Jeg høre konstant, at man under ingen omstændigheder må gøre brugere
medlem af den lokale administrator gruppe (så brugeren er lokal
administrator på sin maskine).
Jeg har igennem flere år kørt med denne politik, at brugeren er lokal
admin. Jeg køre i et Windows 2003 AD miljø, hvor brugere bliver
autoriseret og får diverse adgang til netværket. Jeg køre også enkelte
MSI pakker ud igennem GPO, men det er generelle pakker som alle skal have.
Vores scenarie er, at den lokale bruger også er primær bruger på
maskinen - dvs. vi har ikke maskiner der har flere brugere.
Fordele ved at lade brugere være lokal admin:
1) Brugere kan selv installere diverse små-programmer som de måtte finde
brugbare. Arbejde er mere end hård slid og hvis en bruger vil have
installeret RealPlayer i nyeste version fordi han så kan høre lige hans
yndlings radio station, ja så synes jeg der skal gode argumenter til
hvorfor det ikke kan lade sig gøre.
2) Det sker at der er programmer som kræver lokal admin rettigheder før
de kan køre. Det gælder f.eks. vores Trend AV og vores VPN klient. Man
kan klart nok argumentere at man burde skifte de programmer men ét eller
andet sted, så ér programmerne købt og de bør tjene sig selv ind igen,
før man kan overveje alternativer.
3) Man kan nemmere argumentere overfor brugerene, at de ikke skal gemme
lokale data på deres computer. Det sker jo, at en PC skal om-installeres
(netop pga. brugeren er lokal admin) og det er nemt nok, hvis brugeren
ikke har lokale data liggende.
4) Brugeren kan selv lave diverse små-justeringer mht. udseende og
program tilpasninger. Alt kan sikkert styres via GPO m.v. men det tager
evigheder at opsætte og det er svært at gøre alle tilpas (nogen vil have
det på én måde og andre på en anden).
5) Administratoren slipper for en masse administration mht. ikke at
skulle lave MSI pakker og program opdateringer m.v. Brugeren kan selv
installere programmet eller opdateringen (evt. automatisk men hvor det
igen kræver lokal admin rettighed).
Ulemper:
1) Brugeren er meget mere udsat for diverse svagheder i Windows (f.eks.
med en usikker IE på en grim webside). Det løses dog langt hen af vejen
med en uptodate PC (automatisk Windows Update installering).
Endvidere er det jo naturligvis en selvfølge, at brugeren har
installeret en uptodate antivirus.
2) Brugeren kan selv installere diverse små-programmer, som han absolut
ingen idé har om de er sikre eller ej. Det er det største problem synes
jeg men det har aldrig været et reelt problem (men det kan det
selvfølgelig blive).
3) Computeren bliver helt sikkert sløv med tiden. Efter et år eller
deromkring er PC'en blevet så labgsom efter diverse installeringer, at
den skal ominstalleres.
4) Der kan opstå mange forskellige fejl fordi fejlene kan være person
relateret (forkert opsætning).
Jeg kan dog godt lide idéen om, at brugeren ikke er lokal admin og jeg
véd som sådan også godt, "at det er det eneste rigtige at gøre", men jeg
synes bare at det rent praktisk giver alt alt for meget arbejde til mig!
Men modbevis mig gerne (det er jo det jeg ligger op til)
Lidt om mig selv. Jeg har arbejdet som sysadmin prof. i 5 år. Jeg
administrere selv 30-40 brugere med mindst lige så mange (forskellige)
workstations. Jeg køre rent Win2003 server med WinXP klienter.
Anders.