13
VS-Entwickler ohne Admin-Rechte?
Mahlzeit,
wir diskutieren im Kollegenkreis seit einiger Zeit die Frage, ob ein Entwickler an seiner Maschine tatsächlich Adminrechte benötigt - eure Meinung würde mich interessieren.
Gegeben ist: Windows Active Directory, User arbeiten eigentlich ohne Adminrechte unter XP Pro SP3 und 7 Pro SP1. Die Entwickler haben lokale Admin-Rechte, da mitunter auch Dienste entwickelt werden, die sich wiederum ohne Admin-Rechte nicht installieren/testen lassen.
Wie löst ihr dieses Dilemma?
Cheers,
jsysde
Wie löst ihr dieses Dilemma?
Cheers,
jsysde
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 170602
Url: https://administrator.de/contentid/170602
Printed on: April 19, 2024 at 14:04 o'clock
13 Comments
Latest comment
Hi.
Das Thema ist doch unendlich groß. Wenn Du mit nur zwei Sätzen Ausgangsbeschreibung ohne konkrete Fragen nach einzelnen Sachverhalten loslegst, dann wird das ein Endlosthread.
Einen Blick oder eine Überlegung wert ist vielleicht http://www.beyondtrust.com/Products/PowerBroker-Desktops-Windows-Editio ... - state of the art was Rechtebeschneidung angeht. Es kann mehr als die Bordmittel hergeben und kann als Freeware eingesetzt werden, wenn man den Aufwand nicht scheut, es einzeln zu konfigurieren.
Das Thema ist doch unendlich groß. Wenn Du mit nur zwei Sätzen Ausgangsbeschreibung ohne konkrete Fragen nach einzelnen Sachverhalten loslegst, dann wird das ein Endlosthread.
Wie löst ihr dieses Dilemma?
Ein Dilemma wird es doch erst, wenn es konkrete Gründe gegen Adminrechte gibt. Hat man halbwegs firme und verantwortungsvolle Entwickler (kann nicht für alle gelten, schon klar), dann würde ich immer vorschlagen, ihnen ein Schriftstück vorzulegen, das besagt, dass sie die Adminrechte nur für bestimmte Zwecke bekommen und alles darüber Hinausgehende bitteschön weiterhin die Admins machen.Einen Blick oder eine Überlegung wert ist vielleicht http://www.beyondtrust.com/Products/PowerBroker-Desktops-Windows-Editio ... - state of the art was Rechtebeschneidung angeht. Es kann mehr als die Bordmittel hergeben und kann als Freeware eingesetzt werden, wenn man den Aufwand nicht scheut, es einzeln zu konfigurieren.
Moin,
interessanter LInk, vielen Dank. Muss ich mir in Ruhe anschauen und nach meinem Urlaub mal antesten.
Ja, das mit den zwei Sätzen war wohl etwas kurz gefasst, ich versuchs mal:
Eigentlich gibt es die Anweisung, dass auch und gerade die User mit lokalen Adminrechten nichts installieren dürfen, ohne sich vorher die Erlaubnis dazu geholt zu haben, dabei geht es nur um kleine Tools wie Editor X oder Anwendung Y; "grössere" Installation wie VS2008/2010 + ServicePacks, SSMS etc ist sowieso Adminsache.
Unsere Security-Suite verfügt über eine Application Control und genau auf diesem Weg fällt immer mal wieder auf, was sonst so noch auf den Maschinen insalliert wird, das reicht von veralteten Browsern (Firefox in diesem Fall) über google Earth bis Zattoo - alles Dinge, die ich nicht in "meinem" Netz haben will bzw. wenn, dann in aktuellen Versionen, die zentral ausgerollt werden.
Und "ein bisschen schwanger" gibts ja nun nich, entweder Admin oder eben nicht.
Die Frage, die sich daraus eigentlich ergibt: Kann ein Entwickler ohne Admin-Rechte überhaupt vernünftig arbeiten? Visual Studio 2008/2010 bzw. für "ältere" Applikation Visual Basic 6.
Cheers,
jsysde
interessanter LInk, vielen Dank. Muss ich mir in Ruhe anschauen und nach meinem Urlaub mal antesten.
Ja, das mit den zwei Sätzen war wohl etwas kurz gefasst, ich versuchs mal:
Eigentlich gibt es die Anweisung, dass auch und gerade die User mit lokalen Adminrechten nichts installieren dürfen, ohne sich vorher die Erlaubnis dazu geholt zu haben, dabei geht es nur um kleine Tools wie Editor X oder Anwendung Y; "grössere" Installation wie VS2008/2010 + ServicePacks, SSMS etc ist sowieso Adminsache.
Unsere Security-Suite verfügt über eine Application Control und genau auf diesem Weg fällt immer mal wieder auf, was sonst so noch auf den Maschinen insalliert wird, das reicht von veralteten Browsern (Firefox in diesem Fall) über google Earth bis Zattoo - alles Dinge, die ich nicht in "meinem" Netz haben will bzw. wenn, dann in aktuellen Versionen, die zentral ausgerollt werden.
Und "ein bisschen schwanger" gibts ja nun nich, entweder Admin oder eben nicht.
Die Frage, die sich daraus eigentlich ergibt: Kann ein Entwickler ohne Admin-Rechte überhaupt vernünftig arbeiten? Visual Studio 2008/2010 bzw. für "ältere" Applikation Visual Basic 6.
Cheers,
jsysde
Warum greift Ihr denn nicht durch? Sie dürfen nichts installieren - fertig. Wenn ihr es bemerkt, folgen Sanktionen - Ihr hatte darauf hingewiesen, sie haben sich nicht daran gehalten.
Ich bekomme sofort E-Mails, weil wir eventgetriggert Mails verschicken. Nutzt einer den Windows Installer, kriege ich Post... und die Ärger.
Ich bekomme sofort E-Mails, weil wir eventgetriggert Mails verschicken. Nutzt einer den Windows Installer, kriege ich Post... und die Ärger.
Kann ein Entwickler ohne Admin-Rechte überhaupt vernünftig arbeiten?
Die Tücke wird immer im Detail liegen - da können Dir Leute noch soviele Wege vorschlagen, wie es gehen könnte.
Eigenes Netz isoliert von regulären LAN und Internet. Die KIsten dann unter der eigenen Verwaltung des Entwicklers inklusive der vollen Verantwortung für "Mißgeschicke".
Ist eine Möglichkeit unter vielen.
Ist eine Möglichkeit unter vielen.
Ganz ehrlich: Als Programmierer würde ich mich weigern ohne Adminrechte etwas zu machen.
Genauso wie sich jeder Admin normalerweise weigert ohne Adminrechte zu arbeiten.
Das merkt man, wenn man beide Sachen schon lange genug gemacht hat.
Es gibt Leute die Computer benutzen (Buchhaltung etc.) und es gibt Leute, die mit Computern arbeiten: Admins und Programmierer.
Dazu auch: http://www.codinghorror.com/blog/2010/08/vampires-programmers-versus-we ...
Bei meinem Arbeitgeber läuft das ganz einfach:
Wenn jemand Admin-Rechte auf seinem PC will, dann kann er die gegen eine Gebühr (natürlich über die Kostenstelle) beantragen, fertig.
In einem IT-Unternehmen kommt man nicht sonderlich weit, wenn die Entwickler alle 2 Minuten durch eine "Verboten!"-Meldung behindert werden.
Genauso wie sich jeder Admin normalerweise weigert ohne Adminrechte zu arbeiten.
Das merkt man, wenn man beide Sachen schon lange genug gemacht hat.
Es gibt Leute die Computer benutzen (Buchhaltung etc.) und es gibt Leute, die mit Computern arbeiten: Admins und Programmierer.
Dazu auch: http://www.codinghorror.com/blog/2010/08/vampires-programmers-versus-we ...
Bei meinem Arbeitgeber läuft das ganz einfach:
Wenn jemand Admin-Rechte auf seinem PC will, dann kann er die gegen eine Gebühr (natürlich über die Kostenstelle) beantragen, fertig.
In einem IT-Unternehmen kommt man nicht sonderlich weit, wenn die Entwickler alle 2 Minuten durch eine "Verboten!"-Meldung behindert werden.
Hallo,
frage ich doch mal andersrum: was spricht den gegen lokale Admin-Rechte?
- der User/PC kann eine Gefahr für andere werden
Klare Spielrgeln, er soll ja arbeiten können
- das OS geht "kaputt"
Image zurückspielen und ihm die Ohren lang ziehen
Bei den meisten kleineren Kunden ohne IT Personal arbeiten die Mehrheit eh mit lokalen Adminrechten.
Nachträglich die Rechte von Usern beschneiden führt immer zu endlosen politischen Diskussionen um Vertrauen und Mißbrauch.
Stefan
Anekdote: Wir hatten 2002/2003 für eine recht große Firme gearbeitet die sehr restriktive Regeln hatten.
- Email-Postfach 200MB, ab 175MB kann man nichts mehr verschicken, ab 200MB gehen die Emails an den Absender zurück
- Beim Abmelden werden die Eigenen Dateien und der Desktop gelöscht
Aber das ist eher die Ausname. Schade
frage ich doch mal andersrum: was spricht den gegen lokale Admin-Rechte?
- der User/PC kann eine Gefahr für andere werden
Klare Spielrgeln, er soll ja arbeiten können
- das OS geht "kaputt"
Image zurückspielen und ihm die Ohren lang ziehen
Bei den meisten kleineren Kunden ohne IT Personal arbeiten die Mehrheit eh mit lokalen Adminrechten.
Nachträglich die Rechte von Usern beschneiden führt immer zu endlosen politischen Diskussionen um Vertrauen und Mißbrauch.
Stefan
Anekdote: Wir hatten 2002/2003 für eine recht große Firme gearbeitet die sehr restriktive Regeln hatten.
- Email-Postfach 200MB, ab 175MB kann man nichts mehr verschicken, ab 200MB gehen die Emails an den Absender zurück
- Beim Abmelden werden die Eigenen Dateien und der Desktop gelöscht
Aber das ist eher die Ausname. Schade
Zitat von @DerWoWusste:
Ich bekomme sofort E-Mails, weil wir eventgetriggert Mails verschicken. Nutzt einer den Windows Installer, kriege ich Post... und
die Ärger.
Ich bekomme sofort E-Mails, weil wir eventgetriggert Mails verschicken. Nutzt einer den Windows Installer, kriege ich Post... und
die Ärger.
Hi,
wie funktioniert das?
VG
Wow, die Reaktionen sind klasse!
Womit willst du einen Nerd sanktionieren? Tageslicht, UV-Lampe?
Und kannst du ohne google und Code-Snipplets aus dem Netz arbeiten? Ich nicht.
Wir haben mal den Gedanken lt. ausgesprochen, ohne Admin-Rechte zu arbeiten und stattdessen einen Account im AD anzulegen, der über passende Rechte verfügt. Unter XP war das mit "Ausführen als" sehr umständlich bzw. bei MSI-Paketen gar nicht direkt möglich (nur via cmd im passenden Kontext). Unter Windows 7 sieht das dank UAC schon deutlich anders aus. Anders gefragt: Wenn hier Entwickler mitlesen, könntet ihr damit leben, für alles, was Admin-Rechte benötigt, User/Kennwort separat einzugeben? Und welche Vorgänge benötigen denn überhaupt Admin-Rechte?
Cheers,
jsysde
Warum greift Ihr denn nicht durch? Sie dürfen nichts installieren - fertig. Wenn ihr es bemerkt, folgen Sanktionen
Theoretisch ne gute Idee, aber praktisch?Womit willst du einen Nerd sanktionieren? Tageslicht, UV-Lampe?
Ich bekomme sofort E-Mails, weil wir eventgetriggert Mails verschicken. Nutzt einer den Windows Installer, kriege ich Post
Technisch gesehen eine gute Lösung. Nutzt aber bei -unabhängig von der Entwickler/Admin-Rechte-Geschichte- bei portablen Programmen leider nichts. Und die sind (leider) immer noch auf dem Vormarsch.Eigenes Netz isoliert von regulären LAN und Internet. Die KIsten dann unter der eigenen Verwaltung des Entwicklers inklusive der vollen Verantwortung für
"Mißgeschicke".
Das haben wir bereits durch - hat nicht funktioniert. Letztlich landet jeder auf diesem Weg "geschrottete" Rechner doch wieder bei den Admins und die Nerds machen Druck, wann sie endlich wieder programmieren können. So much code, so less time..."Mißgeschicke".
Und kannst du ohne google und Code-Snipplets aus dem Netz arbeiten? Ich nicht.
Nachträglich die Rechte von Usern beschneiden führt immer zu endlosen politischen Diskussionen um Vertrauen und Mißbrauch.
Nö. Das wurde angekündigt, im Rahmen dessen haben wir viel automatisiert, klappt eigentlich prima.Es gibt Leute die Computer benutzen (Buchhaltung etc.) und es gibt Leute, die mit Computern arbeiten: Admins und Programmierer.
Jepp, so sehe ich das persönlich auch. Leider sagt das nichts darüber aus, wieviel Ahnung vom System selbst auch der beste Programmierer hat. Der Link ist btw klasse - ich bin also ein Werwolf *lach*In einem IT-Unternehmen kommt man nicht sonderlich weit, wenn die Entwickler alle 2 Minuten durch eine "Verboten!"-Meldung behindert werden.
Full ACK - aber würden Sie das wirklich, wenn man ihnen die Admin-Rechte entzieht?Wir haben mal den Gedanken lt. ausgesprochen, ohne Admin-Rechte zu arbeiten und stattdessen einen Account im AD anzulegen, der über passende Rechte verfügt. Unter XP war das mit "Ausführen als" sehr umständlich bzw. bei MSI-Paketen gar nicht direkt möglich (nur via cmd im passenden Kontext). Unter Windows 7 sieht das dank UAC schon deutlich anders aus. Anders gefragt: Wenn hier Entwickler mitlesen, könntet ihr damit leben, für alles, was Admin-Rechte benötigt, User/Kennwort separat einzugeben? Und welche Vorgänge benötigen denn überhaupt Admin-Rechte?
Cheers,
jsysde
Warum greift Ihr denn nicht durch? Sie dürfen nichts installieren - fertig. Wenn ihr es bemerkt, folgen Sanktionen
Theoretisch ne gute Idee, aber praktisch?
Womit willst du einen Nerd sanktionieren? Tageslicht, UV-Lampe?
Ich bekomme sofort E-Mails, weil wir eventgetriggert Mails verschicken. Nutzt einer den Windows Installer, kriege ich Post
Technisch gesehen eine gute Lösung. Nutzt aber bei -unabhängig von der Entwickler/Admin-Rechte-Geschichte- bei portablen Programmen leider nichts. Und die sind (leider) immer noch auf dem Vormarsch.@xaero
Der Windowsinstaller erzeugt Eventlogeinträge mit der selben Kennnummer. Und man kann seit Vista Aktionen an ein Event heften (siehe Eventviewer). Auch auf xp gab es schon die eventtriggers.exe
Hi
Schonmal über ne Kiste nahgedacht auf der für die Nerds Zugriff haben ala ESXi oder XEN auf ein mit Adminrechten versehenes System via RDP zugreifen können ???
Am Pc programmieren und dann in die virtuelle Umgebung hochladen. => brauchen keine Adminrechte lokal und wenn der VM irgendwas passiert ... snapshot ...
MFG Nemesis
Schonmal über ne Kiste nahgedacht auf der für die Nerds Zugriff haben ala ESXi oder XEN auf ein mit Adminrechten versehenes System via RDP zugreifen können ???
Am Pc programmieren und dann in die virtuelle Umgebung hochladen. => brauchen keine Adminrechte lokal und wenn der VM irgendwas passiert ... snapshot ...
MFG Nemesis
Am Pc programmieren und dann in die virtuelle Umgebung hochladen.
Auch keine schlechte Idee, solange die Anzahl der Entwickler noch einigermassen überschaubar ist. Ausserdem ne Kostenfrage, auch ne VM benötigt ne Lizenz.Oder meintest du das so, dass z.B. pro 10 Entwickler _eine_ VM zur Verfügung gestellt wird, in der sie ihre Programme testen können?
Cheers,
jsysde
Hi
Also ich denke mal beide Ansätze haben ihre Vorteile. In dem Fall eine VM für alle kannst du deinen Programmierern ja auch verschiedene Betriebssysteme anbieten, XP Vista W 7 etc. Da du leider nicht erwähnst was eure Programmierer so programmieren.
Im anderen Fall kann jeder Programmierer seine Komponenten selber auswählen, die er auf der VM gerne haben möchte.
Das würde ich in deinem Fall ggf. Mit diesen absprechen.
Ein einfacher Server mit nem kostenlosen ESXi drauf und 10 xp / Win 7 Lizenzen kosten auch nicht die Welt. Ich habe mindestens 10 von beiden für den Notfall auf Halde. Edit: (bei mir nicht für dich)
Und im ersten Fall hättest du 2 bzw 3 Lizenzen verbraucht wenn alle eine gemeinsame Maschine verwenden Xp Vista Win7.
MfG Nemesis
Ps kannst ja mal mitteilen, wofür du dich entscheidest.
PPS vorallem wenn da mal was kaputt geht ist es nicht so wild kurz die vm von nem Speicher auf den esxi und schon läufts wieder.
Und wenn eure Proframmierungen weitreichender sind dann kann man auch das verhalten in einer Dimain testen und ohne Domain bzw. Gpo's. Ist für manche Programme auch wichtig, da du ja geschrieben hast das es was mit Diensten zu tun hat.
Also ich denke mal beide Ansätze haben ihre Vorteile. In dem Fall eine VM für alle kannst du deinen Programmierern ja auch verschiedene Betriebssysteme anbieten, XP Vista W 7 etc. Da du leider nicht erwähnst was eure Programmierer so programmieren.
Im anderen Fall kann jeder Programmierer seine Komponenten selber auswählen, die er auf der VM gerne haben möchte.
Das würde ich in deinem Fall ggf. Mit diesen absprechen.
Ein einfacher Server mit nem kostenlosen ESXi drauf und 10 xp / Win 7 Lizenzen kosten auch nicht die Welt. Ich habe mindestens 10 von beiden für den Notfall auf Halde. Edit: (bei mir nicht für dich
)Und im ersten Fall hättest du 2 bzw 3 Lizenzen verbraucht wenn alle eine gemeinsame Maschine verwenden Xp Vista Win7.
MfG Nemesis
Ps kannst ja mal mitteilen, wofür du dich entscheidest.
PPS vorallem wenn da mal was kaputt geht ist es nicht so wild
kurz die vm von nem Speicher auf den esxi und schon läufts wieder.Und wenn eure Proframmierungen weitreichender sind dann kann man auch das verhalten in einer Dimain testen und ohne Domain bzw. Gpo's. Ist für manche Programme auch wichtig, da du ja geschrieben hast das es was mit Diensten zu tun hat.
Danke für eure Meinungen.
Cheers,
jsysde
Cheers,
jsysde
