Schreiben aus der Perspektive eines IT-Experten (und ehemaligen Akademikers), der für eine große Universität gearbeitet hat und eine verwaltete Betriebsumgebung erstellt hat, um zu versuchen, diese Sache zu stoppen - es gibt keine. Es gibt einen Faux-Administrator-Zugriff, der praktisch jede legitime Verwendung des echten Administrator-Zugriffs umgeht, sodass dies wahrscheinlich das Beste ist, was Sie erwarten können (sollten).
Die durch Inkompetenz verursachten Schmerzen für den IT-Support Die Verwaltung von Computern ist nicht kalkulierbar. Die Anzahl der Computer, mit denen sie zu kämpfen hatten, wurde durch Viren, Malware, Bootleg-Software und eine ganze Reihe von Unannehmlichkeiten gefährdet, die Sie sich wahrscheinlich vorstellen können. Dies ist eine Folge des Anhängens von Benutzern auf Administratorebene an minimal gefilterte und überwachte Hochgeschwindigkeits-Internetverbindungen.
Damit sich eine Universität vor Strafverfahren schützen kann, muss sie in der Lage sein, die an ihr Netzwerk angeschlossenen Computer zu steuern. Die "guten alten Zeiten" sind leider vorbei und es ist für akademische Mitarbeiter nicht mehr akzeptabel, Torrent-Software auszuführen, die massive IP-Verstöße / Diebstahl von einem Computer im Besitz einer Universität begeht.
Ihr grundlegendes Problem ist nicht, dass Sie brauche Administratorrechte. Sie müssen sich bei der Installation der Software nicht verzögern. Das bedeutet also, dass Sie eine besser finanzierte IT-Abteilung benötigen. Darauf sollten Sie drängen.
Die IT-Abteilung sollte über die Ressourcen verfügen, um Software schnell zu "verpacken". Dies bedeutet, dass Sie es für die sichere Installation und Deinstallation sowie für alle Abhängigkeiten vorbereiten müssen - wie die Linux-Paketverwaltung, die jedoch zentral verwaltet wird. Eine gute Paketverwaltung ermöglicht eine Self-Service-Installation, sodass Sie sich von den Bemühungen der gesamten Universität abkoppeln würden. Wenn jemand anderes eine Software anfordern würde, würde diese für alle verfügbar sein, und wenn sie kostenlos wäre, könnten Sie sich selbst helfen mit einem Klick installieren. Wenn es nicht kostenlos wäre, könnten Sie die Genehmigung erteilen, die Mittel freizugeben und automatisch zu installieren.
Praktischer gesagt, wenn Sie unbedingt mit Administratorrechten spielen müssen, tun Sie dies in einer virtuellen Maschine. Am besten auf einem Cloud-basierten Server.
Die kommerzielle IT bewegt sich stark in diese Richtung, und wenn meine Erfahrung für die Informatik-Akademiker von Bedeutung ist, sind sie in dieser Hinsicht sehr veraltet und bereiten ihre Studenten nicht darauf vor die wahre Welt. Schauen Sie sich Tools wie "Docker", "Bitnami" und "Eclipse Che" an, um verschiedene Beispiele für die verfügbaren Tools zu sehen, mit denen der Zugriff auf Bare-Metal-Administratoren so gut wie ausgeschlossen ist.
BEARBEITEN
Noch ein paar Punkte.
1) Akademiker wissen (im Allgemeinen) nicht zu schätzen, wie proaktiv Sie sein müssen, um ein Netzwerk zu sichern. Es ist schlecht, ihre Zeit zu nutzen, um CERT nach Gründen zu durchsuchen, um Dinge zu patchen, damit sie dies nicht tun - mit unglücklichen Konsequenzen.
2) Wenn Sie Administratorzugriff haben, können Sie viel mehr Schaden anrichten. Klicken Sie auf einen E-Mail-Link von einem nicht privilegierten Konto und es ist keine große Sache. Klicken Sie auf eines als Root, und Ihr Konto sendet innerhalb einer halben Stunde eine Phishing-E-Mail an das gesamte Adressbuch der Universität. Dies führt zu einer wochenlangen Bereinigung der IT-Abteilung.
3) Wirklich Es gibt heutzutage keine wirklich legitimen Anforderungen für den vollständigen Administratorzugriff, die mir einfallen: -
Kompilieren von Software -> Isolierte VM
Ausführen alter Software -> Virtualisierte Blase (Forschung "App- V "zum Beispiel)
4) Die Vorteile eines ordnungsgemäß verwalteten Desktops sind nicht nur einseitig. Wenn Ihre IT-Abteilung es richtig macht, können Sie:
- sich bei jedem Computer auf dem Campus anmelden und auf Ihre Daten zugreifen (und Ihre Daten werden regelmäßig gesichert und sich auf einer sicheren ausfallsicheren Infrastruktur befinden). Keine USB-Sticks mehr mit kritischen und vertraulichen Daten. Keine Akademiker mehr unter Tränen, weil die einzige Kopie ihrer Arbeit auf einer einzigen externen Festplatte aufbewahrt wurde, die versagt hat.
- Sie können von einem Heimcomputer aus auf diese Daten zugreifen, falls Sie sie benötigen. Möglicherweise mit einigen Einschränkungen (möglicherweise mit dem richtigen Antivirenprogramm).
- Haben Sie viel verfügbaren Speicherplatz, wenn Sie ihn benötigen.
- Wenn Ihr Computer ausfällt, sind Sie in & Laufen weniger als fünfzehn Minuten nach Lieferung des Ersatzes (abhängig davon, wie viele nicht standardmäßige Pakete Sie installiert haben). Boeing hat dies seit Jahren. Dies spart ihnen ein Vermögen.
- Die Möglichkeit, gängige Software ohne IT-Aufwand zu installieren (und zu deinstallieren).
- Zugriff auf temporäre (vom Internet isolierte) VMs in einer sicheren Cloud im Besitz der Universität mit Administratorzugriff, um Aufgaben zu erledigen, die es unbedingt benötigen. Sie sollten in der Lage sein, einen virtuellen PC in weniger als 5 Minuten in Betrieb zu nehmen und ihn dann zu verwerfen, wenn Sie fertig sind.
- Diese Technologie kann auch verwendet werden, um virtuelle Lehrlabors mit nur der Software zu erstellen, die Sie für die Klasse benötigen, anstatt von Ihren IT-Mitarbeitern zu erwarten, dass sie mehr als 9 Einheiten der erforderlichen Software erhalten In den zwei Wochen vor Beginn des ersten Semesters "schön miteinander spielen".
- Benötigen Sie eine langlebige VM, um über mehrere Tage / Wochen / Monate hinweg signifikante Berechnungen durchzuführen? - Service-Anfrage. Mögliche Kosten für Sie, wenn Ihr Bedarf zu hoch ist, die Kosten jedoch mit denen von AWS oder MS Azure konkurrenzfähig sind.
- Weniger gestresster IT-Support, da diese nicht überlastet sind, um die Folgen des neuesten Phishing-Betrugs zu beseitigen Die Zeiten sollten viel besser sein. In der Tat sollten Sie einen veröffentlichten Servicekatalog von der IT haben, in dem genau angegeben ist, welche Services sie anbieten, wie viel sie kosten und wie schnell Sie eine Antwort erwarten können. Dies sind alles Standard-Dinge, für die sie Zeit haben sollten, wenn die Umgebung kontrollierter wird.
Im Ernst, dies ist ein positiver Schritt. Umarme es, unterstütze es und du wirst besser dran sein.