क्या एक डेवलपर मशीन को बंद करना उसके मूल्य से अधिक प्रयास है? [बन्द है]

एक डेवलपर के रूप में और एक विकास टीम के लिए IT व्यवस्थापक / समर्थन में काम करने के बाद, मैं पूरी तरह से पूरी तरह से लॉक न होने वाले वातावरण से कई अलग-अलग प्रकारों में आया हूं। मेरे सीमित समर्थन अनुभव में, मुझे लगता है कि कम लॉक डाउन मशीन के साथ समर्थन करने का इसका कम प्रयास था और मुझे निश्चित रूप से यह आसान लगा, लेकिन निश्चित रूप से यह पूर्वाग्रह हो सकता है। मैं जानना चाहता हूं कि आईटी समर्थन के दृष्टिकोण से क्या है, क्या यह उन डेवलपर्स का समर्थन करना कठिन है, जिनके पास गैर-लॉक डाउन मशीन हैं?

डेवलपर्स मशीन को बंद नहीं करने के साथ सबसे बड़ी समस्या यह है कि उनके द्वारा विकसित किसी भी सॉफ़्टवेयर को चलाने के लिए पूर्ण व्यवस्थापक विशेषाधिकार की आवश्यकता होगी। डेवलपर्स की पहुंच वैसी ही होनी चाहिए, जैसा कि पर्यावरण को चलाने की आवश्यकता होगी। यदि उन्हें "स्व-सहायक" या "स्व-इंस्टॉल करने योग्य" होने की आवश्यकता है, तो उन्हें एक और एडमिन अकाउंट दें जैसे कि Bruce.admin जिसे उन्हें एडमिन के पास इस्तेमाल करने की आवश्यकता होती है। सामान, लेकिन दिन के लिए इस्तेमाल नहीं किया।

जैसे कोई सभ्य UNIX व्यवस्थापक उनके नमक के लायक होता है, कभी भी अपने दिन-प्रतिदिन के गैर-व्यवस्थापक कार्य के लिए रूट खाते का उपयोग करेगा।

अधिकांश डेवलपर्स तकनीकी रूप से सुरक्षित हैं और जानते हैं कि वे क्या कर रहे हैं। उन्हें अक्सर कई विशेषज्ञ एप्लिकेशन इंस्टॉल करने की आवश्यकता होती है, ऐसा करने के लिए अनुमति प्राप्त करने और आईटी को नीचे आने और जोड़ने के लिए दोनों पक्षों के लिए विशेष रूप से बड़ी कंपनियों में निराशा होती है।

मैंने पाया है कि जो सबसे अच्छा काम करता है, वह उन्हें अपनी मशीनों पर सॉफ़्टवेयर स्थापित करने के संबंध में वही करने की अनुमति देता है, लेकिन अगर वे ऐसी किसी समस्या में पड़ते हैं जिसका हम समर्थन नहीं करते हैं, तो वे अपने दम पर होते हैं। अधिकांश डेवलपर्स इससे खुश हैं, और वैसे भी अपनी मशीन की देखभाल करने में सक्षम होना पसंद करते हैं।

किसी को केवल आईई और खुले शब्द का उपयोग करने के लिए लेखांकन में बंद करना ठीक है, लेकिन अगर आपका डेवलपर जिसे 4 विभिन्न प्रकार के ब्राउज़र स्थापित करने और किसी समस्या को हल करने के लिए जल्दी से ऐप स्थापित करने की आवश्यकता है, तो यह कष्टप्रद हो सकता है।

मेरा अनुभव यह है कि जिन कंपनियों के पास तकनीकी ज्ञान है, इसलिए विकास की दुकानें, आईटी आपूर्तिकर्ता आदि, जो अपने कर्मचारियों पर भरोसा करते हैं और उन्हें यह तय करने देते हैं कि वे जो स्थापित करना चाहते हैं वह ज्यादा खुश है और आईटी को कम परेशान करता है

डेवलपर मशीनों को लॉक करने के गुणों के बारे में कुछ जीवंत बहस के लिए इस स्टैकओवरफ़्लो पोस्टिंग को देखें । (डिस्क्लेमर: मैंने स्वीकृत उत्तर लिखा है)।

एक sysadmin परिप्रेक्ष्य से, उत्पादन प्रणालियों तक पहुंच संवेदनशील है और आपको ऐसे लोगों तक पहुंच को प्रतिबंधित करना चाहिए जिन्हें अपना काम करने की आवश्यकता है (इसमें डेवलपर्स शामिल हो सकते हैं जिनके पास आवेदन के लिए टियर -3 समर्थन जिम्मेदारियां हैं)। एक विकास पीसी या विकास सर्वर पर स्थानीय व्यवस्थापक अधिकार आपके उत्पादन प्रणालियों की सुरक्षा से महत्वपूर्ण रूप से समझौता नहीं करते हैं।

यदि आवश्यक हो तो मशीनों का पुनर्निर्माण करने के लिए आप एक छवि बना सकते हैं। मैन्युअल रूप से SQL सर्वर देव संस्करण, विजुअल स्टूडियो, साइगविन और मिकटैक्स प्लस को स्थापित करने से अन्य ऐप्स का एक गुच्छा काफी समय लगता है। यदि इन मशीनों को फिर से छवि में लाना है तो इन बड़े ऐप्स के साथ एक छवि स्थापित करना काफी मूल्यवान होगा।

एक विकास के नजरिए से मुझे पता चलता है कि मैं मशीन के साथ अधिकांश समस्याओं को ठीक कर सकता हूं और आमतौर पर केवल दुर्लभ अवसरों पर नेटवर्क सहायता कर्मचारियों से मदद की आवश्यकता होती है। अत्यधिक प्रतिबंधात्मक वातावरण काम करने के लिए उत्साही देव समर्थन यातायात उत्पन्न करते हैं जो डेवलपर्स स्वयं करने में पूरी तरह से सक्षम हैं।

एक अन्य स्थान जहां डेवलपर्स को बहुत सारे व्यवस्थापक कार्य करने की आवश्यकता होती है, विकास के वातावरण की मेजबानी करने वाले डेटाबेस सर्वर पर है। अधिकांश डेवलपर्स आसानी से नियमित DBA कार्यों को सीखने में सक्षम होते हैं, और इसे वैसे भी काम करने का ज्ञान प्राप्त करना चाहिए (सिद्धांत पर IMHO)। विकास सर्वरों पर अत्यधिक प्रतिबंधक व्यवस्थापक एक्सेस नीतियां कई तरीकों से कम हो सकती हैं।

एक खरोंच विकास नेटवर्क एक अच्छा विचार है अगर इसे व्यवस्थित किया जा सकता है - यदि आवश्यक हो तो आप इसे अपने उत्पादन सर्वर से फ़ायरवॉल कर सकते हैं।

• जब डेवलपर्स उत्पादन वातावरण की संरचना को आसानी से दोहरा सकते हैं तो यह तैनाती परीक्षण की संस्कृति को बढ़ावा देता है जहां हुप्स के माध्यम से कूद के बिना एक एकीकरण परीक्षण को संश्लेषित किया जा सकता है। इससे उत्पादन रिलीज और तैनाती की गुणवत्ता में सुधार होगा।

• उत्पादन वातावरण का अनुकरण करने में सक्षम होने के नाते उत्पादन परिनियोजन और समर्थन मुद्दों के बारे में जागरूकता बढ़ाता है। यह विकास कर्मचारियों को यह सोचने के लिए प्रोत्साहित करता है कि उत्पादन में किसी एप्लिकेशन का समर्थन कैसे किया जा सकता है, जो संभवतः इसे ध्यान में रखते हुए बनाए गए आर्किटेक्चर को प्रोत्साहित करेगा।

• यदि इस नेटवर्क में एक डोमेन नियंत्रक है तो आप एक विश्वास संबंध स्थापित कर सकते हैं, इसलिए यह आपके मुख्य डोमेन नियंत्रक और उसके खातों पर भरोसा करता है। इस विश्वास संबंध को पारस्परिक होने की आवश्यकता नहीं है, इसलिए यह आपके उत्पादन नेटवर्क के बुनियादी ढांचे की सुरक्षा से समझौता नहीं करता है। यह आपको एक अविश्वसनीय विकास नेटवर्क दे सकता है लेकिन फिर भी डेवलपर्स को एक्सचेंज-अकाउंट या फ़ाइल सर्वर जैसे डोमेन-प्रमाणित संसाधनों तक पहुंच प्रदान कर सकता है।

• आप चाहते हैं कि डेवलपर्स को हुप्स के माध्यम से कूदने के बिना प्रयोग के लिए उचित मात्रा में गुंजाइश हो। इस काम के मार्ग में राजनीतिक बाधाओं को रखने से राजनीतिक रूप से समीचीन होने वाले प्लास्टर समाधानों को प्रोत्साहित करने की प्रवृत्ति होती है लेकिन दीर्घकालिक (और अक्सर गैर मान्यता प्राप्त) तकनीकी ऋण उत्पन्न होता है। एक sysadmin या समर्थन विश्लेषक के रूप में, अनुमान लगाएं कि टुकड़ों को कौन प्राप्त करता है ...

मैं जोड़ूंगा कि यह एक यूनिक्स या लिनक्स पर्यावरण पर एक मुद्दे की बहुत कम है; उपयोगकर्ताओं को बहुत भारी अपने स्वयं के वातावरण से अनुकूलित कर सकते हैं .profile। आप अपनी /home/bloggsj/binनिर्देशिका के तहत अपने दिल की खुशी के लिए चीजों को संकलित और स्थापित कर सकते हैं । 'स्थानीय व्यवस्थापक अधिकार' ज्यादातर एक विंडोज़ समस्या है, हालांकि अभी भी कुछ चीजें हैं जिन्हें यूनिक्स के तहत रूट एक्सेस की आवश्यकता है।

सबसे समझदार विकल्प जो मैंने कभी देखा है (दोनों तरफ है -और अभी भी है-) बस खुला सामान है और साथ ही असमर्थित है । उन्हें स्वतंत्रता दें, और यदि वे पेंच करते हैं, तो वे सभी प्राप्त कर सकते हैं एक मानक छवि के साथ एक बंधन है ...। उस स्थिति में, मुझे उन्हें "अविश्वासी" नेटवर्क के किसी न किसी रूप में रखने की एक अच्छी योजना लगती है।

जहाँ तक डेवलपर डेस्कटॉप को लॉक करने का (गैर) अर्थ है: मुझे पूरा यकीन है कि सभी लॉकिंग केवल वैसे भी उत्पादकता में बाधा डालते हैं, इसके अलावा, किसी भी कारण से कुशल डेवलपर आसानी से छेद पाएंगे ...।

उत्तर वास्तव में है: कोई सरल हां या कोई उत्तर नहीं है। लेकिन सुरक्षा आपके देव उपयोगकर्ताओं के लिए कम से कम उतनी ही महत्वपूर्ण है जितनी किसी और के लिए।

एक तरफ, हाँ देवता तकनीकी रूप से अधिक समझदार होते हैं। दूसरी ओर, उनका अक्सर एक तनावपूर्ण काम होता है और उनके देव मील के पत्थर एक सुरक्षित वातावरण के रूप में किसी की खुद की प्रणाली को बनाए रखने के लिए आवश्यक अतिरिक्त देखभाल पर प्राथमिकता लेने की संभावना रखते हैं। यह डेवलपर्स की आलोचना नहीं है; यह उनके दैनिक कर्तव्यों का एक सही विचार है।

यदि आप देवों को उनके सिस्टम में पूर्ण, अनफ़िट एक्सेस देने जा रहे हैं, तो आपको वास्तव में निम्नलिखित अतिरिक्त उपायों पर विचार करना चाहिए:

• एक अन्य प्रणाली प्रदान करें, सामान्य गैर-देव उपयोग के लिए सामान्य उपयोगकर्ता सिस्टम जितना लॉक किया गया है, उतना ही लॉक किया गया है।
  • अपने पूर्ण-एक्सेस देव मशीनों को एक विशेष वीएलएएन में डाल दिया, केवल देव संसाधनों तक पहुंच के साथ।
• पूछें कि क्या कुछ भी एक संक्रमित प्रणाली को कोडबेस को खतरे में डालने से रोक देगा। घातक कोड में एक पिछले दरवाजे मशीन की जाँच कर सकता है, या एक शत्रुतापूर्ण हैकर के हाथों में कोडबेस मिटा सकता है? इस जोखिम को कम करने के लिए उचित कदम उठाएं।
• इसी प्रकार, पूछें कि क्या कुछ भी सिस्टम में आयोजित व्यावसायिक डेटा की सुरक्षा करता है, जो देवताओं के पास है।
• सॉफ्टवेयर सिस्टम और देव प्रणालियों की सुरक्षा ऑडिट नियमित रूप से करें।
  • एक विचार प्राप्त करें कि वे क्या चल रहे हैं और इस जानकारी का उपयोग करके अपने देव सिस्टम को पुन: परिनियोजन छवियों का निर्माण करें।
  • जल्दी या बाद में आपके पास एक देव होगा जो लापरवाह हो जाता है और उन चीजों को स्थापित करता है जो स्पष्ट रूप से खतरनाक या पूरी तरह से गैर-काम से संबंधित हैं। ऐसा होने पर जल्दी से चेतावनी भेजकर, आप देव समुदाय को यह बताने देंगे कि हां, कोई देख रहा है, और उनके पास उचित मानकों के भीतर रहने की जिम्मेदारी है।
• क्या आप नियमित मालवेयर स्कैन कर रहे हैं? कुछ मामलों में, देवता ऑन-एक्सेस एवी सिस्टम (उन एवी सिस्टम जो हमेशा चालू रहते हैं, हमेशा हर फ़ाइल एक्सेस पर स्कैन करते हैं) द्वारा लगाए गए प्रदर्शन कर की शिकायत करेंगे। यह एक रात की स्कैन रणनीति के लिए आगे बढ़ना बेहतर हो सकता है, और / या आपके ऑन-एक्सेस स्कैनिंग के लिए फ़ाइल / फ़ोल्डर बहिष्करण बना सकता है। सुनिश्चित करें कि बाहर की गई फ़ाइलों को किसी अन्य तरीके से स्कैन किया गया है, हालांकि।
  • क्या आपके व्यवस्थापक-सक्षम देव सभी AV स्कैनिंग बंद कर सकते हैं? आप इसका पता कैसे लगाएंगे और इसका निवारण कैसे करेंगे?

यदि आप देव सिस्टम लॉकडाउन करने जा रहे हैं, तो आपको निम्नलिखित पर विचार करना चाहिए:

• क्या आपके पास उनके समर्थन अनुरोधों का तेजी से जवाब देने के लिए समर्थन क्षमता है? अपने देवताओं के औसत वेतन दर पर विचार करें, और पूछें कि क्या वे एक तेज प्रतिक्रिया-समय SLA के लायक हैं या नहीं। यह शायद आपके $ 120k देव (जो एक मल्टीमिलियन डॉलर प्रोजेक्ट के लिए महत्वपूर्ण है) को रखने के लिए समझ में नहीं आता है, जबकि आप $ 60k / year कर्मचारियों से समर्थन रीक्स संभाल रहे हैं।
• क्या आपके पास स्पष्ट और स्पष्ट नीति है कि आप अपने देवताओं के लिए क्या समर्थन अनुरोध करेंगे और क्या नहीं करेंगे? यदि उन्हें लगने लगे कि समर्थन मनमाना है, तो आप अंततः दर्द महसूस करेंगे ।

किसी भी तरह से, आपको यह स्वीकार करने की आवश्यकता है कि डेवलपर्स एक विशेष मामला है और उन्हें किसी प्रकार के अतिरिक्त समर्थन की आवश्यकता है। यदि आप इसके लिए बजट नहीं दे रहे हैं, तो समस्याओं की संभावना अभी से बढ़ रही है ... या भविष्य में होगी।

एक साइड नोट के रूप में, मैंने देखा है बहुत समान तर्क sysadmins के साथ होते हैं। कम से कम दो अलग-अलग नौकरियों पर मैंने देखा है कि जब sysadmins काफी तीखी बहस करते हैं, तो यह सुझाव दिया गया था कि उन्हें स्वयं सिस्टम को बंद कर देना चाहिए, या कम से कम दो लॉगिन का उपयोग करना चाहिए (रूट / व्यवस्थापक निजी के साथ एक; एक बिना)। कई सीसडैमिन ने महसूस किया कि उन्हें किसी भी तरह से बंद नहीं किया जाना चाहिए और इस तरह के उपायों के खिलाफ सख्ती से तर्क दिया जाना चाहिए। जल्द या बाद में कुछ लॉकडाउन-एवरेज एडमिन के पास एक सुरक्षा घटना होगी और उदाहरण हम सभी पर एक शैक्षिक प्रभाव होगा।

मैं उन sysadmins में से एक हुआ करता था जो हर समय एडमिन के साथ चलती थी। जब मैंने दोहरे खातों में बदलाव किया और केवल जरूरत के हिसाब से ऊपर उठे, तो मैं मानता हूं कि पहले कुछ महीनों के दौरान यह काफी निराशाजनक था। लेकिन बादल में चांदी का अस्तर यह था कि मैं उन प्रणालियों की सुरक्षा के बारे में बहुत कुछ सीखता था जो मैं प्रशासित कर रहा था, जब मेरा सामान्य खाता उसी प्रतिबंध के तहत रहता था जो मैं उपयोगकर्ताओं पर रख रहा था। इसने मुझे एक बेहतर प्रशासक बना दिया! मुझे संदेह है कि डेवलपर्स के लिए भी यही सच है। और सौभाग्य से विंडोज की दुनिया में, हमारे पास अब यूएसी है, जो सीमित उपयोगकर्ता के रूप में चलाना और केवल जरूरत पड़ने पर इसे बढ़ाना आसान बनाता है।

व्यक्तिगत रूप से मुझे नहीं लगता है कि किसी को सुरक्षा प्रथाओं के किसी भी रूप से ऊपर होना चाहिए। सभी (sysadmins, devs, ऊपरी प्रबंधन शामिल) को पर्याप्त सुरक्षा प्रक्रियाओं और उनके पैर की उंगलियों पर रखने के लिए निरीक्षण किया जाना चाहिए। अन्यथा कहने के लिए कहना है कि कंपनी सिस्टम और डेटा सुरक्षा के प्रयास के लायक नहीं हैं।

चलो इसे एक और तरीका है। अगर मार्क रोसिनोविच को एक रूटकिट द्वारा लिया जा सकता है , तो कोई भी कर सकता है!

जहां आपके पास कुछ डेवलपर्स हैं, उन्हें विकास सर्वर देने का दृष्टिकोण एक संभावना है, लेकिन अगर आपके पास डेवलपर्स की एक पूरी मंजिल है, तो मैं उन्हें किसी भी व्यवस्थापक अधिकार देने के बहुत खिलाफ हूं।

समस्या यह है कि आप डेवलपर्स की एक पूरी मंजिल के साथ समाप्त हो जाएंगे, प्रत्येक वे जो कर रहे हैं, आमतौर पर वे भी सुरक्षा के प्रति सचेत नहीं होते हैं और बस चाहते हैं कि उनका ऐप काम करे। फिर आप से अनुरोध किया जाएगा - "हमने विकास का चरण पूरा कर लिया है, कृपया परीक्षण, पूर्व-ठेस और ठेस पर हमारे देव पर्यावरण को दोहराएं"।

वे रैंडम जंक (बुरी तरह से पैक किए गए सॉफ़्टवेयर) को स्थापित करने की आदत में शामिल हो जाते हैं, और फिर आपको अन्य स्तरों में दर्जन या तो सर्वरों पर इसे स्थापित करने के लिए प्रतिनिधि करते हैं।

मैं नीति को काफी सरल बनाता हूं:

• विकास के माहौल के लिए डेवलपर्स को कभी रूट एक्सेस नहीं मिलती है।
• डेवलपर्स डेम को प्री-डेमवेयर वीएमवेयर सर्वर तक रूट एक्सेस मिलता है, लेकिन NO सपोर्ट।
• डेवलपर्स को या तो RPM संकुल प्रदान करना चाहिए जो OS वितरण से संबंधित है जिस पर उनका ऐप चल रहा होगा, या, RPM संकुल जो FHS और LSB का अनुपालन करते हैं।
• उनका कोई भी आवेदन किसी भी परिस्थिति में जड़ के रूप में नहीं चल सकता
• आवेदन उपयोगकर्ता के लिए suया उसके पास पहुंच नहीं होगी sudo- जो कि कोई शेल एक्सेस नहीं होने के कारण बंद हो जाएगा। (यह लेखांकन / लेखा परीक्षा के लिए है)।
• विशेषाधिकार प्राप्त उपयोग के साथ चलने की आवश्यकता वाले किसी भी आदेश को स्पष्ट रूप से अनुरोध और अनुमोदित करना होगा - जिस समय इसे sudoersफ़ाइल में जोड़ा जाएगा ।
  • इनमें से कोई भी कमांड / स्क्रिप्ट उनके द्वारा लिखने योग्य नहीं होगी।
  • इन कमांडों द्वारा कोई स्क्रिप्ट (प्रत्यक्ष या अप्रत्यक्ष रूप से) संदर्भ उनके द्वारा लिखने योग्य नहीं होगा।

उपरोक्त सभी से ऊपर उठेंगे, उन्हें सोचेंगे कि क्या होगा जब परीक्षण और ऊपर के सर्वर पर परियोजना को स्थानांतरित करने का समय आ जाएगा।

डेवलपर्स की मशीनों को बंद करना इसके लायक होने की तुलना में अधिक प्रयास करता है। यह गंभीरता से उत्पादकता को नुकसान पहुँचाता है क्योंकि आप प्रशासनिक अधिकारों के बिना बहुत कुछ नहीं कर सकते। बेशक, अंततः सिस्टम गड़बड़ हो जाएगा, लेकिन निश्चित रूप से आपके आईटी डिपो उन सभी 3 पार्टी टूल के लिए समर्थन प्रदान नहीं कर रहे हैं जो विकास में उपयोग किए जाते हैं?

इसलिए, जैसा कि विंसेंट डी बेयर ने सुझाव दिया है, कार्रवाई का सबसे अच्छा तरीका सिर्फ एक छवि से सिस्टम को बहाल करना होगा, निश्चित रूप से, उसके बाद पर्यावरण को बहाल करना होगा, लेकिन यह आईटी की समस्या नहीं होनी चाहिए। यदि ऐसा होता है, तो आप एक व्यक्ति को एक बार "ब्लैक लिस्ट" में डाल सकते हैं और हां, उसके प्रशासनिक अधिकारों को थोड़ी देर के लिए छोड़ सकते हैं।

किसी भी तरह से, पर्यावरण को एक तरह से स्थापित किया जाना चाहिए, जो यह सुनिश्चित करता है कि एक संक्रमित (या अन्यथा गड़बड़) मशीन किसी भी अन्य मशीनों को प्रभावित नहीं करती है या कहें, स्पैम या कुछ और नहीं भेजती है (ठीक है, अब) मैं सिर्फ स्पष्ट बातें कह रहा हूं, क्षमा करें)।

ठीक है, यह इस बात पर निर्भर करता है कि आप किस वातावरण में चल रहे हैं (जैसे लिनक्स बनाम विंडोज); हालाँकि, एक विंडोज़ वातावरण को मानते हुए, यह आमतौर पर अधिक परेशानी की तुलना में इसके लायक है क्योंकि कुछ विकास सॉफ्टवेयरों में से आपको काम करने के लिए उन्नत अनुमतियों की आवश्यकता होती है। उदाहरण के लिए, विजुअल स्टूडियो को प्रशासक की अनुमति की आवश्यकता के लिए जाना जाता है , जैसे कि, मैं किसी को अपनी नौकरी के लिए आवश्यक हिस्से के लिए हुप्स के माध्यम से कूदने में लाभ नहीं देखता।

हालाँकि, अगर कंपनी को यह चाहिए कि चीजों को बंद कर दिया जाए तो आपके सबसे अच्छे दांव से सभी डेवलपर्स को अपने सिस्टम पर वर्चुअल मशीन देने की संभावना है कि वे पागल हो सकते हैं। जबकि कुछ को यह पसंद नहीं आ सकता है, यह संभवतः आपको दोनों का सबसे अच्छा मौका देगा। दुनिया (जैसे प्रतिबंधात्मक सामान्य डेस्कटॉप और एक पूरी तरह से अनुकूलन वातावरण)।

अद्यतन - चीजों के विंडोज पक्ष पर थोड़ा और अधिक ध्यान देने योग्य है, जाहिरा तौर पर विजुअल स्टूडियो को प्रशासक अधिकारों की आवश्यकता होती है, थोड़ा दिनांकित होता है और अब आवश्यक अनुमतियों को सेट करने के स्पष्ट तरीके हैं (पीडीएफ फाइल)। हालाँकि, मुझे नहीं लगता कि यह मेरा विकल्प बदलता है कि ज्यादातर डेवलपर्स, जिन्हें मैं जानता हूं, खुद शामिल हैं, केवल विजुअल स्टूडियो से परे अतिरिक्त टूल का उपयोग करते हैं और यह जानते हुए कि अनुमतियों के संदर्भ में उन सभी की क्या आवश्यकता है, यह भविष्यवाणी करना मुश्किल हो सकता है।

मैं प्रतिबंधित डेस्कटॉप के शीर्ष पर आभासी मशीनों का उपयोग करने की धारणा से सहमत हूं-

जब तक अन्यथा आवश्यक न हो, मुझे लगता है कि सबसे अच्छा सेटअप एक प्रतिबंधित लिनक्स डेस्कटॉप है जो शीर्ष पर सभी के लिए मुफ्त वीएम है। लिनक्स मेरे लिए ओवरहेड को कम कर देता है, एक vm न केवल जो कुछ भी चाहता है, नर्क ओएस हो सकता है, बल्कि स्नैपशॉट या बैकअप के लिए भी पुनर्स्थापित किया जा सकता है, और आम तौर पर दुनिया थोड़ी उज्जवल दिखती है, जब अलग-अलग सेटअप की पूरी जरूरत नहीं होती है सहयोग।

मैं (स्वयं एक देव के रूप में) अपनी मशीनरी का पूर्ण नियंत्रण रखना पसंद करता हूं, जिसका अर्थ है; जरूरत पड़ने पर एडमिन के रूप में चल रहा है।

इससे पहले कि आप अपने कंप्यूटर तक पूरी पहुँच की अनुमति दे सकें, आप भक्तों के लिए विशेष प्रशिक्षण प्रदान कर सकते हैं। उनके लिए कुछ नियम निर्धारित करें, और हो सकता है कि आप हर बार एक ऑडिट कर सकें कि वे सर्वोत्तम प्रथाओं का पालन करें।

अधिकतर उन्हें IT व्यवस्थापक / IT समर्थन दृश्य, सुरक्षा-संबंधित सामान के साथ-साथ उच्चीकृत अधिकारों के साथ विकसित नहीं होने के कारण IT अवसंरचना के बारे में अधिक जानने की आवश्यकता होगी। (और यह सुनिश्चित करने के लिए कि आप नहीं ...)

"न आँख बंद करके हम पर विश्वास जब हम आपको बता हम जानते हैं कि सब हम कंप्यूटर के बारे में पता करने की जरूरत" ;-)

आपको अभी भी उन्हें नेटवर्किंग, डोमेन- और खाता-सामान, गैर-देव उपकरणों के सॉफ़्टवेयर-इंस्टाल आदि के साथ समर्थन करना होगा।

मेरा अनुभव एक उपयोगकर्ता आबादी के साथ है जो समान रूप से उन लोगों के बीच विभाजन के बारे में था जिन्हें केवल एक लॉक डाउन मशीन और अन्य (डेवलपर्स, वैज्ञानिकों) की आवश्यकता थी, जो व्यवस्थापक पहुंच का उपयोग करते हैं। वे उच्च-अंत वाले लोगों ने बहुत सारे अलग-अलग सॉफ़्टवेयरों का उपयोग किया, कुछ इन-हाउस, कुछ नहीं, लेकिन बहुत सारे को चलाने के लिए व्यवस्थापक की आवश्यकता थी, और उनकी नौकरियों के लिए उन्हें बहुत सारे पैकेजों का उपयोग करने की आवश्यकता थी इसलिए लोगों को ऐसा करने के लिए सबसे अधिक समझ में आया। यह खुद है।

हम निम्नलिखित प्रक्रियाओं के साथ समाप्त हुए:

• हमारी मानक छवि में मूल उपकरण थे: विंडोज, कार्यालय, एंटी-वायरस, एक्रोबेट, कुछ उपयोगिताओं।
• हमने बहुत सारे नेटवर्क डिस्क स्थान प्रदान किए: पर्याप्त ताकि नेटवर्क पर सब कुछ संग्रहीत किया जा सके। एकमात्र अपवाद के बारे में इन-प्रोसेस वीडियो फ़ाइलें थीं जिन्हें स्थानीय रहना था।
• स्टाफ (अपने पर्यवेक्षकों के परामर्श से) दो विकल्प थे: या तो आईटी ने अपने पीसी को बनाए रखा, सभी इंस्टॉल और कॉन्फ़िगरेशन कर रहे थे या वे स्वयं इसे करने के लिए व्यवस्थापक एक्सेस कर सकते थे। किसी भी स्थिति में, नेटवर्क पर सभी डेटा का बैकअप लिया गया था।
• यदि आईटी ने सिस्टम को बनाए रखा और यह मर गया, तो हम इसे वापस उसी स्थिति में डाल देंगे, जिसमें अतिरिक्त सॉफ़्टवेयर जोड़ना शामिल है जिसकी उन्हें आवश्यकता थी जिसे हमने स्थापित किया था।
• यदि उनके पास व्यवस्थापक पहुंच और सिस्टम की मृत्यु हो गई थी, तो हमारे पास एक नज़र होगी और इसे ठीक करने की कोशिश होगी, लेकिन हमारी प्रतिबद्धता उन्हें मानक छवि पर वापस लाने की थी और उन्हें इसे वहां से लेना होगा। यदि उनके पास कोई स्थानीय डेटा था, तो हम पहले उसे बंद करने की कोशिश करेंगे, लेकिन हमारा SLA उन्हें जल्द से जल्द एक कामकाजी, मानक पीसी प्राप्त करना था।
• एंटी-वायरस और एंटी-मैलवेयर को अपडेट रखने के लिए विंडोज अपडेट काम कर रहे थे, यह जानने के लिए किसी को भी डब्ल्यू / एडमिन एक्सेस की आवश्यकता थी।

हम सभी लोगों को एक "अविश्वसनीय" वलान पर व्यवस्थापक पहुंच के साथ रखना पसंद करेंगे, लेकिन हम कभी भी उस पर नहीं पहुंचे।