개발자를위한 Windows 권한?

9

R & D의 Windows 소프트웨어 개발자로 Fortune 500 대 기업에서 근무하고 있습니다. Corporate IT는 현재 전사적 Win7 배포를 준비하고 있으며 그 일부로서 모든 워크 스테이션 (개발 워크 스테이션 포함)에 대한 관리자 권한을 완전히 잠그려고합니다.

가능한 한 원활하게 전환하기 위해 그들과 함께 일해야했습니다. 운이 좋은 날.

내가 사용할 수있는 출판 된 또는 기타 존경받는 자원이 있는지 알고 싶습니다.

  1. 모래에서 어디에 선을 그릴 지 알아 내십시오
  2. 내 위치를 백업하십시오.

개인적으로, 우리는 R & D를하고 있으며 우리의 일은 '바로 사용하지 않는'일을하는 것입니다. 따라서 관리자 권한이 필요합니다. 그러나 Windows Admin으로 경력을 쌓기 시작하면서 목표와 달성해야 할 사항을 알고 있습니다. 내가 알아 내고 백업해야하는 것은 IT와 R & D가 함께 생활하고 지속적으로 업무를 수행 할 수있는 방식으로 환경을 구축하는 방법입니다.

로컬 관리자 권한이있는 개발 VM은 많은 도움이되지만 많은 사용자 지정 하드웨어와 인터페이스하기 때문에 모든 경우에 도움이되지는 않습니다.

이러한 변화를 추진하는 CIO는 개발 프로세스에 대한 지식이 제한적인 '순수한 IT'유형의 사람이므로 다른 사람과 공유하기에 적합한 참조가 필요합니다.

나는 많은 개인적인 의견을 모 으려고하지 않고 있습니다 (많은 사람들이 이미 여기 에서 공유 했습니다 ). 실제로 고위 경영진에게 강력한 사례를 만들기 위해 백서, 잡지 기사, 학술 작품 등이 필요합니다.

development-environment 

소스
1
관련 (그러나 내가 볼 수있는 연구 참조는 없음) : programmers.stackexchange.com/questions/4596/…
Adam Lear

답변:

9

특히 Windows 7을 사용하기 때문에 자신의 컴퓨터 관리자가되도록 열심히 밀어야합니다. 개발자가 관리자가되는 것을 막아야하는 두 가지 이유가 있습니다.

  • 다른 사람들이 관리자가되는 것을 막는 것과 같은 이유로, 멀웨어가 실행되는 경우 악성 프로그램이 실제로 끔찍한 일을하지 않도록합니다.
  • 관리자 인 경우에만 작동하는 앱을 작성하지 않습니다.

UAC를 사용하면 시작하는 앱이 의도적으로 요청하지 않는 한 관리자로 실행되지 않기 때문에 이러한 일이 발생하지 않습니다. 따라서 관리자 계정을 가질 위험이 거의 없습니다.

일부 보스에게는 세 번째 이유가 있습니다. 게임이나 무단 도구를 설치하고 싶지 않습니다. 이 이유의 장점을 논의하지 않고, 나는 그것이 보통 미지의 상태로 남아 있음을 관찰 할 것이다. 작성중인 내용을 설치하고, IIS를 구성하고, 다양한 종류의 테스트 (예 : 호스트 파일 편집)를 위해 컴퓨터를 재구성하고 관리자 액세스를 피하는 두 가지 "실제"이유가 더 이상 Windows 7에 적용되지 않도록하려면 관리자 액세스 권한이 필요합니다. 따라서 관리자 여야합니다.

케이트 그레고리
소스
5

솔직히 나는 그것이 어려운 경우가 될 것이라고 생각합니다. 일단 경영진이 마음을 사로 잡으면 변화시키기가 매우 어렵습니다. 이들이 귀하의 컴퓨터에 대해 더 많은 권한을 허용 한 경우 다른 사람이이 전체 계획이 방지하도록 설계된 조치에 액세스하여 수행 할 수 있습니다.

도움이 될 수 있습니다.

PS : 행운을 빈다!

FreeAsInBeer
소스
답장을 보내 주셔서 감사합니다. 그들이 달성하려는 목표를 알고 있습니다 (IT / Server Admin에서 경력을 시작했습니다). 내가 찾고있는 것은 IT와 R & D 모두가 살면서 지속적으로 업무를 수행 할 수있는 최소 제한 환경을 구축하는 방법입니다.
serverfault와의 연결로 인해 찬성했습니다-내 생각에 OP는 분명히 그의 사건에 대한 몇 가지 주장을 찾을 수 있어야합니다.
Astrotrain
3

한 가지 옵션은 관리 액세스를 허용하는 테스트 워크 스테이션을 요청하는 것입니다.

또 다른 옵션은 정확히 말한대로하는 것입니다. 그런 다음 다음 프로젝트가 진행될 때마다 작은 변화가있을 때마다 IT 부서에 가야하므로 진전이 없습니다. 이를 프로젝트 리더에게 설명하면 관리자 권한을 신속하게 준비합니다.

세 번째 옵션은 부서가 Win7 마이그레이션 프로젝트에 표시되는지 확인하는 것입니다. 그렇다면 담당자에게 문의하여 부서의 요구 사항 목록에 관리 권한을 추가 할 수 있는지 문의하십시오.

네 번째 옵션은 거래하는 것입니다. 마이그레이션 프로젝트는 일반적으로 Win7 용 소프트웨어를 업데이트하기 위해 개발이 필요합니다. 새로운 환경에서 관리자 권한에 대한지지적인 태도를 취하는 것이 가능할 수 있습니다.

안도 마르
소스
3
작동하지 않습니다-그것은 단지 디버거와 같은 일없이 일을해야한다는 것을 의미하며, 느려진 것은 당신의 잘못입니다
Martin Beckett
1
@Martin Beckett : 1 층의 동료들이이 문제를 겪었습니다. 그들은 PM 접근 방식을 선택했고 PM은 로컬 관리자, 더 빠른 랩톱 및 더 큰 화면을 준비했습니다.
Andomar
비 관리 정책을 시행하는 사람과 정책의 엄격도에 따라 다릅니다. (여기에서와 같이) CIO이고 개발 배경이 아닌 사람이라면 예외가 있다고 가정하는 것이 아니라 예외를 얻는 것이 좋습니다.
David Thornley
3

로컬 관리자가 아니고 개발을 시도한다고 상상할 수는 없지만 개발 작업 및 개발 프로세스 및 툴체인의 표준화 방법에 따라 요구 사항이 달라질 수 있다고 생각합니다.

필자의 경험으로는 일반적으로 고위 개발 직원이 있으며 몇 가지 중요한 문제를 신속하게 프로토 타이핑하거나 문제를 해결하기 위해 다양한 개발 도구 (때로는 이상한 시간에)를 설치해야합니다. 설치, 디버그, 서비스 작업 등을 위해서는 로컬 관리자 액세스 권한이 거의 필요합니다.

툴셋이 상당히 일정하고 개발 / 디버그 / 배포 내용에 따라 나머지 직원이 도움을받지 못할 수도 있습니다. 저의 제안은 가장 수준이 높은 수석 개발 직원을 모아서 문제와 옵션을 설명하고, 며칠 동안 문제를 고려한 다음, 어떤 종류의 액세스를 결정하기위한 계획 회의를 갖는 것입니다 직원이 있어야합니다.

홀타 볼트
소스
3

순수한 IT 관점과 개발 관점에서 많은 회사는 다음과 같은 방식으로 문제를 해결합니다.

모든 개발 박스를 별도의 네트워크에 둡니다. 개발 네트워크가 완전히 격리되어있을 수 있습니다 (인터넷 및 인트라넷 없음). 이 경우 개발자에게는 전자 메일 및 공식 통신에 사용되는 별도의 회사 상자가 있습니다 (예 : 인터넷 및 인트라넷 모두에 대한 액세스). 이 솔루션은 Eclipse와 같은 특정 IDE 및 기타 개발 도구가 업데이트 및 플러그인을 얻기 위해 인터넷에 실시간으로 연결되어 있다고 가정하므로 고유 한 문제가 있습니다. 여전히 대부분의 개발 도구는 격리 된 네트워크가 존재한다는 것을 알고 있습니다.

이 접근 방식의 다른 변형은 개발 네트워크를 서브넷에 두는 것입니다. 엄격한 DMZ 방화벽을 통해 인터넷과 인트라넷에 간접 액세스 할 수 있지만 여전히 개발자는 로컬 관리자 액세스 권한을 갖습니다.

베린 로리 치
소스
1
분리를 위해 +1, 원격 사용자와 같은 개발자를 대우하고 회사 IT를 꽤 잘 확보하는 경향이 있습니다.
Wyatt Barnett
"인터넷 없음"은 개발자 컴퓨터에서 Stackoverflow를 사용할 수 없다는 의미입니까?!
mbx
옳은. 인터넷과 개발을위한 별도의 기계
Berin Loritsch
1

개발자에게 두 개의 계정을 제공하십시오.

첫 번째는 일반적인 비 권한 사용자 계정으로 모든 일상 업무 (소프트웨어 개발 포함)에 사용됩니다. 다른 하나는 로컬 관리자 계정이며 특정 컴퓨터에 대한 관리자 권한 만 갖습니다. 실제로 물건을 설치하거나 기계 설정을 조정할 때만 필요합니다.

인터넷 프록시 서버, 이메일 등과 같은 일상적인 서비스는 일반 계정 만 인식하므로 개발자는 항상 로컬 관리자를 사용할 수 없습니다. 관리자 권한이 필요할 때마다 UAC가 팝업되어 개발자에게 로컬 관리자 로그인 세부 정보를 입력하여 계속 진행할 수있는 기회를 제공합니다.

시몬 B
소스
이것은 내가 직장에서 얻은 것이고 꽤 잘 작동합니다. + 1
Rémi
1

소프트웨어 개발은 말 그대로에서 근본적으로 다른 야수 다른 모든 컴퓨터의 사용과 같은 치료를해야합니다.

자체 코드를 작성하고 디버깅에서 코드 실행을 더 중요하게 추적하려면 컴퓨터에 대한 권한이 있어야하며 다른 상황에서는 로컬 보안에 위험을 초래할 수 있습니다. 물린 형태로 표현 :

소프트웨어 개발에 필요한 권한은 일반 사용자에게는 적합하지 않습니다.

작업을 완료하려면 로컬 관리자 여야합니다. 그러나 로컬 관리자가되고 보안 정책을 우회함으로써 이론적으로 나머지 네트워크에 위험을 초래할 수 있습니다. 따라서 우려 사항도 해결해야합니다. 보안이 중요한 회사가이 문제를 해결하는 방법은 다음 두 가지 간단한 규칙을 적용하는 것입니다.

  1. 프로그래머는 개발 컴퓨터에서 로컬 관리자 액세스 권한을 갖습니다.
  2. 개발 시스템이 회사 네트워크에 연결되어 있지 않습니다.

두 번째 규칙이 수행되는 방식은 IT 부서에 달려 있습니다. 때로는 개발 시스템이 네트워크에 연결되지 않은 상태로 자체 격리되어 있고 (여러 국방 계약 업체에서 볼 수 있음) 때때로 인터넷에 액세스 할 수 있도록 "게스트"또는 "DMZ"네트워크에 연결되어 있습니다 (패치 다운로드, 문서 액세스) 회사 네트워크에 과도한 위험을주지 않고

자, 이것에 대한 공식 자료 를 찾을 수 있습니까? 나는 그것이 당신이 공식적으로 보는 사람에 달려 있다고 생각합니다 . 이 문제에 대한 의견은 기본적으로 만장일치입니다. 그러나 거의 언급되지 않은 것으로 잘 알려져 있습니다. " 내 차에 주차 브레이크가 있어야합니까? "

타일러
소스
0

가상 환경을 사용할 수 있습니까?

그래픽이 많은 작업을하지 않고 vmware 또는 virtualbox에서 MSVC를 실행하는 것이 좋습니다 (램이 많은 경우) 가상 환경에서 관리자를 가질 수 있으며 '그들의'설치가 잠겨 있습니다.

마틴 베켓
소스
2
그 반대의 경우가 더 좋습니다. 가상 환경에서 회사 작업 환경을 사용하십시오. 기업 IT는 일반적으로 어쨌든 관리자에게이를 제공하며 이메일을 읽고 보내는 데만 사용합니다.
Andomar
예. 그러나 문제가 문제가되지 않으면 디버거 또는 테스트 설치를 실행할 수있는 관리자 권한이없는 경우
Martin Beckett
아이디어는 가상 서버가 콥넷에 있지만 그렇지 않다는 것입니다. 따라서 로컬 관리자가 될 수 있습니다
Andomar
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.