Frage:
Gründe für einen Akademiker, Administratorrechte auf dem Arbeitscomputer zu benötigen
dothyphendot
2016-11-21 04:04:03 UTC
view on stackexchange narkive permalink

Fragen dazu in einem nicht speziell akademischen Umfeld wurden an anderer Stelle gestellt, insbesondere Sollten Entwickler Administratorrechte auf ihrem PC haben? und Sollte Entwickler auf ihrem Computer Administrator sein? Meine Frage bezieht sich auf meinen Job als Akademiker an einer (britischen) Universität.

Ich habe Linux bei der Arbeit verwendet, damit mein Computer nicht vom IT-Service meiner Universität verwaltet werden muss. Dies liegt nur daran, dass sie schlecht ausgestattet / verwaltet sind und daher die Lösung kleiner Probleme sehr lange dauert. Möglicherweise muss ich mehrere Wochen warten, bis eine (kostenlose) Software installiert ist. Dies führt zu inakzeptablen (für mich) Verzögerungen bei meiner Forschung. Sie ändern jetzt die Richtlinien der Universität, sodass alle mit dem Netzwerk verbundenen PCs von der IT verwaltet werden (angemessen), gesichert werden (angemessen) und die lokalen Administratorrechte auf diejenigen beschränkt sind, die einen echten Bedarf für sie nachweisen können (angemessen, aber ich bin es) Ich bin zuversichtlich, dass ich sie auf die eine oder andere Weise am Ende von meinem Bedürfnis überzeugen kann - aber ich möchte das vermeiden Verzögerungen, Besprechungen und Ärger, die damit verbunden sind.

Was sind gute, unbestreitbare Gründe dafür, dass ich möglicherweise lokale Administratorrechte benötige? Ich denke gerade an das Kompilieren von Code, der von meinem Co-Autor geschrieben wurde, aber ich brauche möglicherweise etwas Konkreteres. Sie werden nicht genug über meine Forschung wissen, um zu wissen, was ich tatsächlich brauche oder nicht.

Linux kann so konfiguriert werden, dass Software als nicht privilegierter Benutzer installiert und ausgeführt werden kann (zumindest in einigen Fällen sogar unter Verwendung eines Paketverwaltungssystems). Daher ist genau diese Notwendigkeit wahrscheinlich kein sehr starkes Argument.
Was ist falsch an den Gründen in Ihrem zweiten Absatz? Und warum sollten Sie uns nach einem "einzigen besten" Grund fragen, wenn wir nicht wirklich feststellen können, ob dieser Grund für Ihre Situation gilt?
@101010111100 Guter Punkt. Ich habe es bearbeitet, um "gute Gründe" anstelle von "Single Best" zu sagen. Aus irgendeinem Grund weigert sich die IT zu akzeptieren, dass ihre Unterstützung nicht gut genug ist, weshalb dieses Argument in der Praxis schwer vorzubringen ist.
@dmckee Zur Verdeutlichung: Ich glaube nicht, dass ich mit angemessener Unterstützung nicht ohne Administratorrechte auskommen könnte, sondern dass ich meine Forschung nicht gefährden möchte, weil die IT unterfinanziert / schlecht verwaltet ist. usw., und bieten daher in Wirklichkeit nicht geeignet
Dürfen Sie virtuelle Maschinen ausführen, für die Sie Administratorrechte haben?
@CodesInChaos - meines Wissens nicht mit dem Netzwerk verbunden.
@dmckee Ich denke du liegst falsch. Es gibt eine Menge, die Sie als nicht privilegierter Benutzer tun können, aber nicht alle. Beispiel: Sie möchten ein Datenbankmodul verwenden. Sie können die tragbare Version herunterladen. Es stellt sich jedoch heraus, dass eine Bibliothek installiert werden muss. Sie installieren diese Bibliothek lokal, aber es stellt sich heraus, dass diese Bibliothek eine andere Bibliothek benötigt. Diese Bibliothek kann nur mit dem C ++ - Compiler kompiliert werden. Sie haben diesen Compiler nicht installiert. Sie versuchen, den C ++ - Compiler mit dem vorinstallierten C-Compiler zu kompilieren, aber die Version ist falsch. Daher benötigen Sie den Administrator, um einen neueren zu installieren. Sie verschwenden viel Zeit, anstatt zu recherchieren.
Können Sie einen nicht verwalteten PC mit dem WiFi-Netzwerk verbinden?
@StrongBad Ja. Mit Eduroam. Ich mache das mit einem (Universitäts-) OSX-Laptop, der auch "verwaltet" wird. Die Alternative, die ich nehme, ist die Verwendung eines Personalcomputers, aber dann müsste ich a) ihn kaufen und b) die erforderlichen Lizenzen bezahlen, was sehr teuer wäre.
verwandt, aber nicht vollständig antwortwürdig: https://twitter.com/walkingrandomly/status/791559409457631232 Twitter-Umfrage unter Akademikern. 79% der befragten HAD-Administratorrechte, 16% hatten keine Administratorrechte und betrachteten dies als Problem, nur 5% hatten keine Administratorrechte und hatten nichts dagegen.
@nuoritoveri Bei meinen Kollegen ist es üblich, ein System auf Benutzerebene von Grund auf neu einzurichten, um diese Probleme zu vermeiden. Wir arbeiten an Clustern, haben also natürlich keine Administratorrechte. Keines der Dinge, die wir tun, erfordert Administratorrechte. Der einzige Ärger ist, dass ich meine Login-Shell derzeit nicht ändern kann, aber dies ist nur das: ein Ärger, kein tatsächliches Problem.
Haben Sie darüber nachgedacht, sie einfach tun zu lassen, was sie wollen, und dann jedes Mal eine Supportanfrage zu öffnen, wenn Sie etwas tun müssen? Verfolgen Sie jede Anfrage nur aggressiv (aber höflich), bis sie abgeschlossen ist, und beschweren Sie sich über die Befehlskette, wenn sie nicht rechtzeitig erledigt wird. Wenn Sie die Rechte wirklich brauchen, ist dies der beste Weg, dies zu beweisen.
@barbecue Ich vermute, dass diese Richtlinie aufgrund dessen, was Sie beschreiben, irgendwann langsam abgebaut wird. Aber es wäre sehr kostspielig für mich, in der Zwischenzeit davon betroffen zu sein, und die Zwischenzeit könnte angesichts ihrer bisherigen Aufzeichnungen eine Weile dauern!
Wenn ich wissenschaftlichen Code schreibe, um meine theoretischen Ergebnisse zu testen oder eine Methode zu implementieren, die ich studiere, werde ich in jeder Hinsicht ein Entwickler. Daher kommen alle Argumente aus der zugehörigen StackOverflow-Frage ins Spiel, die überwiegend mit "Ja" beantwortet wurde.
Entweder gibt es etwas, das Sie tun müssen, und Sie können nicht ohne Administratorrechte auskommen. In diesem Fall wissen Sie, was es ist. Oder nicht. In diesem Fall benötigen Sie keine Administratorrechte.
@jwg In einem gut funktionierenden System ist es sicher, aber in dem System, in dem ich konfrontiert bin, kann es vernünftig sein, Rechte zu erhalten, wenn ich sie einmal aufgegeben habe (das hat kürzlich ein anderer Kollege unter dem alten System gebraucht), wenn es überhaupt möglich ist, ist es vernünftig den mit dieser Möglichkeit verbundenen Produktivitätsverlust vermeiden zu wollen.
Elf antworten:
#1
+48
DCTLib
2016-11-21 15:34:34 UTC
view on stackexchange narkive permalink

Bisher habe ich nur einen Grund gefunden, warum Administratorrechte auf einem Computer mit fester Abteilung benötigt werden: Verwenden wissenschaftlicher Software .

Wenn Sie eine neue verwenden Wissenschaftliche Software, Sie haben oft den Quellcode und müssen ihn zuerst erstellen. In der Regel gibt es keine Dokumentation darüber, welche genauen Pakete in Ihrer Linux-Distribution benötigt werden (da sich dies im Laufe der Zeit ändert und es auch viele Linux-Distributionen gibt). Der Prozess ist also:

  1. Versuchen Sie zu erstellen
  2. Ermitteln Sie die Fehlerursache (Installieren neuer Software, Aktualisieren des Compilers, ...)
  3. Beheben der Fehlerursache (erfordert Administratorrechte
  4. Wiederholen Sie die Schritte 1 bis 3 viele Male, bis sie abgeschlossen sind.
  5. ol>

    Sie können nur dann zum nächsten Problem übergehen, wenn eines aufgetreten ist Es ist unrealistisch anzunehmen, dass Sie einem Administrator im Voraus eine Liste der erforderlichen Pakete geben können.

    Ohne Administratorrechte und einer Administratorreaktionszeit von beispielsweise ~ 6 Stunden kann dieser Vorgang leicht eine Woche dauern Mit Administratorrechten ist der Prozess viel schneller.

    Übrigens: Wenn Sie anfangen, wissenschaftliche Software professionell zu verwenden, müssen möglicherweise mehr Pakete installiert werden (LaTeX, Bildschirm, ...) Der Prozess wird fortgesetzt.

    Wenn Sie den IT-Mitarbeitern mitteilen, dass dies der (unvermeidbare) Prozess mit den meisten wissenschaftlichen Programmen ist und Sie während Ihrer Promotion mit ~ 10 solcher Tools arbeiten müssen, sollten Sie über einen verfügen guter Punkt. Auf technischer Ebene kann es auch geben die Möglichkeit für den Zugriff auf "admin light", indem Sie Ihren Benutzernamen auf die Whitelist setzen, um eine Paketinstallationsanforderung zu "sudo". Vielleicht ist das auch in Ihrem Fall eine Option.

Dies ist ein ausgezeichneter Vorschlag - Administrator-Lichtrechte, mit denen ich wissenschaftliche Software installieren kann, würden meine Hauptanliegen ansprechen. Obwohl ich für alles andere immer noch ihrer Gnade ausgeliefert wäre (6 Stunden sind sehr optimistisch - meine letzte Anfrage hat 2 Wochen gedauert!).
Entschuldigung, aber nichts davon erfordert Administratorrechte auf einem Linux-Computer. Unter OS X sicher. Die einzige denkbare Verwendung von Administratorrechten besteht darin, die Standard-Shell so zu ändern, dass keine Standardkonfiguration geladen wird. Dies ist jedoch streng optional.
@KonradRudolph, auch wenn dies für meinen Linux-Computer nicht ganz ausreicht, ist es auch sehr nützlich, zu wissen, dass dies für meinen OS X-Laptop der Fall ist.
Ich musste meine .tex-Installation von Hand hacken.
"Wiederholen Sie die Schritte 1 bis 3 viele Male, bis Sie fertig sind." Ich bekomme Rückblitze.
Ich bin mir nicht sicher, warum dies so hoch bewertet wird - wie verschiedene Leute darauf hingewiesen haben, dass Sie KEINE Administratorrechte benötigen, um Software unter Linux zu installieren, und es ist in der Tat eine sehr schlechte Praxis, Administratorrechte ohne Grund zu haben ... Ich arbeite in der IT und Leute, die solche Dinge tun, sind die Hauptursache dafür, dass Viren / Ransomware weit verbreitet sind. Berechtigungen sollten das erforderliche Minimum sein.
Es ist möglich und empfohlen, Software als nicht privilegierter Benutzer zu erstellen. Wenn das Erstellen aus dem Quellcode zu umständlich ist oder die Reproduzierbarkeit wichtig ist, können wichtige Tools wie Guix verwendet werden, für die ebenfalls keine Administratorrechte erforderlich sind.
@Milney:, da die IT möglicherweise nicht bereit ist, dies pro Benutzer zu tun. Es könnte für sie einfacher sein, sofort Verwaltungsrechte zu erteilen. Wenn ich jedoch das Originalplakat wäre, würde ich auch argumentieren, dass man mir vertrauen kann. Ich habe keinen Kollegen gesehen, der mit Problemen wie Viren konfrontiert war, obwohl alle Root-Zugriff auf ihrem Computer hatten.
@Milney Nein, aber wir brauchen ein anständiges Verpackungssystem, mit dem Benutzer Software installieren können. Andernfalls kann eine einfache "sudo apt install somesoftware" zu Stunden oder Tagen des Lesens der Anweisungen, des Kompilierens, fehlender Voraussetzungen und der Hölle der Abhängigkeit führen. Können wir uns zumindest darauf einigen? Guix, wie oben erwähnt, scheint vielversprechend (aber ich bin nicht sicher, wie es mit Abhängigkeitskonflikten mit dem lokalen Paketmanager umgeht). Geben Sie Akademikern ein solches Verpackungssystem, und ich bin sicher, dass niemand mehr nach Root-Zugriff fragen wird.
@Milney Die Begründung für diese Antwort ist im Wesentlichen das, was Federico geschrieben hat. Sie können natürlich Ihre eigene Version von gcc / clang lokal zusammen mit allen erforderlichen Bibliotheken installieren. Es dauert nur lange (Abhängigkeiten) und wenn etwas während des Prozesses nicht funktioniert (Kompilierungsfehlermeldungen usw.), ist es furchtbar schwierig, den Schuldigen zu finden, zumal Bibliotheken und Programme möglicherweise Build-Tools verwenden, die Sie nicht sind vertraut mit (z. B. wie können Sie Cmake mitteilen, wo sich eine benutzerdefinierte Bibliothek befindet? Viele Dokumentationen müssen gelesen werden, um dies zu beheben). [...]
[...] Wenn Sie einen Forscher benötigen, der tatsächlich recherchieren möchte, um sich mit allen Linux-Build-Tools vertraut zu machen, müssen Sie Tage oder sogar Wochen Zeit für die Forschung aufwenden. Sicher, die Notwendigkeit, dies zu lernen, kann später auftreten, aber ich habe auch noch nie von jemandem gehört, der einen Virus von einer "apt-get-Installation" erhält, ohne benutzerdefinierte Paketquellen hinzuzufügen.
@DCTLib Einige programmiersprachenspezifische Paketsysteme (Haskell's Cabal, [Pythons Pip] (/ a / 7143496/824425)) können Pakete im Home-Verzeichnis des Benutzers installieren. Für andere: Es ist nicht so schwer oder fehleranfällig, Build-Tools so zu konfigurieren, dass "-I $ {HOME} / include" und "-L $ {HOME} / lib" als Flags an den Compiler bzw. den Compiler übergeben werden. Linker, oder setzen Sie die `PKG_CONFIG_PATH` entsprechend usw. usw. Wie Milney betont, sind Root-Berechtigungen für die Verwendung von Abhängigkeiten absolut nicht erforderlich. Das macht es zwar einfacher, aber oft nur, weil Software-Distributoren das Installationshandbuch nicht aus Sicherheitsgründen schreiben.
Mit anderen Worten, Sie müssen * Entwickleraufgabe * ausführen, was effektiv bedeutet, dass Sie die Berechtigungen benötigen, die jeder Entwickler benötigen würde.
Warum also nicht von ihnen die Erlaubnis erhalten, apt-get zu verwenden? Hinweis: Dies ist NICHT dasselbe wie ROOT
@Milney Ja, das habe ich im allerletzten Absatz der Antwort vorgeschlagen.
@DCTLib In der Tat habe ich Ihre Antwort positiv bewertet und dies den anderen Personen in diesen Kommentaren wiederholt, die aus irgendeinem Grund immer noch darauf bestehen, dass in ihren Antworten Root-Zugriff erforderlich ist
#2
+33
aparente001
2016-11-21 12:34:43 UTC
view on stackexchange narkive permalink

Eigentlich denke ich nicht, dass das Wichtigste, was Sie den Mächten vermitteln können, ist, dass Sie einen gültigen Grund haben, Administratorrechte zu haben. Wichtiger ist es, sie davon zu überzeugen, dass Sie verantwortungsbewusst mit den Administratorrechten umgehen.

Der Trick besteht darin, Letzteres zu vermitteln, während Sie angeblich über Ersteres schreiben.

Denken Sie darüber nach ihre Sichtweise. Sie haben es satt, abgelenkte Professoren zu sein, die Sicherheitsrisiken verursachen, und haben beschlossen, eine klare Linie in den Sand zu ziehen.

Bei Ihrer Anfrage nach ein oder zwei Absätzen müssen Sie sehr sachkundig und mit ausgezeichnetem Urteilsvermögen auftreten. Geben Sie außerdem an, dass Sie im Zweifelsfall um Hilfe bitten würden.

Es wäre ideal, wenn Sie innen einen Verbündeten finden könnten, der Ihre Anfrage unterstützt.

Ich sympathisiere mit ihrem Problem, sie müssen sich selbst und übermütige Benutzer schützen. Ich kann mir leicht vorstellen, ob sie mit Ressourcen ausgestattet / verwaltet werden. Ich bin möglicherweise eher bereit, ihnen zu vertrauen, dass sie meinen PC für mich verwalten. Ich habe seit über 10 Jahren solche Rechte im Rahmen des vorherigen Systems (bei dem ich nachweisen musste, dass ich wusste, was ich tat, auf einige Rechte auf technischen Support zu verzichten und die Verantwortung für Fehler zu übernehmen). Aber die neue Politik ist jetzt viel restriktiver und sie sind nicht besser ausgestattet.
Ex-IT-Manager hier ... Wenn jemand versuchen würde, mich davon zu überzeugen, dass er dafür verantwortlich ist, würde ich fragen, wie? Wenn sie nicht sofort einen guten Grund hätten, wäre ich damit fertig, mit ihnen zu sprechen. Dies ist nicht wirklich eine Antwort, sondern ein Kommentar, der dem OP weitere Probleme bereiten könnte.
"Verantwortungsbewusster Umgang mit den Administratorrechten" beinhaltet ausnahmslos die NICHT installierte nicht genehmigte Software auf dem System. Besonders Freeware. Das OP sollte daher auf keinen Fall die Funktion "Software installieren" verwenden, um Administratorrechte zu benötigen. Dies scheint leider der einzige Grund zu sein, warum das OP Administratorrechte wünscht. Daher muss das OP wahrscheinlich lernen, wie der größte Teil der Welt funktioniert und mit den Verzögerungen zu leben, oder lernen, vorausschauend zu planen und die Installation von SW anzufordern, bevor dies erforderlich ist.
@Dunk Ja ... Sie sind kein Akademiker, oder?
@Dunk Was genau meinst du mit "Freeware"? Das OP spricht zu einem großen Teil über Linux. Wir sprechen nicht über die Installation von Freeware, wie ich es verstehe, sondern hauptsächlich über freie Software.
@Dunk - Selbst in der Privatwirtschaft gibt es Unternehmen, in denen Softwareentwickler nicht als Idioten gelten und auf ihren Computern Administratorrechte erhalten. Selbst in aufgeklärten Arbeitsumgebungen wird jemandem, der ein schlechtes Urteilsvermögen zeigt, eine kürzere Leine gegeben.
Genau so funktioniert es an der Universität, an der ich bin. Ich glaube nicht, dass es der IT wirklich wichtig ist, warum ich Administratorrechte pro See benötige. Abgesehen davon, dass ich den Grund dafür ausdrücken kann, dass ich weiß, was ich tue.
Wenn ich in dieser Situation war, war es wichtig zu betonen, dass ich KEINE Fragen stellen würde; Die einzige Unterstützung, die ich erhalten konnte, nachdem ich Administratorrechte erhalten hatte, war die Wiederherstellung des ursprünglichen Zustands meines Computers. Das war gut für mich. Andernfalls haben sie Angst, zu viele Fragen zu Dingen zu bekommen, die sie nie unterstützen wollten.
@cfr - Re: "Wir reden nicht über die Installation von Freeware". Das OP sagte, "muss mehrere Wochen warten, bis eine (kostenlose) Software installiert ist." Aus Wikipedia - "Freeware ist eine proprietäre Software, die ohne finanzielle Kosten verwendet werden kann." Über welchen Teil der Freeware sprechen wir nicht?
@aparente001 - Es geht nicht darum zu denken, dass die Softwareentwickler Idioten sind. Es geht darum, das Netzwerk zu schützen, und die meisten Softwareentwickler kennen die Schwachstellen in den verschiedenen Anwendungen, die es gibt, nicht. Dies ist der Grund für die IT-Genehmigung für die Installation von Anwendungen. Sie sollen Dienste abonnieren, die Anwendungen und bekannte Schwachstellen verfolgen. Offensichtlich ist die Annahme, dass "Softwareentwickler" nicht als Idioten gelten, von Natur aus falsch, gemessen an der großen Anzahl von Datenverletzungen, die ständig auftreten.
@Dunk Freeware, wie Open Office, Linux, Gimp, LaTeX, TeX, Python, Oktave, Fackel, Java, CDK, CellProfiler, Abalone, Chrom, Cling, BSD? Tatsache ist, dass jedes Netzwerk kompromittiert werden kann. Sie können keine einigermaßen große Organisation mit einer Firewall von "unsicher" zwischen ihr und dem Internet haben und tatsächlich erwarten, dass alles im Inneren sicher ist. Sicherheitslücken werden in * der gesamten Software * angezeigt. Es gibt keinen wahren Schotten.
@Dunk 'Freie Software' ist nicht dasselbe wie 'Freeware'. Die von Ihnen angegebene Definition gilt für Freeware. Dies gilt nicht für freie Software. Freie Software ist nicht proprietär. Linux ist freie Software. Es ist keine Freeware. Gleiches gilt für GIMP, LaTeX, TeX, Python, Chromium, BSD usw. (Nicht sicher über die anderen im vorherigen Kommentar aufgeführten, obwohl Java sicherlich kostenlos sein kann.) Sie sprechen von kostenlos wie bei Bier. Ich habe verstanden, dass das OP in erster Linie von frei wie in Freiheit spricht. Die von mir veröffentlichten LaTeX-Pakete sind freie Software, aber sicherlich keine Freeware.
@blankip: Auch ein IT-Ex-Manager. Wenn mir ein IT-Shop mit unzureichenden Ressourcen mitteilen würde, dass ihre in Panik geratenen drakonischen Richtlinien verantwortungsbewusst und effizient umgesetzt werden, würde ich fragen: "Wie?" Wenn sie die gleiche Antwort finden würden, die sie seit Jahren verwenden, um ihre Unfähigkeit zu verteidigen, rechtzeitig zu antworten, wäre ich damit fertig, mit ihnen zu sprechen. "Ich habe Recht, weil ich Recht habe" ist eine sehr beliebte Dummheit bei der Underperformance von IT-Shops.
@cfr - da es keine "Autorität" gibt, die entscheidet, was "Freeware" ist und was nicht, kann ich Ihrer Definition nicht widersprechen. Ich kann nur sagen, dass meine Definition von "Freeware" lockerer ist als die Wikipedia-Definition. Für mich ist jede Software, die kostenlos heruntergeladen und verwendet werden kann, einschließlich Linux, GIMP usw., Freeware.
@Dunk Sie waren derjenige, der die Definition von Wikipedia zitiert hat;). Sie haben gefragt, welcher Teil davon nicht zutrifft. Soweit ich weiß, ist dies die allgemein akzeptierte Definition. In jedem Fall ist Ihre Behauptung, Freeware sei im Allgemeinen eine Quelle von Trojanern und Malware, offensichtlich falsch, wenn Sie "Freeware" im weiteren Sinne meinen. Wenn das OP wirklich "Windows" bedeutet, wenn sie "Linux" sagen, und "Freeware", wenn sie "freie Software" sagen, dann ist Ihr Anspruch berechtigt. Sonst nicht. Beachten Sie, dass RHEL gemäß Ihrer Definition Freeware ist, auch wenn Sie dafür bezahlen, weil Sie den Code usw. für nichts herunterladen können.
@Dunk Beachten Sie, dass das Netzwerk selbst allen Arten von Anwendungen unterliegt, die darauf ausgeführt werden, da Benutzer ihre persönlichen Computer mit "eduroam" verbinden können. Die Situation ist also ganz anders als in einigen Einstellungen, in denen tatsächlich Schutzmaßnahmen vorhanden sind, um nicht genehmigte Software oder nicht genehmigte Computer, die auf das Netzwerk zugreifen, auszuschließen. In der Regel verfügt ein nicht verwalteter Computer über eine ähnliche Zugriffsebene, während verwaltete Computer direkten Zugriff auf interne Ressourcen haben. Aus den Kommentaren des OP geht hervor, dass dies derzeit der Fall ist. Es ist also wirklich unklar, wie die Verwaltung aller Universitätsmaschinen hilft.
@Dunk Oh, bitte. Ich bin nur ein Softwareentwickler, aber wenn meine Abteilung für jede Bibliothek, die wir verwenden, eine IT-Genehmigung erhalten müsste, würden wir niemals versenden. Wir haben * buchstäblich * ungefähr sechs- oder siebenmal so viele Entwickler wie die IT-Mitarbeiter (und die meisten unserer IT-Mitarbeiter verfügen nicht über die erforderlichen Fähigkeiten, um Entwickler zu unterstützen). Selbst wenn Sie das tun würden, würde es die Entwickler nicht davon abhalten, * Code * zu schreiben, gegen den verstoßen werden kann. Daher kommen die meisten Sicherheitslücken. Ich bin zuversichtlich, dass die Rolle der Akademiker in Bezug auf die Notwendigkeit, Werkzeuge zusammenzuschustern, um ihre Probleme zu lösen, ähnlich ist. Die Genehmigung von * allem * ist mit höheren Kosten verbunden, als sich die meisten Organisationen leisten können.
@Dunk Und wenn Sie über Dinge wie Heartbleed, Shellshock und andere aktuelle, sehr sichtbare Sicherheitslücken sprechen, sind die meisten davon in extrem standardmäßiger Software enthalten, die die IT selbstverständlich installieren würde, ohne dass jemand danach fragen müsste. (Einige von ihnen werden sogar * sofort im Betriebssystem * installiert.)
#3
+9
Ian
2016-11-21 13:50:08 UTC
view on stackexchange narkive permalink

Im Folgenden werden übermäßige Annahmen darüber getroffen, was Ihre Arbeit beinhaltet, aber ...

  1. Berechnen Sie die Rechenzeit für eine externe HPC-Ressource (in Großbritannien wäre dies Archer a) > oder eine feldspezifische Ressource wie DiRAC), da Sie Rechenressourcen benötigen, die über die von Ihrer Universität bereitgestellten Ressourcen hinausgehen.
  2. Sagen Sie der Universität, dass HPC-Systeme unter Linux ausgeführt werden Wenn sie die Software in ihren eigenen Release-Zyklen aktualisieren, müssen Sie über ein eigenes Linux-basiertes System verfügen, das Sie entsprechend aktualisieren können, damit Sie den auf dem HPC-System ausgeführten Code effektiv entwickeln und warten können.
  3. ol>

    Dieses Argument ist viel überzeugender, wenn Sie bereits Punkt 1 oder eine Vorgeschichte der Verwendung von HPC oder einer ähnlichen Computerressource haben.

#4
+9
Daniel R. Collins
2016-11-21 13:57:33 UTC
view on stackexchange narkive permalink

An meiner Institution kann jeder in der C.S.-Abteilung Administratorzugriff erhalten, unter der Annahme, dass wir neue Software entwickeln, kompilieren und testen müssen (einschließlich der Bewertung verschiedener Pakete). Ich habe diesen Zugang erst letzte Woche bekommen. Unterstützung / Anfrage des Vorsitzenden hilft.

In der Tat war dies früher auch unser System!
Normalerweise benötigen Sie nur "Sudo" -Zugriff auf Ihren Paketmanager, um entwickeln zu können, außer wenn Sie Kernel- und Treiber-Inhalte entwickeln.
Es gab mehrere Erwähnungen von Sudo, aber was hält Sie davon ab, "Sudo Su-" zu tun? Sie könnten es auf ein bestimmtes Programm beschränken, aber dann wäre es entweder nicht sehr nützlich oder umgehbar (zum Beispiel `sudo gcc -E ... -o / etc / sudoers`). Mit dem Paketmanager-Zugriff können Sie jederzeit: etwas entfernen, den Kernel ersetzen, etwas installieren, das über eine Installationszeitkonfiguration verfügt und das Schreiben beliebiger Dateien ermöglicht. Das Installieren / Kompilieren von Programmen und Bibliotheken in Ihrem Benutzerverzeichnis sollte kein Problem sein.
#5
+8
John
2016-11-21 15:44:39 UTC
view on stackexchange narkive permalink

Ich bin Akademiker an einer britischen Universität. Was Sie anfordern, ist nicht ungewöhnlich und andere haben gute Antworten gegeben. Es gibt jedoch eine andere Lösung, die wir für Forschungscomputer haben: Die Benutzer haben Administratorrechte auf ihren lokalen Forschungsmaschinen und einen eingeschränkten Internetzugang in einem anderen Subnetz, wodurch diese Maschinen den gleichen Zugriff auf Internetressourcen wie Gäste erhalten, jedoch keine Berechtigungen erhalten Zugang zu internen Universitätssystemen. Dies bietet die Ebene der internen Netzwerkverwaltung und -kontrolle, die heutzutage erforderlich ist, bietet den Forschern jedoch Flexibilität. Dies bedeutet auch, dass ein Forscher, der auch lehrt / verwaltet, möglicherweise einen separaten Desktop-Computer sowie seinen Forschungscomputer benötigt.

Das andere Problem, das Sie erkennen müssen, ist, dass Administratorrechte ein Privileg und kein Recht sind in dieser Umgebung. Wenn sie missbraucht werden, können Sie damit rechnen, sie zu verlieren. Ich habe gewusst, dass dies passiert, wenn Forscher dumme Root-Passwörter auf ihren Computern festgelegt haben oder wenn Forschungsstudenten illegale geknackte Software heruntergeladen haben, anstatt nach ordnungsgemäß lizenzierten Installationen zu fragen.

Die Situation ist derzeit so, wie Sie es beschreiben. Mein Computer hat nur eingeschränkten Zugriff auf freigegebene Laufwerke usw., und ich habe die Kontrolle darüber. Ich bin mit diesem Kompromiss zufrieden. Die neue Politik ist jedoch viel drakonischer.
#6
+8
mcottle
2016-11-22 15:51:11 UTC
view on stackexchange narkive permalink

Schreiben aus der Perspektive eines IT-Experten (und ehemaligen Akademikers), der für eine große Universität gearbeitet hat und eine verwaltete Betriebsumgebung erstellt hat, um zu versuchen, diese Sache zu stoppen - es gibt keine. Es gibt einen Faux-Administrator-Zugriff, der praktisch jede legitime Verwendung des echten Administrator-Zugriffs umgeht, sodass dies wahrscheinlich das Beste ist, was Sie erwarten können (sollten).

Die durch Inkompetenz verursachten Schmerzen für den IT-Support Die Verwaltung von Computern ist nicht kalkulierbar. Die Anzahl der Computer, mit denen sie zu kämpfen hatten, wurde durch Viren, Malware, Bootleg-Software und eine ganze Reihe von Unannehmlichkeiten gefährdet, die Sie sich wahrscheinlich vorstellen können. Dies ist eine Folge des Anhängens von Benutzern auf Administratorebene an minimal gefilterte und überwachte Hochgeschwindigkeits-Internetverbindungen.

Damit sich eine Universität vor Strafverfahren schützen kann, muss sie in der Lage sein, die an ihr Netzwerk angeschlossenen Computer zu steuern. Die "guten alten Zeiten" sind leider vorbei und es ist für akademische Mitarbeiter nicht mehr akzeptabel, Torrent-Software auszuführen, die massive IP-Verstöße / Diebstahl von einem Computer im Besitz einer Universität begeht.

Ihr grundlegendes Problem ist nicht, dass Sie brauche Administratorrechte. Sie müssen sich bei der Installation der Software nicht verzögern. Das bedeutet also, dass Sie eine besser finanzierte IT-Abteilung benötigen. Darauf sollten Sie drängen.

Die IT-Abteilung sollte über die Ressourcen verfügen, um Software schnell zu "verpacken". Dies bedeutet, dass Sie es für die sichere Installation und Deinstallation sowie für alle Abhängigkeiten vorbereiten müssen - wie die Linux-Paketverwaltung, die jedoch zentral verwaltet wird. Eine gute Paketverwaltung ermöglicht eine Self-Service-Installation, sodass Sie sich von den Bemühungen der gesamten Universität abkoppeln würden. Wenn jemand anderes eine Software anfordern würde, würde diese für alle verfügbar sein, und wenn sie kostenlos wäre, könnten Sie sich selbst helfen mit einem Klick installieren. Wenn es nicht kostenlos wäre, könnten Sie die Genehmigung erteilen, die Mittel freizugeben und automatisch zu installieren.

Praktischer gesagt, wenn Sie unbedingt mit Administratorrechten spielen müssen, tun Sie dies in einer virtuellen Maschine. Am besten auf einem Cloud-basierten Server.

Die kommerzielle IT bewegt sich stark in diese Richtung, und wenn meine Erfahrung für die Informatik-Akademiker von Bedeutung ist, sind sie in dieser Hinsicht sehr veraltet und bereiten ihre Studenten nicht darauf vor die wahre Welt. Schauen Sie sich Tools wie "Docker", "Bitnami" und "Eclipse Che" an, um verschiedene Beispiele für die verfügbaren Tools zu sehen, mit denen der Zugriff auf Bare-Metal-Administratoren so gut wie ausgeschlossen ist.

BEARBEITEN

Noch ein paar Punkte.

1) Akademiker wissen (im Allgemeinen) nicht zu schätzen, wie proaktiv Sie sein müssen, um ein Netzwerk zu sichern. Es ist schlecht, ihre Zeit zu nutzen, um CERT nach Gründen zu durchsuchen, um Dinge zu patchen, damit sie dies nicht tun - mit unglücklichen Konsequenzen.

2) Wenn Sie Administratorzugriff haben, können Sie viel mehr Schaden anrichten. Klicken Sie auf einen E-Mail-Link von einem nicht privilegierten Konto und es ist keine große Sache. Klicken Sie auf eines als Root, und Ihr Konto sendet innerhalb einer halben Stunde eine Phishing-E-Mail an das gesamte Adressbuch der Universität. Dies führt zu einer wochenlangen Bereinigung der IT-Abteilung.

3) Wirklich Es gibt heutzutage keine wirklich legitimen Anforderungen für den vollständigen Administratorzugriff, die mir einfallen: -

Kompilieren von Software -> Isolierte VM

Ausführen alter Software -> Virtualisierte Blase (Forschung "App- V "zum Beispiel)

4) Die Vorteile eines ordnungsgemäß verwalteten Desktops sind nicht nur einseitig. Wenn Ihre IT-Abteilung es richtig macht, können Sie:

  • sich bei jedem Computer auf dem Campus anmelden und auf Ihre Daten zugreifen (und Ihre Daten werden regelmäßig gesichert und sich auf einer sicheren ausfallsicheren Infrastruktur befinden). Keine USB-Sticks mehr mit kritischen und vertraulichen Daten. Keine Akademiker mehr unter Tränen, weil die einzige Kopie ihrer Arbeit auf einer einzigen externen Festplatte aufbewahrt wurde, die versagt hat.
  • Sie können von einem Heimcomputer aus auf diese Daten zugreifen, falls Sie sie benötigen. Möglicherweise mit einigen Einschränkungen (möglicherweise mit dem richtigen Antivirenprogramm).
  • Haben Sie viel verfügbaren Speicherplatz, wenn Sie ihn benötigen.
  • Wenn Ihr Computer ausfällt, sind Sie in & Laufen weniger als fünfzehn Minuten nach Lieferung des Ersatzes (abhängig davon, wie viele nicht standardmäßige Pakete Sie installiert haben). Boeing hat dies seit Jahren. Dies spart ihnen ein Vermögen.
  • Die Möglichkeit, gängige Software ohne IT-Aufwand zu installieren (und zu deinstallieren).
  • Zugriff auf temporäre (vom Internet isolierte) VMs in einer sicheren Cloud im Besitz der Universität mit Administratorzugriff, um Aufgaben zu erledigen, die es unbedingt benötigen. Sie sollten in der Lage sein, einen virtuellen PC in weniger als 5 Minuten in Betrieb zu nehmen und ihn dann zu verwerfen, wenn Sie fertig sind.
  • Diese Technologie kann auch verwendet werden, um virtuelle Lehrlabors mit nur der Software zu erstellen, die Sie für die Klasse benötigen, anstatt von Ihren IT-Mitarbeitern zu erwarten, dass sie mehr als 9 Einheiten der erforderlichen Software erhalten In den zwei Wochen vor Beginn des ersten Semesters "schön miteinander spielen".
  • Benötigen Sie eine langlebige VM, um über mehrere Tage / Wochen / Monate hinweg signifikante Berechnungen durchzuführen? - Service-Anfrage. Mögliche Kosten für Sie, wenn Ihr Bedarf zu hoch ist, die Kosten jedoch mit denen von AWS oder MS Azure konkurrenzfähig sind.
  • Weniger gestresster IT-Support, da diese nicht überlastet sind, um die Folgen des neuesten Phishing-Betrugs zu beseitigen Die Zeiten sollten viel besser sein. In der Tat sollten Sie einen veröffentlichten Servicekatalog von der IT haben, in dem genau angegeben ist, welche Services sie anbieten, wie viel sie kosten und wie schnell Sie eine Antwort erwarten können. Dies sind alles Standard-Dinge, für die sie Zeit haben sollten, wenn die Umgebung kontrollierter wird.

Im Ernst, dies ist ein positiver Schritt. Umarme es, unterstütze es und du wirst besser dran sein.

Streben Sie nach einer besser finanzierten IT ... und einem Einhorn für den Pendelverkehr. Sie werden wahrscheinlich das gleiche Glück haben. Ich verwalte meinen eigenen Computer und habe nie die Hilfe der IT benötigt, um Zeit für den Umgang mit den Menschen zu gewinnen, die ihn benötigen. Außerdem sind viele akademische Pakete für Akademiker kostenlos, sodass ich eine Kopie herunterladen und kompilieren kann. Die Lizenz verbietet jedoch deren Weiterverteilung, sodass die Universität sie nicht in ihr Repository aufnehmen kann.
@Davidmh Ich weiß, es ist unwahrscheinlich, dass die Unis zur Besinnung kommen, aber wir können hoffen;). Leider gibt es meiner Erfahrung nach für jeden Akademiker, der seinen Computer kompetent verwalten kann, mindestens zwei, die glauben, dass sie es können - und nicht und noch mehr, die das Interesse verlieren und nicht regelmäßig patchen. Weißt du, all diese langweiligen ITIL-Dinge, für die du IT bezahlst, musst du nicht :). Im Allgemeinen überwiegen die Kosten, die durch die Zuweisung von Administratoren zu den Kategorien 2 und 3 entstehen, bei weitem die Einsparungen, indem 1 auf ihre Weise ausgeführt wird ...
Fortsetzung ... Auch die Kosten für eine völlig chaotische, außer Kontrolle geratene Umgebung stellen andere Kosten in den Schatten. Die Uni-IT hier ist wahrscheinlich so eingestellt, dass auf diese Weise mehrere IT-Support-Mitarbeiter voll gespart werden. Hoffentlich verteilen sie sie neu, um die Antwortzeiten für Supportanrufe zu verbessern. Dann verschwindet die ursprüngliche Beschwerde.
-1. Ihre Ideen scheinen völlig realitätsfern zu sein. Sie sprechen von "kompromittierten" Computern und gehen davon aus, dass jeder, der Ihr Netzwerk nutzt, böswillig ist. In Wirklichkeit hat eine Maschine, die nicht im Besitz der Universität ist, absolut keinen Unterschied zu einem durchschnittlichen Computer, der mit einem durchschnittlichen ISP verbunden ist. ISPs beschäftigen sich rund um die Uhr mit der "völlig chaotischen außer Kontrolle geratenen" Umgebung ohne jegliche Probleme. Die richtige Maßnahme für den Umgang mit unsicheren Computern besteht darin, * sie vom sicheren Netzwerk zu isolieren *.
@ March Ho Ihr "in Kontakt mit der Realität" Mittel ist also, "sie vom sicheren Netzwerk zu isolieren" - viel Glück damit. Wenn Sie diesen Stunt an einer großen Universität versuchen, werden Sie feststellen, dass einer der Computer, die Sie als estnisches Spam-Relay gesperrt haben, einem persönlichen Freund eines hochrangigen Regierungsmitglieds gehört, der dann Ihren VC anruft, um sich über Sie zu beschweren. persönlich - oder so habe ich gehört;). Außerdem haben ISPs keine Verantwortung für Ihr Intranet oder die von Ihnen ausgeführte Software - nur für die Pipe. Uni IT ist für alles verantwortlich, von Ihrer Tastatur bis zur endgültigen Leitung des Campus. Völlig anders.
@mcottle-Benutzer können jederzeit eine VM mit Root-Zugriff installieren und alle schlechten Dinge tun, die Sie verhindern möchten, und sie so ungepatcht haben, wie sie möchten. (Und Sie können die Verwendung von VM nicht verbieten, da dies leider eine sehr verbreitete Methode für den Versand von akademischer Software ist.) Cloud-basierte Lösungen sind keine Option, wenn Sie TB an Daten verarbeiten müssen.
@Davidmh - Mit Ihrem umfangreichen Computer in der Cloud sind Sie tatsächlich viel besser dran. Nach unserer Erfahrung billiger, schneller und flexibler. Unser Cloud-Computer hatte direkten Zugriff auf unsere NetApp vFilers. Sie haben Ihre "TBs an Daten" in Ihrem Home-Verzeichnis gespeichert (den vFilers zugeordnet - überall verfügbar, nicht nur auf Ihrem Computer -, sich über den gesamten Campus hinweg anmelden), den Cloud-Computer gewählt und auf Ihre Daten verwiesen. Es hatte Glasfaserkanalzugriff auf die vFilers und war fast so schnell wie eine externe Festplatte.
1. Wie hindert mich das Fehlen von Administratorrechten (oder nur in einer VM) daran, Torrent-Software auszuführen? 2. Wenn eine Workstation in Ihrem Netzwerk zu einem estnischen Spam-Relay werden kann, stimmt etwas mit Ihrer Firewall-Konfiguration nicht.
@FedericoPoloni 1. Durch Blockieren von VMs aus dem Internet. 2. Nicht meine, ihre :) Wenn der Grund für den Administrator darin besteht, Software zu kompilieren, können Sie die Quelle von Ihrem gesperrten Desktop herunterladen, an einem freigegebenen Speicherort speichern, auf den die VM Zugriff hat, und sie vor Ort kompilieren. Das ist kein Grund mehr. In Windows-Land können Sie sogar eine Anwendung verpacken und in einer virtuellen Blase mit Administratorzugriff ausführen. Der Benutzer erhält also keinen Administrator - die App tut dies. All dieses Gerede über Admin ist SO im letzten Jahrhundert und zeigt a) wie veraltet Akademiker mit dem IT-Stand der Technik sind und b) warum es verrückt wäre, ihnen Admin zu geben
Punkt 4 ist theoretisch gut, aber in der Praxis viel Glück. Ich war Akademiker an einigen großartigen Institutionen, aber die IT ist immer unterfinanziert und überfordert, insbesondere für die Unterstützung persönlicher Maschinen. Meine letzte Einrichtung könnte angemessenerweise als die beste Privatschule des Bundesstaates bezeichnet werden, und obwohl wir erstaunliche Linux-Systemadministratoren hatten, die unsere Forschungsserver verwalteten, begann der gesamte Support für persönliche Maschinen mit einem Anruf bei einem mit Studenten besetzten Helpdesk, der Tage dauerte Wochen, um einfache Probleme zu lösen.
@David Ja, aber wenn Sie die Umgebung unter Kontrolle haben, erhalten Sie mit der gleichen Menge an IT-Ausgaben einen viel besseren Service. Die Straßensperre besteht normalerweise aus einer Gruppe von Akademikern, die etwas wollen, das sie nicht benötigen (z. B. Administratorzugriff), und dann einen zischenden Anfall haben, der meinen Dreijährigen beschämt hätte, wenn ihnen gesagt wurde, dass sie es nicht haben können. Logik kommt nicht traurig hinein. Mindestens 80% der Universität wären mit einem gesperrten Desktop, wie ich beschrieben habe, viel besser dran, und Ausnahmen, die etwas Besonderes benötigen, können normalerweise berücksichtigt werden, ohne die Schlüssel für das Königreich preiszugeben.
@mcottle Ich war in der IT und ich war in der Wissenschaft. Unwissende Aussagen darüber, wer die "Straßensperre" ist, sind ein zu 100% garantiertes Rezept für institutionelles Versagen. Glauben Sie mir, wenn ich sage, dass ich mich mit Akademikern befasst habe, die zischende Anfälle auslösen. Die Funktion der Forschungsuniversität besteht jedoch darin, Forschung zu ermöglichen. Forschung ist das, was die Rechnungen bezahlt und alles am Laufen hält, und die IT, die Hindernisse für eine effektive Forschung aufwirft, ist niemals eine gültige Lösung, selbst wenn die Theorie lautet, dass alles in Ordnung sein wird, wenn alles "unter Kontrolle" ist. Wenn die aktuelle IT-Situation Ihnen nicht die Nummer 4 gibt, haben Sie sie nicht.
@David es ist Huhn und Ei, nicht wahr? In einem Unternehmen kann der CEO ein SOE auferlegen, und jeder Widerstand wird gedämpft. Nachdem sich der Staub gelegt hat, stellen die meisten ursprünglichen Holdouts fest, dass es ihnen tatsächlich besser geht. Unis funktionieren nicht so, also muss man jahrelang kämpfen, um zu überzeugen, und riesige Geldbeträge verschwenden, um noch mehr zu sparen. Mein Punkt ist, dass wenn Sie eine gut verwaltete IT-Umgebung haben, die Auswirkungen auf die Forschung tatsächlich minimal sind. Der Grund, warum Universitäten sie nicht haben, ist Unwissenheit und Politik.
@mcottle Der Grund, warum Universitäten nicht gut funktionieren, ist, dass die Leute dort dumm und stur sind? Sie scheinen nur sehr wenig Erfahrung mit Universitäts-IT oder Unternehmens-IT zu haben. Ich bin mir nicht sicher welche.
Lassen Sie uns [diese Diskussion im Chat fortsetzen] (http://chat.stackexchange.com/rooms/48987/discussion-between-mcottle-and-david).
* Die Möglichkeit, gängige Software zu installieren (und zu deinstallieren), ohne die IT einzubeziehen. * Aber es ist die ungewöhnliche Software, die genau das Problem darstellt (Software zum Analysieren von Daten aus einem Kit, das nur ein bestimmtes Format ausgibt). Dies wird durch die Tatsache verschlimmert, dass sie nicht einmal viele gängige FOSS wie GIMP und Inkscape an vielen Orten bieten.
Ich bin mit diesem Kommentar ebenfalls nicht einverstanden. Als Leiter der Technologieabteilung an zwei verschiedenen Universitäten erhielt ich beide Male vollen Administratorzugriff auf unser gesamtes Netzwerk. Die IT hatte nie ein Problem mit mir, zumal ich Probleme vor Ort beheben konnte, ohne Trouble Tickets einzuholen.
@DaveKaye - Der Leiter einer Technologieabteilung muss ein extremer Randfall sein. Mein Punkt ist, dass die meisten akademischen Mitarbeiter keinen Administratorzugriff auf ihre Computer benötigen und dass es im Großen und Ganzen teurer ist, sie bereitzustellen und die Unordnung zu beseitigen, als sie zu sperren und die erhöhte Belastung des Support-Personals zu bewältigen. Es wird immer Ausnahmen geben. Es wird nur sehr wenige von ihnen geben, die nicht vom Administratorzugriff auf eine isolierte VM bedient werden können. Schauen Sie sich auch die ursprüngliche Frage an: OP hat aus plausiblen Gründen gefischt, um den Root-Zugriff auf eine Linux-Box beizubehalten, da ihnen keine einfiel. Ich ruhe meinen Fall aus
@mcottle, in der Tat die meisten nicht. Aber manche tun es. Extremer Randfall oder nicht. Wenn die IT der Universität nicht reagiert und ein einzelner Profi verantwortungsbewusst mit seinem Computer umgehen kann, welchen Unterschied macht das? Ich habe dieses Privileg an jede Fakultät vergeben, der ich vertraute. Sehr schnell widerrufen, wenn missbraucht. Mein Punkt "zuerst sperren, dann vertrauen" ist eine nette Abstraktion, aber ich bin mir nicht sicher, wie nützlich es für das Rechnen in einem akademischen Umfeld ist, in dem sich die Anforderungen von Prof zu Prof, von Semester zu Semester und sogar von Tag zu Tag ändern können.
#7
+4
rekado
2016-11-22 17:56:59 UTC
view on stackexchange narkive permalink

Als Systemadministrator in einem Institut gibt es wirklich keinen Grund, warum Benutzer über Administratorrechte verfügen sollten. In Ausnahmefällen können Benutzer spezifische Berechtigungen anfordern. Dies ist jedoch ein Whitelist-Ansatz, der Ihnen keine vollständigen Administratorrechte gewährt (z. B. erhalten Benutzer möglicherweise die Berechtigung, einen vordefinierten Dienst neu zu starten.) Sie erhalten jedoch nicht genügend Berechtigungen, um eine privilegierte Shell zu starten. Wenn sich die Workstations im IT-Management befinden, bedeutet dies wahrscheinlich auch, dass alle Änderungen, die Sie als Administrator vornehmen, ohnehin überschrieben werden (z. B. wenn Sie Puppet oder Chef für das Konfigurationsmanagement verwenden).

Für die Installation wissenschaftlicher Software empfehle ich GNU Guix, ein reproduzierbarer, benutzergesteuerter Funktionspaket-Manager. Wir verwenden es an unserem Institut im HPC-Cluster und auf Benutzerarbeitsstationen, damit Benutzer alle Arten von wissenschaftlicher Software installieren können. Zum Installieren von Software mit GNU Guix benötigt ein Benutzer keine Administratorrechte.

Dieselbe Einschränkung, die ich bereits an anderer Stelle erwähnt habe: macOS (und, glaube ich, Windows) ist immer noch im Wesentlichen ohne Administratorrechte gemauert. * Die meisten * Dinge werden funktionieren (sobald so etwas wie Homebrew eingerichtet ist), aber hin und wieder können fehlende Administratorrechte ein Problem sein. Ich kenne ein Institut, das Benutzern normalerweise keine Administratorrechte auf ihren Macs gewährt, und das ist ein echtes Ärgernis. Sie sind jedoch genau richtig für Linux.
@KonradRudolph Windows ist seit XP nicht mehr ohne Administrator gemauert. Heutzutage gibt es viele Optionen. Ein gut verwaltetes Active Directory- und Paketverwaltungssystem kann Wunder bewirken. Apple ist problematischer, weil es nicht für den Einsatz in einer professionell verwalteten Umgebung konzipiert ist (das war ein Zitat von APPLE, bevor Sie mich entflammen :) Casper hilft, aber ich denke immer noch, dass es Probleme geben kann. Wenn es nach mir ginge, würde ich die meisten von ihnen abwischen und sie mit Win / Linux doppelt booten lassen, aber dann verehre ich nicht in der "Church of Steve" :)
@mcottle Zu meiner Verteidigung war das letzte Windows, das ich verwendet habe, XP. :-) Ich habe andere Leute stöhnen hören, aber sie haben vielleicht einfach an einem schlecht eingerichteten System gearbeitet.
#8
+3
Dmitry Grigoryev
2016-11-21 17:31:28 UTC
view on stackexchange narkive permalink

Was mich an dieser IT-Richtlinie am meisten stört, ist die Anforderung, dass "alle mit dem Netzwerk verbundenen PCs von der IT verwaltet werden". Da Sie behaupten, Linux ohne die Hilfe der IT auf Ihrem Computer installiert zu haben, bezweifle ich, dass es überhaupt vom IT-Service der Universität verwaltet wird. Da Sie seit einiger Zeit uneingeschränkten Administratorzugriff auf Ihren Computer haben, gibt es für die IT keine vernünftige Möglichkeit, Richtlinien durchzusetzen, ohne das System neu zu installieren, das sie verwalten können (selbst wenn es sich um Linux handelt, muss es von ihnen installiert werden

Wenn Ihr IT-Support unprofessionell genug ist, um einfach Ihr root -Kennwort zu ändern, haben Sie immer noch Zugriffsrechte Administratorzugriff auf Ihr System über sudo oder durch Festlegen des Attributs setuid für Befehle, die Administratorrechte benötigen.

Die Richtlinie lautet, dass sie Linux neu installieren / konfigurieren, um sicherzustellen, dass sie über die erforderlichen Steuerelemente verfügen. Ich bin damit einverstanden, dass dies unvernünftig ist!
Wie beantwortet dies die Frage?
@DavidRicherby Die implizite Antwort, die ich daraus erhielt, lautet "Mach dir keine Sorgen, sie können die Richtlinie nicht durchsetzen", aber es könnte definitiv klarer sein.
Diese Art von Richtlinie wird normalerweise durch Auslösen von Personen durchgesetzt, die gegen diese Richtlinie verstoßen.
@StigHemmer Ich würde erwarten, dass der Computer zunächst aus dem Netzwerk entfernt wird.
Das Netzwerk in meiner Einrichtung ist auf der Whitelist, sodass nur von der IT gesegnete Computer eine Verbindung herstellen können. Sie können es definitiv durchsetzen.
@Davidmh Wie funktioniert diese Whitelist genau? Wenn es auf MAC-Adressen basiert, ist es trivial, es zu umgehen.
#9
+2
blankip
2016-11-21 13:31:36 UTC
view on stackexchange narkive permalink

Der beste Grund für die Notwendigkeit von Administratorrechten (lief 3 Jahre lang IT für große Unternehmen) ist, dass Sie ein Programm haben, das häufig ausgeführt und geändert werden muss, und dies erfordert Administratorrechte.

Was Sie haben in Ihrem zweiten Absatz skizziert, nun, deshalb wollen wir Administratorrechte von Benutzern behalten. Ich würde dies sicherlich nicht der IT-Abteilung Ihrer örtlichen Schule mitteilen, da es für Sie schwieriger sein könnte, Administratorrechte zu erlangen. Der problematischste Teil ist das freie Software-Bit (das häufig Trojaner oder Malware angehängt haben könnte), zusammen mit der Tatsache, dass Sie möglicherweise Ihre Administratorrechte verwenden, um Ihre Sicherheitssoftware auszuschalten.

Es ist viel besser, wenn Sie sich eine bestimmte Software einfallen lassen, die Sie (häufig) als Administrator ausführen oder Konfigurationsänderungen vornehmen müssen. Eine bessere Möglichkeit, dies zu handhaben - und dies hängt von den Fähigkeiten Ihrer lokalen IT ab - besteht darin, eine VM einzurichten und Administratorzugriff auf diese VM-Umgebung zu haben.

Wenn ich zum Beispiel viel kompiliert habe, habe ich dies gerne in meiner alten XP-VM-Umgebung mit 512 MB zugewiesen. Dies kann länger dauern, aber ich kann beim Kompilieren andere Dinge tun.

Was alles andere betrifft, macht es keinen Sinn. Das Risiko, an Projekten zu arbeiten, besteht darin, Informationen zu verlieren. Finden Sie einen Weg, um Dinge über Laufwerke oder online zu sichern. Ich verstehe nicht, wie das etwas mit Ihrer IT zu tun hat. Wenn Sie sich so verhalten, als ob Ihre IT nicht in der Lage wäre, Ihre Forschung oder Projekte zu beeinträchtigen, klingt dies nur weit hergeholt.

Kommentare sind nicht für eine ausführliche Diskussion gedacht. Dieses Gespräch wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/49001/discussion-on-answer-by-blankip-reasons-for-an-academic-to-need-administrator-ri) .
#10
  0
David
2016-11-23 12:10:04 UTC
view on stackexchange narkive permalink

Was sind gute, unbestreitbare Gründe dafür, dass ich möglicherweise lokale Administratorrechte benötige.

Ein kugelsicherer Grund für Administratorrechte ist, dass Sie neue Betriebssystemkerne entwickeln und testen.

Selbst wenn Sie nur Zugriff auf die Änderung des Bootloaders erhalten, können Sie Bonuspunkte für das Schreiben Ihres eigenen Systemaufrufs erhalten, mit dem die aktuelle Prozess-ID auf root gesetzt wird.

#11
-1
TheDoctor
2016-11-24 03:06:20 UTC
view on stackexchange narkive permalink

Sagen Sie einfach, dass Sie Linux installieren möchten und dass Sie schriftlich auf alle Anforderungen an den technischen Support verzichten, auch wenn Sie hoffen, dass diese bei Bedarf helfen.

Es sieht so aus, als hätten Sie die Frage nicht gelesen.Das OP läuft * bereits * unter Linux und möchte auf eine * neue * Änderung der Universitätsrichtlinien reagieren.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...