelyemen volt, de csak azoknak akik használtak régi legacy programokat amik igényelték ezt szarul kódoltságukból kifolyólag.

Új munkahelyemen nincs admin jogom a gépemen, viszont jump szerverre fel tudok menni ahol folyamatosan dolgoznom kell, ott viszont teljes körű admin vagyok a useremmel.

Az admint ugy kell erteni, hogy maganak a usernek van admin joga,
vagy pedig tud a felhasznalo egy olyan felhasznalonev/pass parost,
akinek van admin joga, hogyha telepiteni akar valamit?

Az utobbi eset az kb. a sudo linux alatt.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

2019-ben az elobbi eleg ritka. A vitatott policy-k az utobbit is megtagadnak. Ergo utobbi = "van admin jogod" a szavazas szempontjabol.

Szerintem adminnak kell tekinteni bármilyen módszert ami ezt lehetővé teszi, amennyiben az megfelel a cég szabályzatainak és szándékainak. (Más szóval a meghekkeltem, elloptam, elfelejtkeztek róla és tárasin kívül minden más admin jognak minősül. Így tehát az is ha egy felhasználó több különböző szintű bejelentkezéssel rendelkezik a rendszerhez (már amennyiben ezekhez a hozzáférést ténylegesen megkapta).

Zavard össze a világot: mosolyogj hétfőn.

A sudo a legveszélyesebb dolog a Linuxnál.
Sztem
Komoly disztró ellenjavallja.

> A sudo a legveszélyesebb dolog a Linuxnál.

Ezt fejtsd ki kérlek.

> Komoly disztró ellenjavallja.

Erre meg citation needed.

Lehet, hogy arra gondol, hogy telefonon sem kell az átlagparas.. izé, átlagember számára sudo jog. A lényeg, hogy legyen egy olyan entitás (gyártó cég, helyi rendszergazda, stb) ami jogosul megnyomni azt a gombot is aminek a megnyomásához több ész kell mint nekem van.

Autós példa ugyanerre a kérdésre: szoktad-e, és szabad-e neked a céges autódat otthon a garázsodban a saját szerszámkészleteddel motorgenerálozni?

Ezek mind csodaszép kérdések, de arra, amiben reagáltam nem céges számítógépről, hanem linuxról volt szó, és nem helyi szabályokról, hanem komoly disztrókról.

Az android komoly disztró? :-)

Amúgy én a sudo jogot a népnek híve vagyok, mert hogy magamat is a nép közé sorolom, - de aztán elnézve a népet az utcán, hát, lehet, hogy jobban járnak ha nincs joguk hülyeségeket csinálni. Sajnos.

Hogy egy sima (RHEL, Debian, Fedora, Ubuntu, stb) disztróban a sudo ördögtől való, az szerintem nettó marhaság, ezért írtam, hogy telefonon tudom elképzelni, hogy jobb ha a felhasználó nem kap ilyen hatékony eszközt a kezébe.

> Az android komoly disztró? :-)

Az android szerintem nem disztró, teljesen más a userlandje. Ráadásul ott egész undorító módon a saját eszközödben nem mondhatod, hogy én okosabb vagyok, nem cég-alkalmazott, hanem gyártó-tulajdonos viszony van, ami sokkal undibb, szóval szerintem kötelező sudo jogot az androidra.

A sudo a legveszélyesebb dolog a Linuxnál.
Komoly disztró ellenjavallja.

LOL

Kérlek nevezz meg legalább egy ilyen "komoly" disztrót.

Kérlek fejtsd ki, mit használsz/hogy érsz el privilégium emelést sudo nélkül.

Köszönöm.

--
zrubi.hu

su != sudo

sudo nélkül simán össze tudsz rakni egy rendszert, a su viszont alap program. A sudoban a legveszélyesebb a configja amibe konkrétan bármit be tudsz írni.

A su ezzel szemben annyit csinál, hogy szeretnék egy másik user lenni (default a root), és ad password promptot.

Szerintem ezt senki nem keverte ossze. Kell a sudo.

Miért kéne? Ami olyan pl. a passwd ott úgyis be van állítva a suid bit.

Az ubuntu sudo-s baromsága nem a normális működés, hanem egy a macet másoló hákolás.

Raadasul volt mar, hogy userspace program miatt kellett felraknom, ami nem engedte rootkent futtatni magat, de o majd sudozik neked. Eszemben sem volt sudot rakni arra a rendszerre, de nem tehettem mast.

su != sudo
LOL
taníts, még.

sudo nélkül simán össze tudsz rakni egy rendszert, a su viszont alap program.
Könyörgöm, a su használatához kell a másik user jelszava.
EZ a veszélyes! Hiszen ez akkor már egy shared secret, amit mindenkinek tudni kell, akinek az adott privilégiumra szüksége lenne.

A sudo-nál a saját usered a saját jelszavával tud privilégium emelést elérni, táhát nincs shared secret probléma.

Veszélyes?
persze, a konyhakéssel is el tudod vágni az újjadat - ha béna vagy.

szvsz, aki nem ért hozzá, ne üzemeltessen multi user szervert.

Továbbra is várom, a "komoly diszró" megnevezését,
meg a sudo helyetti privilégium emelési megoldást.

köszi.
--
zrubi.hu

Az általad leírt működés egyedül ubuntun alapértelmezett, nagyjából sehol máshol, szóval a komoly distrókat szépen lehetne sorolni. Red Haten, SUSE-n, debianon etc. nem fogsz a saját jelszavaddal root lenni, csak ha beállítod.

> szóval a komoly distrókat szépen lehetne sorolni.

Mármint olyanokat, amik ellenjavallják?

Kösz a megerősítést!
Ha jól emlékszem, Linux Mint-en egészen elképesztő módon, elfelejtett root jelszó után sudo su-val vagy sudo-val
# prompt-ot lehet kapni, amivel aztán jelszót lehet adni a root-nak.

A "komoly distroknak" erre nincs alapértelmezésük. Debian telepítéskor megkérdezi, hogy "engedélyezed-e a root bejelentkezést" A válaszodtól függen felteszi a sudo-t vagy nem.

Nem dönt helyetted. ;) Azt a win-style distrok (next-next-finish) csinálják, hogy a user válláról levegyék a gondolkodás terhét.

---
"A megoldásra kell koncentrálni nem a problémára."

"A sudoban a legveszélyesebb a configja amibe konkrétan bármit be tudsz írni."

Ez ebben a formában nem igaz, sem a mondat első-, sem a második fele.

Az egész sudo nem fog működni (és rohadt sok mailt küld a rootnak) ha sudoers, vagy sudoers.d/* valamelyikének a jogai 440-nál nagyobb. Ahhoz hogy írni tudd root-nak kell lenned, de olvasni sem tudja az egyszerü paraszt.

Tartalmilag pedig komoly megkötések vannak rá, szóval bármit beleírás sem áll meg.

Továbbá adhatsz úgy jogot usernek, hogy csak az a user, csak azt a parancsot adhatja ki, csak az általad meghatározott paraméterekkel, a sudoval, saját jelszavát használva.
Szerintem ez kevésbé veszélyes mint megadni a root jelszavát a su-hoz, és megesketni hogy használat után felejtse el. ;)

---
"A megoldásra kell koncentrálni nem a problémára."

egyéb:
van saját gépen, máséért nem felelek, másén nincs ilyen jogom

és ez mitől egyéb? :)

lehet, nem vettem észre egy sort :/

szerk: de a "van, pedig" sem jó válasz a pedig miatt, mintha itt valami ellentét lenne
"van és nem felelek" lenne a jó, de mindegy

Autism spectrum detected.

Azt ugye tudod, hogy ez nem autizmus?

De

tényleg nem lehet szavazást kiírni :)

Office gépen nincs, termelésben lévőkön van.

Detto. Ahol kell admin jog, ott van. Ahol nem kell, ott nincs, és ez így van jól.
Az egyetlen gondom hogy az Office gépen amikor feljön, hogy a Windows szeretne meghalni egy kicsit mert a frissítés anélkül nem buli, és csak 4 óráig tudom elhalasztani, akkor az agyf4sz.
Nem azért, mert akkor és ott annyira fáj, hanem mert erőszakos és szánalmas.

Hiányzik a "Van, és nem felelek mások gépéért"

Nem hianyzik, mert a "pedig"-es mondat jelentese azzal ekvivalens. A szavazati opciok hangvetele miatt kapott "es" helyett "pedig" szot, de logikailag ugyanugy "es"-t jelent.

Lusta vagyok nektek kikeresni a toloszekikon html entity-jet, hogy jellemezzem vele agyatok mukodeset. ;)

Nem. És nem ez az első eset, hogy értelmezhetetlen dolgokat írsz.
A pedig-gel sikerült egy olyan negatív konnotációt odabiggyesztened, amivel degradálod az igényt az admin jogra.

Nekem kell a lokális amdin jog, ÉS nincs máshol, mert máshova nem kell.
Na, ilyen válaszlehetőség nincs. Amit te magyarázol, az nem igaz.

én asszem csak állami szférában találkoztam csak olyannal, hogy nem volt. de ott tiltva voltak weblapok is, de talán a gmail is, már nem emlékszem pontosan.

sudo jog szoftver telepítéshez, update-hez, egyéb szükséges mindennapi feladatokhoz.
--
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." John F. Woods

A desktopomon nincs, céges policy, de az összes szakmai szolgáltatást adó szerveren sudo -m van.

Szóval portable(!) puttyal lépek be a szerverre adminkodni.

kb 612. opció, amire carlcolt nem gondolt :D
De majd megmagyarázza neked is.

418 szavazat, <2% osszesen 7 szavazott "Egyeb, leirom hozzaszolasban"-ra. Ebbol ketten ti vagytok az autista intezetbol a szobatarsaddal fentebb. A maradek 5 semmikeppen sem 612. De majd legkozelebb irj ki te egy szavazast, hatha annak az opcioiba senki nem kot bele. (Hupkon ez egy igazi challenge).

(Szerintem amugy Aaadaam se egyebet ikszelt, de ez most mindegy)

Én konkrétan nem is ikszeltem csak leírtam, mert azért valahol nem tudom hogy röhögjek vagy sírjak a szitun :)

Felajánlották h kiléptetnek domainből, de akkor pár smb fájlt nem érnék el, kb ennyi lenne a változás, meg az outlookot újra kéne configolni. Mondjuk f.sznak tartunk dolgokat smb-n eleve, de ez már más kérdés, nyilván a többieknek kényelmesebb.

Mar nem Mac-et hasznalsz? Windows mostmar az elsodleges geped?

Van saját gépem a saját cégemnél, ami természetesen mac, de az egyik állami ügyfél nem beszállítói szerződést kötött mint a többiek hanem felvett részmunkaidőbe. Állami ügyfél, sok bürokrácia, Word és Excel nagyerőkkel.

Csak közbe azok akik eddig ott szakmai informatikát csináltak elmentek, és bár baromira nem ez volt az utóbbi években az aktív területem, futó szolgáltatást még el tudok üzemeltetgetni linuxon (debian legfrissebb stable), meg tudok értelmes lekérdezéseket írni postgresben, ill. bele tudok nyúlni a php / python kódokba (sőt, elf disassemblerrel akár c-be is). Nem kedvtelésből teszem, de más nem teszi, valakinek meg muszáj.

Szóval csinálom ezt is amellett, hogy több projekten én vezetem a tervezést (ideértve az üzleti elemzést, rendszerszervezést, de a klasszikus service design, ux, ui területeket is) náluk is meg más ügyfeleknél is.

Jelenleg nincs és másfél év alatt nagyjából 2 vagy 3 alkalommal kellett volna. De nem felelek más gépéért.

Előző munkahelyemen rendelkeztem domain admin jogkörökkel, saját gépemen nem voltam local admin. Nagyjából hasonló rendszerességgel kellett elevált jog, mint most.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Van admin jogom.
De ha nem lenne, akkor is lenne. ;)

---
"A megoldásra kell koncentrálni nem a problémára."