Спасибо дружище!
Видел бы кто, как я сорвался с места и добежал до кабинета сотрудника, который говорил, что сегодня попробует обновиться...
Сразу видно просто админов и тех людей, которые очень тесно работают с ЭЦП и сопутствующим софтом ну и по доле службы ещё админят помаленьку. Первые матерят настройки сети и политики внутри корпоративной сети, и тд. Вторые просто поняли о чем речь, почему у данного юзверя есть права админа на компе и т.д. и т.п. Да просто легче выдать юзверю права и оградить его ПК от корпоративной сети, чем приходить по каждому новому уведомлению и вводить пароль админа и делать последующие операции.
Это сейчас сарказм был? Дай локальные права админа сотруднику, который на доманем ПК банеры до сих пор ловит, он тебе всю сеть убьёт. А так при надобности сидит в своей "песочнице" и никого не трогает. Ну уронит систему (ни разу не было, пока что) ну откатим за 20 минут. Так хоть я спокойнее живу.
Он говорит про права локального админа на конкретной машине, а не права локального админа в домене.
такой вот локальный админ криптовальщиком файлы на сетевых дисках зацепил. бэкапы конечно есть. да и антивирусники среагировали спустя пару минут. но осадок остался... Впрочем, возможно под простым пользователем такое тоже возможно :(
есть такое понятие, как обмен файлами, когда человек имеет доступ к инфе на сервере и может её менять. И если он туда закинет что то зараженное, а кто то откроет это дело, то будет весело. Попробуйте, рекомендую!)
Вы не поверите, но чтобы зашифровать файлы(к примеру), не нужно прав локального админа. Если юзер откроет письмо с вложением, которое выполняет код "шифратора"-он зашифрует всё(на что хватит прав) на локальном компе, на сетевых дисках и тд.
По Вашей логике "злоумышленник" отключит антивирус(ведь он локальный админ), закачает инфу на сервак(где, видимо, нет антивируса?), а кто-то (видимо тоже с правами админа) откроет это дело и "шеф всё пропало"? Что-то тут не вяжется в Вашей системе безопасности.
У Вас машина не в домене и не в локальной сети предприятия? Если так, то я не понимаю, каким образом кто-то закачает что-то на сервер. Если она просто не в домене, тогда я не вижу разницы между тем, что сделали вы и тем, что у доменной юзерской учетки есть права локального админа на какой-то машине.
Абсолютно нормальное решение- доменная машина в ДМЗ или просто другой подсети, без доступа к инфраструктуре, с правами локального админа для нужного доменного юзера. Функционал и риски такие же, но управлять этим куда проще.
А фраза "к примеру" Вас не удовлетворила, в моём комменте?
Поставьте ещё скобочек, они, видимо, добавляют Вам профессионализма.
да держи!
"))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))"
В запасе ещё 3 осталось...
спасибо большое! первый пост не увидела, а Ваш попался на глаза. я работаю дистанционно с госзакупками, поэтому никакой политикой компании не ограничена:) муж предлагал обновиться, я сомневалась, а теперь точно не стану обновляться. спасибо ещё раз за пост!