Admin rechten op zakelijke laptop aanvragen

Geen idee waarom dit in TL komt maar het omzeilen van (enterprise-) beveiligingen mag toch niet op GoT?

Alleen "consultancy work" zegt natuurlijk ook niet zo heel veel.

Heb je voorbeelden van "consultancy work" wat vertraging op liep omdat je niet tijdig toegang had tot de juiste tools?

SuperCrisz schreef op vrijdag 28 mei 2021 @ 11:17:
[...]


De vraag gaat niet over het "omzeilen" maar over het "overtuigen" van ICT afdeling om mij admin rechten te geven.

Stuur een aantal linkjes van die aanvragen en geef aan dat het jou en hun veel tijd kost om elke keer die tickets aan te vragen

Vaak willen bedrijven geen admin rechten geven juist om te voorkomen dat mensen zelf met macro's, eigen software enz aan de slag gaan.
Jij maakt iets, je deelt het met een collega, jij gaat weg en IT zit met een bedrijfskritische applicatie zonder het te weten.

Ik zou het inderdaad zo doen als Catch22 zegt en kijken wat daaruit komt.

SuperCrisz schreef op vrijdag 28 mei 2021 @ 11:17:
[...]


De vraag gaat niet over het "omzeilen" maar over het "overtuigen" van ICT afdeling om mij admin rechten te geven.

De enige waterdichte reden die jij kan geven: overtuig jouw leidinggevende / directie ervan dat het ze meer kost in loon / oponthoud / reputatie dat jij je werk regelmatig niet kan doen vs. het ICT-beleid.

Beleid is er om aangepast te worden als het niet meer actueel is ten opzichte van de werkelijkheid.

Deze discussie ken ik maar al te goed, voer het hier ook regelmatig met gebruikers.

Ik luister naar de gebruiker en beoordeel wat er nodig is om de gebruiker zijn/haar werk te laten doen.

Dit kan ik bijvoorbeeld met RunAsTool laten doen waarbij je dan een bepaalde applicatie met local admin rechten kan laten starten, zonder dat jij local admin rechten hebt.

Hiermee komen de gebruikers al een heel eind en kunnen ze in ieder geval verder.

Aan de andere kant, mocht de ICT afdeling er niet uit komen of niet kijken naar een oplossing, dan kan je het escaleren naar je manager waarom jij het nodig hebt. Dat zorgt dan voor druk bij de ICT afdeling wat soms nodig is om iets voor elkaar te krijgen.

Ik werk dus bij de ICT afdeling en een manager in mijn nek hebben is niet fijn, dus ik probeer altijd zelf met de gebruiker uit te komen.

MAX3400 schreef op vrijdag 28 mei 2021 @ 11:19:
[...]

De enige waterdichte reden die jij kan geven: overtuig jouw leidinggevende / directie ervan dat het ze meer kost in loon / oponthoud / reputatie dat jij je werk regelmatig niet kan doen vs. het ICT-beleid.

Beleid is er om aangepast te worden als het niet meer actueel is ten opzichte van de werkelijkheid.

Bij ons is standaard ook alles dichtgetimmerd en mag er helemaal niks. Voor elke scheet moet je een ticket aanmaken (zelfs het embedden van een video in sharepoint ) wat vervolgens lang duurt voordat ze die behandeld hebben. Vaak krijg je dan vaak ook nog "nee" op het rekest omdat het niet past binnen "het beleid". Ik ben niet de enige die hier tegen aanloopt en onze ICT afdeling wordt dan ook vaak als een enorm log apparaat ervaren waar mensen zitten die totaal geen zin hebben om met je mee te denken en zich verschuilen achter beleid. Het invullen en bijhouden van die tickets voelt dan ook vaak als verspilde tijd en moeite.

Spelen via je manager met argumenten waarom je het nodig acht of nuttig acht voor de organisatie die het vervolgens oppakt met de manager ICT is vaak de kortste klap kan ik uit eigen ervaring vertellen.

Niet gehinderd door kennis over je laptop en wát je precies wilt doen, maar zou je geen VirtualBox oid kunnen / mogen gebruiken? Iedereen blij, jij kan doen wat je wilt, zonder admin-rechten op de laptop zélf nodig te hebben.

moppentappers schreef op vrijdag 28 mei 2021 @ 11:19:
Vaak willen bedrijven geen admin rechten geven juist om te voorkomen dat mensen zelf met macro's, eigen software enz aan de slag gaan.
Jij maakt iets, je deelt het met een collega, jij gaat weg en IT zit met een bedrijfskritische applicatie zonder het te weten.

Dat is een reden, maar daarnaast zijn ze ook bang dat gebruikers uit onwetendheid foute software gaan installeren. TS lijkt me niet in de categorie te vallen die op 'klik hier voor gratis software' klikt.

Het is op afstand niet te zeggen wat men precies wil voorkomen, en als TS daar achter zou kunnen komen dan kan hij daar rekening mee houden bij het opstellen van z'n argumentatie.

Lelletje schreef op vrijdag 28 mei 2021 @ 11:28:

Ik werk dus bij de ICT afdeling en een manager in mijn nek hebben is niet fijn, dus ik probeer altijd zelf met de gebruiker uit te komen.

Tja, snap ik. Echter; beleid komt van meerdere kanten en (helaas) hebben uitvoerder (jij) en klant (gebruiker) daar in principe geen zegje over tijdens het aanmaken / oplossen van een incidentje of onhandig permissie-dingetje. Pas als jij meerdere petten op hebt en bijvoorbeeld in het RASCI-model ook de lettertjes R en A mag voeren, dan kan je natuurlijk wel "even" er met de gebruiker uit komen.

Het beleid is dat de gebruiker zelf geen local admin rechten heeft. Maar er zijn uitzonderingen en die worden dan op applicatieniveau opgelost en niet op gebruikersniveau. Hier hou ik me dus aan en mijn manager weet ervan, anders krijgt hij van een andere manager een mailtje waar hij niet op zit te wachten.

Reken je trouwens niet te snel rijk, ik ben zelf local admin maar door gedoe met de proxy zit ik vaak alsnog met een oude privelaptop op het guest netwerk

Yucon schreef op vrijdag 28 mei 2021 @ 11:33:
Reken je trouwens niet te snel rijk, ik ben zelf local admin maar door gedoe met de proxy zit ik vaak alsnog met een oude privelaptop op het guest netwerk

Haha ja ik loop ook wel eens vast in mijn werk en dan tover ik mijn prive-laptop vaak maar weer tevoorschijn waar alles op kan .

SuperCrisz schreef op vrijdag 28 mei 2021 @ 11:46:
tnx voor jullie toevoegingen. Ik heb als volgt gereageerd (in mijn ietwat gebrekkige Engels):

"As consultant I run programs like Anaconda e.g. for scripting. In the past few months I asked for temporary admin rights, but it is time consuming and not necessary as I am a more advanced user and know what I am doing. Other reason is that I am not able to see the processes (task manager) which is handy for my day to day job. I discussed this with my manager, and he understands and does not want that that this is a bottleneck to do my work efficient. So because of that, and since I am a more advanced user , he approved the request. "

En die mail met approval van je manager voeg je dan ook toe als bijlage? Want anders kan iedereen natuurlijk wel roepen dat zijn manager akkoord is

SuperCrisz schreef op vrijdag 28 mei 2021 @ 11:46:
tnx voor jullie toevoegingen. Ik heb als volgt gereageerd (in mijn ietwat gebrekkige Engels):

"As consultant I run programs like Anaconda e.g. for scripting. In the past few months I asked for temporary admin rights, but it is time consuming and not necessary as I am a more advanced user and know what I am doing. Other reason is that I am not able to see the processes (task manager) which is handy for my day to day job. I discussed this with my manager, and he understands and does not want that that this is a bottleneck to do my work efficient. So because of that, and since I am a more advanced user , he approved the request. "

Ik zou het advanced-user gedeelte in z'n geheel weglaten (iedereen vind zichzelf een advanced user), maar volledig gooien op het bottle-neck en time-consuming gedeelte (kortom: je bent zonder admin-rights niet zo effectief als je kunt zijn -> dat jij geen admin-rights hebt kost het bedrijf geld), en de toestemming van je manager. Eigenlijk zou de toestemming van je manager al genoeg moeten zijn, maar ik weet uit ervaring dat IT-afdelingen daar soms idd anders over kunnen denken

[ Voor 4% gewijzigd door naitsoezn op 28-05-2021 11:54 ]

Terrz schreef op vrijdag 28 mei 2021 @ 11:29:
[...]


Bij ons is standaard ook alles dichtgetimmerd en mag er helemaal niks. Voor elke scheet moet je een ticket aanmaken (zelfs het embedden van een video in sharepoint ) wat vervolgens lang duurt voordat ze die behandeld hebben. Vaak krijg je dan vaak ook nog "nee" op het rekest omdat het niet past binnen "het beleid". Ik ben niet de enige die hier tegen aanloopt en onze ICT afdeling wordt dan ook vaak als een enorm log apparaat ervaren waar mensen zitten die totaal geen zin hebben om met je mee te denken en zich verschuilen achter beleid. Het invullen en bijhouden van die tickets voelt dan ook vaak als verspilde tijd en moeite.

Spelen via je manager met argumenten waarom je het nodig acht of nuttig acht voor de organisatie die het vervolgens oppakt met de manager ICT is vaak de kortste klap kan ik uit eigen ervaring vertellen.

Autsj, is er iemand die werk afkrijgt dan bij jullie dat is toch gestoord, om zo te proberen mensen hoogwaardig kenniswerk te laten doen. Betekent dit in de praktijk dat je gewoon alles op je eigen PC maakt of kun je toch redelijk werken in dergelijke settings? (oprechte nieuwsgierigheid, het klinkt namelijk vreselijk maar misschien is er in werkelijkheid mee te dealen)

Helemaal eens met @naitsoezn . Netjes uitleggen dat je elke keer bij het nodig hebben van Admin-rechten 4 uur verliest (maken ticket, vragen toestemming, naar IT afdeling komen, uitleggen waarom het deze keer nodig is). En aangeven hoe vaak dit voorkomt.

Soms helpt aangeven dat je bereid bent zelf bepaalde issues te verhelpen omdat dat dan met admin-rechten ineens mogelijk gemaakt wordt.

Na lang zeuren heb ik een "adminfonsoy"-account gekregen omdat de rechtenstructuur van mijn eigen account een fiasco werd. En nog steeds loop ik vrij regelmatig tegen ontbrekende rechten aan omdat deze account dan wel domain admin rechten heeft, maar niet automatisch rechten op alle databases heeft gekregen.

ik hoop serieus niet dat ze er een domain admin van hebben gemaakt....

het zal wel een domain user zijn met admin rechten op jouw laptop


edit:
tip: 1x in de zoveel tijd in te loggen als deze gebruiker, zodat de cerdentials zijn gecashed op de laptop.

verder zoveel mogelijk met "rechtermuisknop -> run as administrator" werken als je die rechten nodig hebt.

[ Voor 45% gewijzigd door burnedhardware op 28-05-2021 12:01 ]

Heel erg afhankelijk van de branch natuurlijk, wij zitten in de productie en ontwikkeling van medische devices. Bij ons is dit gewoon per definitie een harde 'nee', simpelweg omdat we voor contracten met grote afnemers moeten voldoen aan security certificeringen waarin keihard staat dat het niet toegestaan is om eindgebruikers admin toegang te geven. Voor specifieke applicaties kunnen we via Ivanti Workspace Control regelen dat ze als admin opgestart kunnen worden, maar daar houdt het mee op.

anboni schreef op vrijdag 28 mei 2021 @ 12:07:
Heel erg afhankelijk van de branch natuurlijk, wij zitten in de productie en ontwikkeling van medische devices. Bij ons is dit gewoon per definitie een harde 'nee', simpelweg omdat we voor contracten met grote afnemers moeten voldoen aan security certificeringen waarin keihard staat dat het niet toegestaan is om eindgebruikers admin toegang te geven. Voor specifieke applicaties kunnen we via Ivanti Workspace Control regelen dat ze als admin opgestart kunnen worden, maar daar houdt het mee op.

Welke certificering is dit precies? Vind ik wel interessant aangezien ik zelf werk in een farmaceutische omgeving waar ook allerlei certificatiezaken op van toepassing zijn.

Dat je tijdelijke admin-rechten aanvraagt en ook krijgt vind ik al bijzonder. Bij ons als iemand wat op z'n pc of laptop geïnstalleerd wil hebben dan loggen we ff in met Teamviewer en installeren we de gevraagde tool zelf.

SuperCrisz schreef op vrijdag 28 mei 2021 @ 11:19:
[...]


Anaconda bijv. Elke x local admin rechten vragen tijdelijk, is echt irritant. maar k ben bang dat dat niet genoeg is voor ze om me de rechten te geven

Anaconda kun je toch zonder admin rechten installeren voor je eigen account? Dan wordt die in je homedir geinstalleerd.

Overigens lijkt het me een simpel te onderbouwen verzoek door een weekje te turven waar je 1) tijd verliest, 2) businessrelevante zaken niet kunt uitvoeren.

Rukapul schreef op vrijdag 28 mei 2021 @ 12:15:
[...]

Anaconda kun je toch zonder admin rechten installeren voor je eigen account? Dan wordt die in je homedir geinstalleerd.

Overigens lijkt het me een simpel te onderbouwen verzoek door een weekje te turven waar je 1) tijd verliest, 2) businessrelevante zaken niet kunt uitvoeren.

Aangezien hij ook klaagt over geen toegang tot taskmanager lijkt er veel meer dichtgespijkerd dan alleen het verschil tussen een normale gebruiker en een local admin.

Ik zou vragen om een virtuele machine waar je local admin bent (virtualbox/vmware player) die je via een PXE boot kunt refreshen als hij verkloot is.

Voor jou sneller, voor IT beheerbaarder en beheersbaarder.

FastFred schreef op vrijdag 28 mei 2021 @ 12:11:
Dat je tijdelijke admin-rechten aanvraagt en ook krijgt vind ik al bijzonder. Bij ons als iemand wat op z'n pc of laptop geïnstalleerd wil hebben dan loggen we ff in met Teamviewer en installeren we de gevraagde tool zelf.

Zelfs met enterprisses van 100k+ gebruikers gaat dit gewoon automatisch volgens een proces. (je kan het aanvragen via een shop)

Zodra een gebruiker gebruik heeft gemaakt van deze functie vervalt de "pro-support" op de software en gaat het naar best-effort en bij uitzoeken wat langer duurt als 10 minuten krijgen ze een nieuwe image.

Inderdaad. Dan nog spannend als je bij bedrijfsservers kan komen met die machine, ff een halfuurtje adminrechten hebben is zat om toch die ransomware naar binnen te halen.

Het was al genoemd: vraag een virtuele machine aan die helemaal los staat van het netwerk etc. Of laat je laptop helemaal niet meer beheerd zijn en laat alleen toe op gastennetwerk. Wel even de licenties en de updates op die virtiele machine regelen.

Via je manager aanvragen met argumenten waarom je het nodig hebt. Lijkt me niet heel lastig.

Hangt 100% af van het bedrijf waarvoor je werkt. Groot deel zegt "je kan het krijgen, maar geen support meer". Andere bedrijven zeggen (terecht) "Dacht het niet, veel succes"

Ik vind je mail prachtig, maar de kreten 'I'm an advanced user and know what I'm doing' is de grootste rode vlag die je kan uithangen.

Hoe meer je 'kunt' hoe grote 'risico' je bent.

probeer niet een oplossing aan te dragen 'ik moet admin worden', maar blijf heel sec met uitleggen waarom je je werk niet goed kunt uitvoeren.

SuperCrisz schreef op vrijdag 28 mei 2021 @ 11:13:
Ik heb het namelijk niet écht heel erg nodig om mijn werk te doen.

Hoe moeten we dit zien? De rechten helpen je efficiënter te zijn of is het meer hobby-technisch van aard?

In het eerste geval is het een kwestie van het bijhouden van de reden/noodzaak icm de tijd die het heeft gekost om het telkens te regelen. CC evt je manager bij het indienen van het verzoek.

Maar, heb je echt admin-rechten nodig? Er zit best een groot gat tussen een normale gebruiker en local admin. Ik zou vrij specifiek zijn in het omschrijven van wanneer je tegen een rechtenprobleem aanloopt en waarom je het op dat moment nodig hebt. Nu is het "iets met scripting en anaconda" en "inzien processen via taskmanager", daar zou je niet eens een admin account voor nodig hoeven hebben?

Bedenk ook dat de motivatie die jij geeft, niet alleen is om hun te overtuigen, maar ook voor hun om een redelijke verklaring te hebben dat ze je die rechten geven. Schrijf het dus ook voor hun en niet alleen voor jezelf.

Hier een voorbeeld gebaseerd op jouw eigen tekst en je openingspost:
I am a presales consultant and need to develop and run scripts, use the task manager to view progress, and on occasion install valid and legitimate software. These are not possible with default user rights.

The process of ad hoc requesting temporary admin rights is time consuming and obstructing my daily job and have caused me to miss deadlines. I have conferred with my manager who does not accept that these ad hoc requests are a bottleneck in my work.

My manager therefore approves the request for permanent admin rights. In addition I am happy to confirm that I will not abuse these rights and that you can monitor my activities and revoke access when I do not comply with company policies.

Maar besef dat het waarschijnlijk niet in 1x lukt, dus hou vol en blijf proberen als het in eerste instantie niet lukt. Ik ga er natuurlijk vanuit dat je motieven oprecht zijn.

superduper schreef op vrijdag 28 mei 2021 @ 12:36:
Ik vind je mail prachtig, maar de kreten 'I'm an advanced user and know what I'm doing' is de grootste rode vlag die je kan uithangen.

Hoe meer je 'kunt' hoe grote 'risico' je bent.

probeer niet een oplossing aan te dragen 'ik moet admin worden', maar blijf heel sec met uitleggen waarom je je werk niet goed kunt uitvoeren.

dit vind ik ook een lastige. Er staat namelijk wel tegenover dat je digibeten ook niet zomaar local admin wil maken. Hebben jullie misschien security trainingen voor gebruikers waarmee de angst dat je onbewust domme dingen gaat doen wat kunt wegnemen?

superduper schreef op vrijdag 28 mei 2021 @ 12:36:
Ik vind je mail prachtig, maar de kreten 'I'm an advanced user and know what I'm doing' is de grootste rode vlag die je kan uithangen.

Hoe meer je 'kunt' hoe grote 'risico' je bent.

probeer niet een oplossing aan te dragen 'ik moet admin worden', maar blijf heel sec met uitleggen waarom je je werk niet goed kunt uitvoeren.

En dan vooral 2x "I am such an amazing end user!" Dat is dus 2x "Ik ga heel vaak dingen hebben waarvoor ik IT moet bellen"

Ik lees een hoop oplossingen die misschien wel werken maar volgens mij moet het bedrijf jou mogelijkheden bieden om dingen te doen. Als de laptop die jij hebt alleen voor KA dingen waar je geen admin rechten voor nodig hebt is ingericht doe jij verkeerde dingen op je laptop. Er is al eerder voorgesteld om Virtualbox of andere hypervisor te gebruiken wat volgens mij de ideale oplossing is. Het beheer (en security) van endpoints blijf gewaarborgd en jij hebt je speel omgeving virtueel voor al je testen. Je test nu eigenlijk in productie wat een grote no-go is in security land. Mochten het geen testen zijn maar je hebt het nodig voor je dagelijkse werk dan moet IT iets faciliteren, ga niet zelf aan de gang maar laat het over aan beheer/ security. Het is namelijk wel jouw probleem maar zeker niet jouw oplossing.

Boeryepes schreef op vrijdag 28 mei 2021 @ 12:43:
Bedenk ook dat de motivatie die jij geeft, niet alleen is om hun te overtuigen, maar ook voor hun om een redelijke verklaring te hebben dat ze je die rechten geven. Schrijf het dus ook voor hun en niet alleen voor jezelf.

Hier een voorbeeld gebaseerd op jouw eigen tekst en je openingspost:
I am a presales consultant and need to develop and run scripts, use the task manager to view progress, and on occasion install valid and legitimate software. These are not possible with default user rights.

The process of ad hoc requesting temporary admin rights is time consuming and obstructing my daily job and have caused me to miss deadlines. I have conferred with my manager who does not accept that these ad hoc requests are a bottleneck in my work.

My manager therefore approves the request for permanent admin rights. In addition I am happy to confirm that I will not abuse these rights and that you can monitor my activities and revoke access when I do not comply with company policies.

Maar besef dat het waarschijnlijk niet in 1x lukt, dus hou vol en blijf proberen als het in eerste instantie niet lukt. Ik ga er natuurlijk vanuit dat je motieven oprecht zijn.

toon volledige bericht

1.) Zelf zeggen "yo m'n manager gaat akkoord" accepteerd geen enkel bedrijf. Als ze dat doen moeten ze echt een competent IT team aannemen
2.) De hele mail druipt van "Kijk eens hoe belangrijk ik ben" terwijl TS 1 van de vele gebruikers van het bedrijf is.

Security technisch is een VM de beste oplossing ipv wild maar alles laten installeren omdat "ik vind dat ik het moet kunnen"

[ Voor 3% gewijzigd door corset op 28-05-2021 12:54 ]

Grappig om de reacties te lezen, en dat er toch veel tegenstanders zijn die het local admin zijn van een user op een device willen tegenhouden. Ik werk in een organisatie met duizenden laptops en dat gaat gewoon via een BYOD principe.

Iedereen is local admin. Het is niet toegestaan om lokaal data op te slaan, en via Policy's wordt er streng aan data classificatie gedaan. Als iemand software wil installeren dan doet hij dat, en gaat het stuk dan wordt de laptop zonder pardon opnieuw ingespoeld. Voor zelf geinstalleerde meuk is IT niet verantwoordelijk. Bedrijfsapplicaties worden allemaal via intune/company portal aangeboden.

Dat werkt eigenlijk prima. Mits de complete keten goed ingericht is...

Question Mark schreef op vrijdag 28 mei 2021 @ 13:01:
Grappig om de reacties te lezen, en dat er toch veel tegenstanders zijn die het local admin zijn van een user op een device willen tegenhouden. Ik werk in een organisatie met duizenden laptops en dat gaat gewoon via een BYOD principe.

Iedereen is local admin. Het is niet toegestaan om lokaal data op te slaan, en via Policy's wordt er streng aan data classificatie gedaan. Als iemand software wil installeren dan doet hij dat, en gaat het stuk dan wordt de laptop zonder pardon opnieuw ingespoeld. Voor zelf geinstalleerde meuk is IT niet verantwoordelijk. Bedrijfsapplicaties worden allemaal via intune/company portal aangeboden.

Dat werkt eigenlijk prima. Mits de complete keten goed ingericht is...

En dat laatste stukje gaat het verdomd vaak fout, zo vaak dat IT'ers niet tegen bedrijf hardware + local admin kan

Tip: vraag niet om admin rechten, maar geef aan wat je zou willen doen. Laat ICT faciliteren in je wensen en vertel ze niet wat ze moeten doen. Wil je toch als eis neerleggen dat je local admin wilt, dan zou ik dat via je leidinggevende spelen.

Zelf zit ik in hetzelfde schuitje. Overheid, dus verandering is eng... Ik ben de eerste techneut buiten ICT en dus ook de eerste die meer wil kunnen doen dan Word en Excel. Local Admin vindt onze ICT cq. hun manager eng, dus krijg ik vooralsnog niet. Maar ondertussen ben ik voldoende vriendjes met een domain admin, dat ik die via chat mijn laptop laat overnemen om even een Setup.exe te starten. Eigenlijk heb ik ook niet meer nodig. Op de databases heb ik wel admin rechten en daar doe ik toch 90% van mijn werk.

Question Mark schreef op vrijdag 28 mei 2021 @ 13:01:
Grappig om de reacties te lezen, en dat er toch veel tegenstanders zijn die het local admin zijn van een user op een device willen tegenhouden. Ik werk in een organisatie met duizenden laptops en dat gaat gewoon via een BYOD principe.

Iedereen is local admin. Het is niet toegestaan om lokaal data op te slaan, en via Policy's wordt er streng aan data classificatie gedaan. Als iemand software wil installeren dan doet hij dat, en gaat het stuk dan wordt de laptop zonder pardon opnieuw ingespoeld. Voor zelf geinstalleerde meuk is IT niet verantwoordelijk. Bedrijfsapplicaties worden allemaal via intune/company portal aangeboden.

Dat werkt eigenlijk prima. Mits de complete keten goed ingericht is...

Question Mark schreef op vrijdag 28 mei 2021 @ 13:01:
Grappig om de reacties te lezen, en dat er toch veel tegenstanders zijn die het local admin zijn van een user op een device willen tegenhouden. Ik werk in een organisatie met duizenden laptops en dat gaat gewoon via een BYOD principe.

Iedereen is local admin. Het is niet toegestaan om lokaal data op te slaan, en via Policy's wordt er streng aan data classificatie gedaan. Als iemand software wil installeren dan doet hij dat, en gaat het stuk dan wordt de laptop zonder pardon opnieuw ingespoeld. Voor zelf geinstalleerde meuk is IT niet verantwoordelijk. Bedrijfsapplicaties worden allemaal via intune/company portal aangeboden.

Dat werkt eigenlijk prima. Mits de complete keten goed ingericht is...

Dat klopt, je kan genoeg veilige omgevingen met local admin bouwen, dat is het probleem hier ook niet. Het probleem is dat de TS iets anders wil dan dat het beleid toestaat. Dat probeert hij/ zij op te lossen door middel van techniek maar dat moet je niet doen. Het is een procedureel iets. Als de organisatie kiest voor geen local admin (om wat voor reden dan ook) dan moeten bedrijfsprocessen, procedures en functies daarop afgestemd zijn. Blijkbaar kan TS zijn werk niet doen met de huidige maatregelen, dan moeten de maatregelen bekeken worden en aangepast (of de werkzaamheden van TS). Zoals meestal met eindgebruikers komen ze direct met een oplossing maar niet met een functionele probleem omschrijving.

Archie_T schreef op vrijdag 28 mei 2021 @ 13:44:
[...]

Dat klopt, je kan genoeg veilige omgevingen met local admin bouwen, dat is het probleem hier ook niet. Het probleem is dat de TS iets anders wil dan dat het beleid toestaat. Dat probeert hij/ zij op te lossen door middel van techniek maar dat moet je niet doen. Het is een procedureel iets. Als de organisatie kiest voor geen local admin (om wat voor reden dan ook) dan moeten bedrijfsprocessen, procedures en functies daarop afgestemd zijn. Blijkbaar kan TS zijn werk niet doen met de huidige maatregelen, dan moeten de maatregelen bekeken worden en aangepast (of de werkzaamheden van TS). Zoals meestal met eindgebruikers komen ze direct met een oplossing maar niet met een functionele probleem omschrijving.

Beter verwoord danals ikke... Ik heb dus gezegd dat ik local admin wilde zijn om de talloze updates te kunnen installeren van software waarvan ik de enige gebruiker ben. Kon niet, want geen policy. Dus de oplossing is (informeel zo gegroeid) dat ik zonder ticket gewoon een admin vraag setup.exe te draaien. De rest doe ik zelf. En ze hebben nu voldoende vertrouwen in mij en kennis van mijn werkzaamheden dat ze ook niet vragen wat die software is. Kortom: ik kan alles doen wat ik moet doen en voldoe nog steeds aan de policy. En natuurlijk zou ik zelf wel mijn achtergrond willen kunnen wijzigen naar Anne Hathaway of zo, maar het blokkeert me niet in werkzaamheden.

Waarom maak je geen virtuele machine aan op je laptop?
Daar kan je dan mooi je scripts / macro's in een eigen omgeving in elkaar klussen.
Lijkt me prima te verantwoorden. Zo werken bij ons ook sommige technische personen op hun laptop, zonder daadwerkelijk admin rechten op de host laptop te hebben.

kevlar01 schreef op vrijdag 28 mei 2021 @ 14:14:
Waarom maak je geen virtuele machine aan op je laptop?
Daar kan je dan mooi je scripts / macro's in een eigen omgeving in elkaar klussen.
Lijkt me prima te verantwoorden. Zo werken bij ons ook sommige technische personen op hun laptop, zonder daadwerkelijk admin rechten op de host laptop te hebben.

Waarom is dat precies veiliger vanuit beheergedachte gezien?

<sub>vraag, geen tegenargument. Ik weet het niet. Maar ik stel me zo voor dat zo'n VM dezelfde rechten heeft als het normale account van TS. In dat geval zou malware op die VM dezelfde schade aanrichten als malware op de laptop zelf. Ik ben echter niet heel erg thuis in dit gebied dus ik vraag me af waar m'n denkfout zit.

Het enige verschil dat ik me in kan denken is het al dan niet mappen van netwerkdrives. Maar als TS volledige rechten op die VM heeft hij ook gewoon de keuze dat te doen waardoor het veiligheidsrisico in theorie, wederom in mijn ogen, even groot of even klein is.</sub>

F_J_K schreef op vrijdag 28 mei 2021 @ 13:43:
[...]
Lezen van fileshares -> datalek. Schrijven naar fileshares -> ransomware FTW. Lezen van databases -> datalek. Etc.

Dat zijn zaken die je wilt voorkomen.

Ransomware draait in de security context van de user, en staat los van het al dan niet Admin zijn. Als ik als reguliere user write-access op data heb, dan ben ik net zo vatbaar voor ransomware als ik admin zou zijn.

Ook voor non-Admin users blijft ransomware dan een even grote threat.

Nine in ten ransomware variants can still run even if they do not gain administrator rights, according to a new report. Research from CyberArk found that while many types of malware need local administrator rights to execute properly, 90 per cent of ransomware strains do not require them.

This puts users at increased risk because they do not need to give the malicious software explicit permission to make changes before it begins to encrypt their files.

Ransomware pak je aan door goede MDM en Conditional Access policy's icm een goede ransomware/anti-virus op de client. En dan uiteraard in de complete keten.

[ Voor 36% gewijzigd door Question Mark op 28-05-2021 14:52 ]

Yucon schreef op vrijdag 28 mei 2021 @ 14:42:
[...]

Waarom is dat precies veiliger vanuit beheergedachte gezien?

<sub>vraag, geen tegenargument. Ik weet het niet. Maar ik stel me zo voor dat zo'n VM dezelfde rechten heeft als het normale account van TS. In dat geval zou malware op die VM dezelfde schade aanrichten als malware op de laptop zelf. Ik ben echter niet heel erg thuis in dit gebied dus ik vraag me af waar m'n denkfout zit.

Het enige verschil dat ik me in kan denken is het al dan niet mappen van netwerkdrives. Maar als TS volledige rechten op die VM heeft hij ook gewoon de keuze dat te doen waardoor het veiligheidsrisico in theorie, wederom in mijn ogen, even groot of even klein is.</sub>

Nou, een VM zou je helemaal afgeschermd kunnen draaien, dus in een eigen virtueel LAN, niet aan het domein gekoppeld. Hierdoor is er geen interactie met het OS van de laptop zelf waar deze VM op draait.

Ik vind dit geen materiaal voor TL @SuperCrisz. Of ik verplaats deze naar een ander deel of ik zet er een slotje op. Waar gaat je voorkeur naar uit?

Fr33z schreef op vrijdag 28 mei 2021 @ 11:52:
[...]


Autsj, is er iemand die werk afkrijgt dan bij jullie dat is toch gestoord, om zo te proberen mensen hoogwaardig kenniswerk te laten doen. Betekent dit in de praktijk dat je gewoon alles op je eigen PC maakt of kun je toch redelijk werken in dergelijke settings? (oprechte nieuwsgierigheid, het klinkt namelijk vreselijk maar misschien is er in werkelijkheid mee te dealen)

Kan wel redelijk werken hoor. Werk bij een grote organisatie waar de standaard settings voor veel van de mensen prima zullen voldoen. Alleen moeten wij vanuit vanuit onze functie vaak dingen plaatsen, promoten, webinars geven etc en dan is het vaak weer hobbeles.

Eerlijk gezegd vind ik de mail niet sterk.
Advanced user is al iets waar de nekharen van meeste IT al overeind van gaan staan.

Daarnaast speel je te veel in op local admin, jij moet als gebruiker niet met dit soort oplossing komen, dat is de easy way out.

Leg je daadwerkelijke problemen voor en vraag daar een oplossing voor. Daarnaast moet je manager dan onderschrijven hoe kritisch dit is.

Op de oplossing kan dan ook een risico analyse los gelaten worden.

Ik liep in het verleden bij onze IT partners juist altijd tegen dit soort shit aan, geen idee hoe we dit oplossen, zullen we hem maar gewoon local admin maken…

Dat is het zelfde als onze software leverancier die vraagt de SQL server te upgraden ipv fatsoenlijke queries te bouwen.

Dit soort tickets binnen onze organisatie zou ik gewoon negeren. En die gene die deze tickets behandeld een draai om de oren geven. Als iemand al zo vaak om local admin vraagt dan moet dit opvallen en preventief opgepakt worden. Na x keer moet je toch afvragen waar de gebruiker mee bezig is dat hij dit elke keer nodig heeft.

Ik vind t opmerkelijk dat je uberhaupt admin rechten krijgt. Ook al is het tijdelijk. Krijg je bij mij niet klaargespeeld hoor.
Als je wat op je pc wil hebben stem je dat maar met me af. Als je ergens structureel admin rechter voor nodig hebt is er iets mis.

Dat is hier niet anders. Met onze "corporate" laptops kan ik vb geen IP aanpassen, geen enkel USB-stickje toegelaten.
De VPN-client gaat standaard op (autoconnect) dus vb thuis proberen op je lokale LAN iets te doen met die toestel is onmogelijk.

Alternatief hier is simpel : je kan een technische PC/laptop aanvragen waar je (behoorlijk) vrij spel op hebt en amper ondersteuning.
Deze device kan natuurlijk zomaar niet aan het bedrijfsnetwerk gekoppeld worden maar voor onsite/labo werk is die dan weer beter geschikt. Oh ja, en je moet rondzeulen met een extra machine ;-)

Kun je geen apart admin account krijgen? Dat je dan runas die admin user doet?
Dan werk je standaard onder user rechten en alleen als je het nodig hebt elevate je, soort sudo idee

Stuk veiliger iig dan 24 uur lang admin zijn met je user account......

Polderviking schreef op vrijdag 4 juni 2021 @ 03:27:
Als je ergens structureel admin rechter voor nodig hebt is er iets mis.

Ja, dat alles dichtgezet is, waardoor je zonder admin rechten niet normaal je werk kunt doen. Dat is er inderdaad mis en het simpelst opgelost door gewoon admin-rechten te geven aan de groep gebruikers die werkzaamheden uitvoert waar jij als admin-account-beheerder blijkbaar geen weet van hebt (of voorstelling van kunt maken)

Polderviking schreef op vrijdag 4 juni 2021 @ 03:27:
Ik vind t opmerkelijk dat je uberhaupt admin rechten krijgt. Ook al is het tijdelijk. Krijg je bij mij niet klaargespeeld hoor.
Als je wat op je pc wil hebben stem je dat maar met me af. Als je ergens structureel admin rechter voor nodig hebt is er iets mis.

Dan snap je de functie van presales niet, zeker niet als het technisch/inhoudelijk gerelateerd is. Zij betalen indirect jouw salaris met het binnenhalen van klanten. Het is belachelijk dat een presales consultant sowieso geen permanente admin rechten heeft vanuit zijn functie. Juist dat laatste stukje overtuigingskracht door lokaal wat extra te kunnen doen kan het verschil maken bij een klant/demo/...

Zo'n starre IT infra afdeling welke over het algemeen is blijven hangen in de jaren '00.. daar schiet je echt niets mee op.

Montaner schreef op vrijdag 4 juni 2021 @ 09:07:
[...]

Dan snap je de functie van presales niet, zeker niet als het technisch/inhoudelijk gerelateerd is. Zij betalen indirect jouw salaris met het binnenhalen van klanten. Het is belachelijk dat een presales consultant sowieso geen permanente admin rechten heeft vanuit zijn functie. Juist dat laatste stukje overtuigingskracht door lokaal wat extra te kunnen doen kan het verschil maken bij een klant/demo/...

Zo'n starre IT infra afdeling welke over het algemeen is blijven hangen in de jaren '00.. daar schiet je echt niets mee op.

Iedereen die in een bedrijf werkt betaalt indirect het salaris van alle anderen, ze zijn allemaal nodig om het bedrijf goed te laten functioneren en geld te verdienen. Van de schoonmaker tot de absolute top van de presales consultants.

Permanente admin-rechten zijn gewoon een slecht idee voor elke andere functie dan de sysadmin. Wel moet je natuurlijk de rechten krijgen die je nodig hebt om je werk goed te kunnen doen. Daarvoor hoef jij geen permanente admin te zijn, maar moet er wel geluisterd worden naar de feedback van jou en je collega's, zodat jullie gebruikersrechten correct worden ingesteld. Een competente it-afdeling luistert goed naar feedback.

@thomas_n ik vind vooral permanente admin rechten van een sysadmin een probleem

Ik bedoel. Als miep de seceteresse per ongeluk wat malware oploopt en ze was admin > Dan heb je risico dat de pc infected raakt. Een beetje malware heeft geen admin rechten nodig trouwens om dat voor elkaar te krijgen

Als Henk de sysadmin malware oploopt en permanent (domain) admin is, Dan zijn zo al je pcs infected.

Ik zeg niet dat je iedereen admin rechten moet maken, zeker niet. Maar je moet niet alleen kijken naar wat is de likelihood dat iemand malware oploopt terwijl werkend als admin (ja die is waarsch bij miep hoger) maar ook wat is de impact als dat gebeurd (en die is bij henk hoger).

Sysadmins hebben vaak een beetje een GOD houding inderdaad maar ze zijn een super gevaarlijke actor. Juist die mensen zouden "beperkt" moeten worden om veiliger te werken. In de praktijk zijn dat vaak de mensen die ook het technisch beleid instellen en zichzelf dan overslaan. Practice what you preach zeg ik dan...

[ Voor 24% gewijzigd door laurens0619 op 04-06-2021 09:57 ]

@laurens0619 Ja, je hebt wel gelijk. Ook een sysadmin moet geen admin-rechten hebben op het moment dat hij even zijn persoonlijke mail checkt, natuurlijk. Hij/zij (ook Miep kan sysadmin zijn!) moet die rechten natuurlijk wel snel kunnen krijgen wanneer ze nodig zijn.

Cass Casey schreef op vrijdag 28 mei 2021 @ 13:33:
Tip: vraag niet om admin rechten, maar geef aan wat je zou willen doen. Laat ICT faciliteren in je wensen en vertel ze niet wat ze moeten doen. Wil je toch als eis neerleggen dat je local admin wilt, dan zou ik dat via je leidinggevende spelen.

Zelf zit ik in hetzelfde schuitje. Overheid, dus verandering is eng... Ik ben de eerste techneut buiten ICT en dus ook de eerste die meer wil kunnen doen dan Word en Excel. Local Admin vindt onze ICT cq. hun manager eng, dus krijg ik vooralsnog niet. Maar ondertussen ben ik voldoende vriendjes met een domain admin, dat ik die via chat mijn laptop laat overnemen om even een Setup.exe te starten. Eigenlijk heb ik ook niet meer nodig. Op de databases heb ik wel admin rechten en daar doe ik toch 90% van mijn werk.

Mijn tip is altijd bij de ICT, hebben jullie een projectnummer waar ik mijn uren op kan schrijven als ik niet kan doen wat ik moet doen. Elke keer ICT benaderen kost me tijd en die iwl ik graag bij jullie inboeken. En voila, admin rechten werden direct geregeld.

Niks is gevaarlijkers dan iemand die net genoeg verstand van IT heeft om grote dingen kapot te maken local admin rechten te geven.

Mocht het echt moeten, dan onder apart admin account die beperkt is tot die pc. Niemand moet continue op zijn privileged acocunt werken.

Niet_Jan_Jaap schreef op vrijdag 4 juni 2021 @ 10:19:
Niks is gevaarlijkers dan iemand die net genoeg verstand van IT heeft om grote dingen kapot te maken local admin rechten te geven.

Mocht het echt moeten, dan onder apart admin account die beperkt is tot die pc. Niemand moet continue op zijn privileged acocunt werken.

Eensch, als je als consultant/techneut moet scripten moet je dat in een testomgeving doen en niet in prod.
En dus moet je het nodig hebben dan heb je dus een testlaptop nodig waar je dat soort zaken mee kunt zonder de bedrijfsprocessen te verknallen.
Al vaak genoeg IT experts meegemaakt die zaken kapot maakten. Verreweg de meeste ICT verstoring worden veroorzaakt door menselijk handelen!

Ik heb even een paar posts afgesplitst naar een eigen (discussie)topic: Security en beleid vs Usability

SuperCrisz schreef op vrijdag 28 mei 2021 @ 11:46:
tnx voor jullie toevoegingen. Ik heb als volgt gereageerd (in mijn ietwat gebrekkige Engels):

"As consultant I run programs like Anaconda e.g. for scripting. In the past few months I asked for temporary admin rights, but it is time consuming and not necessary as I am a more advanced user and know what I am doing. Other reason is that I am not able to see the processes (task manager) which is handy for my day to day job. I discussed this with my manager, and he understands and does not want that that this is a bottleneck to do my work efficient. So because of that, and since I am a more advanced user , he approved the request. "

Wat ik zou sturen:

"As a consultant I need to run software such as Anaconda for (datascience) pre-sales activites. Unfortunately this tool can only function when ran with Administrator rights. The temporary admin access requests works perfectly but in practice i need to request it almost on a daily basis. To avoid overhead for IT and myself, I kindly request if I could receive permanent administrator rights (for my user account or admin account). I am aware of the elevated risk when working as an admin, therefore i will take extra caution on my activities to minimize any risk"

Ik zou het zelfs nog meer beperken door te vragen tot permanente toegang tot de taskmanager & die specifieke applicatie als admin kunnen draaien.

Werken als admin/root is een big no-no, ook voor IT'ers. Ik ben zelf een (externe) consultant die op Linux werkt en ik werk zeker niet als root op mijn eigen machines.
Ik heb gewoon een user-account, die dan wel de rechten heeft om sudo te mogen doen.

[ Voor 46% gewijzigd door hackerhater op 04-06-2021 10:51 ]

hackerhater schreef op vrijdag 4 juni 2021 @ 10:50:
Ik heb gewoon een user-account, die dan wel de rechten heeft om sudo te mogen doen.

Windows kent dan weer UAC.

User Account Control (UAC) "verbergt" je admin-token. Ook al is je account lid van de local administrators, dat token heb je standaard niet tot je beschikking. Dat wordt pas "actief" als expliciet een applicatie of proces via "Run as Administrator" gestart wordt. Bij bepaalde systemwide instellingen verschijnt een extra pop-up, waar akkoord op gegeven moet worden.

Het is dus niet zo dat in Windows altijd alles maar met Admin rechten draait, ondanks lidmaatschap van deze groep(en).

Question Mark schreef op vrijdag 4 juni 2021 @ 10:56:
[...]
Windows kent dan weer UAC.

User Account Control (UAC) "verbergt" je admin-token. Ook al is je account lid van de local administrators, dat token heb je standaard niet tot je beschikking. Dat wordt pas "actief" als expliciet een applicatie of proces via "Run as Administrator" gestart wordt. Bij bepaalde systemwide instellingen verschijnt een extra pop-up, waar akkoord op gegeven moet worden.

Het is dus niet zo dat in Windows altijd alles maar met Admin rechten draait, ondanks lidmaatschap van deze groep(en).

Sudo gaat een stuk verder dan die gecastreerde admin accounts onder UAC.
UAC in de standaard instelling probeert (bijna) alles naar beneden te drukken. Er hoeft maar een foutje in te zitten en applicaties draaien alsnog met volledige rechten.

Sudo (buiten dat het heel fijnmaziger werkt), werkt de andere kant op.
Je kan, indien je de rechten hebt, een specifieke applicatie verheffen tot root/een andere gebruiker. De rest blijft netjes als user draaien.

Je kan met sudo bijvoorbeeld mensen alleen de rechten geven om de lokale database- en webserver te herstarten (root vereist), maar verder niks.

[ Voor 7% gewijzigd door hackerhater op 04-06-2021 11:03 ]

Question Mark schreef op vrijdag 4 juni 2021 @ 10:56:
[...]
Windows kent dan weer UAC.

User Account Control (UAC) "verbergt" je admin-token. Ook al is je account lid van de local administrators, dat token heb je standaard niet tot je beschikking. Dat wordt pas "actief" als expliciet een applicatie of proces via "Run as Administrator" gestart wordt. Bij bepaalde systemwide instellingen verschijnt een extra pop-up, waar akkoord op gegeven moet worden.

Het is dus niet zo dat in Windows altijd alles maar met Admin rechten draait, ondanks lidmaatschap van deze groep(en).

Tja een UAC popup.
De gebruiker wil iets starten (of dat malware of niet)
Die geeft 2 opties:
Optie Allow: de gebruiker kan zijn doel behalen
Optie Disallow: de gebruiker kan zijn doel niet behalen

Ik zou er niet mijn geld op inzetten dat dit echt gaat helpen

Voor local admin wil je onder windows gewoon iets als LAPS gebruiken. Dat werkt uitstekend en is een stuk veiliger dan iemand voor zijn dagelijkse werkzaamheden de hele tijd als admin in te laten loggen.

Beheerders die nu nog remote inloggen en alles zelf willen installeren hebben het lekker rustig denk ik.

@SuperCrisz kan je niet uitzoeken concreet welke rechten je waar nodig hebt? Vast alleen bepaalde registry keys, bepaalde directories. Bijvoorbeeld via Sysinternals' Procmon64. Dan kan je aangeven welke concrete rechten je nodig hebt, ipv. 'alle lokale rechten'.

Waarom vraag je de IT niet om iets van virtualisatie mogelijk te maken? (lees: laat ze virtualbox installeren en vraag de it om een windows licentie). Kan je daar lekker in rommelen zonder dat er direct een (groot) veiligheidsrisico is.

Ik snap verder heel goed dat ze er niet op zitten te wachten dat je zomaar carte blanche krijgt voor local admin rechten. Als het uitvoeren van die scripts en progsels zo belangrijk zijn voor je functie, dan lopen je collega's hier toch ook tegenaan?

[ Voor 8% gewijzigd door Anoniem: 674295 op 04-06-2021 11:37 ]

Question Mark schreef op vrijdag 28 mei 2021 @ 13:01:
Grappig om de reacties te lezen, en dat er toch veel tegenstanders zijn die het local admin zijn van een user op een device willen tegenhouden. Ik werk in een organisatie met duizenden laptops en dat gaat gewoon via een BYOD principe.

Iedereen is local admin. Het is niet toegestaan om lokaal data op te slaan, en via Policy's wordt er streng aan data classificatie gedaan. Als iemand software wil installeren dan doet hij dat, en gaat het stuk dan wordt de laptop zonder pardon opnieuw ingespoeld. Voor zelf geinstalleerde meuk is IT niet verantwoordelijk. Bedrijfsapplicaties worden allemaal via intune/company portal aangeboden.

Dat werkt eigenlijk prima. Mits de complete keten goed ingericht is...

Geen BYOD hier, maar verder hetzelfde. Ik kan me ook wel voorstellen dat ze het bij andere bedrijven anders doen, maar tegelijk is het soms gewoon verrekte handig, en blijkbaar gaat het in principe gewoon goed. En ja, er zal vast weleens iemand op een verkeerde knop drukken. Dan krijg je uiteindelijk gewoon een schone image met de standaard applicaties. Data is uiteraard nul probleem, want als dat enkel lokaal op een laptop is opgeslagen heb je wel grotere problemen dan al dan niet local admin rechten.

SuperCrisz schreef op vrijdag 4 juni 2021 @ 11:47:
Het verzoek ligt inmiddels bij de IT Manager.. wellicht dat ze inderdaad specifieke rechten kunnen geven ipv mij cart blanche geven. Eerst even afwachten wat hij zegt. Ben benieuwd

Ik werk op een middelgrote Britse universiteit, en daar zijn zoveel verschillende users en de bedrijfsprocessen niet makkelijk bij te houden aangezien IT geen idee heeft wat de users nodig hebben. Allemaal een laptop, geen admin-rechten behalve voor specifieke gevallen met een business-case van het afdelingshoofd. Nu ben ik zo'n vervelende user en heb de admin-rechten nodig

Wij zijn overgestapt op Admin-by-Request, en ik ben een van de testers geweest. Er zijn verschillende niveaus: gewone users kunnen een aanvraag doen voor een specifieke applicatie/handeling die per geval moet worden goedgekeurd door IT als het niet op de whitelist staat (niet het leukste klusje ), en er is een beperkte groep users die het als sudo kunnen gebruiken, dwz je krijgt een uur admin-rechten per keer, geen whitelist of zo, en moet je username en wachtwoord telkens invullen. Dar val ik ook onder, anders zou ik gillend gek worden. Het was wel even werk toen ik recent mijn nieuwe laptop kreeg en de extra software ging installeren .

Dat is uiteindelijk een goede balans voor een user als ik

edit*: oh mosterd na de maaltijd, zie dat je nu de rechten toegekent hebt gekregen ach ja laat ik onderstaande info wel staan mocht het ooit nuttig zijn voor iemand anders.

In mijn ervaring (ik ken de exacte situatie van 24h tijdelijk en/of permanent admin rechten van verschillende werkgevers).

Overdonder ze gewoon dat je technisch wel savvy onderlegt bent.

Noem gewoon een aantal praktijk voorbeelden,zoals dat je dagelijks een webserver lokaal moet configureren zoals Apache of Nginx, package managers moet kunnen installeren op dagelijkse regelmaat om development werk te doen, cronjobs o.i.d. moet configureren en testen.

Als ze doorhebben dat je niet een n00b bent en wel degelijk van software en besturingssystemen kennis hebt laten ze het in mijn ervaring meestal zo toe.

Het laatste waar ze natuurlijk op zitten te wachten is iemand die zn complete systeem vernachelt of een data breach veroorzaakt (en dat zijn er nogal wat).
Dus bekijk het van hun kant, want er zullen er best velen zijn die direct schreeuwen "Ik moet volledig beheer admin rechten hebben om mijn werk te doen in het mom van dan heb ik t lekker makkelijk", maar meestal valt dat echt wel mee (commerciele en/of marketing lui meestal) en kunnen ze weg met 24h admin.

[ Voor 10% gewijzigd door Turismo op 08-06-2021 15:34 ]

Question Mark schreef op vrijdag 28 mei 2021 @ 13:01:
Grappig om de reacties te lezen, en dat er toch veel tegenstanders zijn die het local admin zijn van een user op een device willen tegenhouden. Ik werk in een organisatie met duizenden laptops en dat gaat gewoon via een BYOD principe.

Iedereen is local admin. Het is niet toegestaan om lokaal data op te slaan, en via Policy's wordt er streng aan data classificatie gedaan. Als iemand software wil installeren dan doet hij dat, en gaat het stuk dan wordt de laptop zonder pardon opnieuw ingespoeld. Voor zelf geinstalleerde meuk is IT niet verantwoordelijk. Bedrijfsapplicaties worden allemaal via intune/company portal aangeboden.

Dat werkt eigenlijk prima. Mits de complete keten goed ingericht is...

Wat een intens slecht idee. Leuk als ze een beetje malware binnenhalen, draait ook direct onder admin rechten. Je moet verder denken dan alleen het lokale laptopje.

Hier is niemand local admin op z'n machine, ook niet wij IT'ers. Je kan wel een additioneel admin account hebben waar 'run as' mee kan doen, maar daarmee inloggen of shit standaard (terwijl niet nodig) als admin draaien is een doodzonde, en wel om bovenstaande reden. Wil je additionele software installeren die niet door IT wordt aangeboden en/of anderszins 'approved' is? Dan moet eerst InfoSec een review van de software doen, het zal je echt verbazen hoeveel domme freeware shit vol met trackers en andere ellende mensen op een corporate machine willen installeren 'omdat het zo handig is'.

Kortom, wellicht kan je beter een additioneel account mét local admin rechten aanvragen, en dat alleen gebruiken wanneer nodig? Past prima bij je situatie als ik het zo hoor, want je geeft zelf ook toe dat het géén absolute noodzaak is, en is een mooie trade-off tussen security en usability imho.