नए फेडरल डेस्कटॉप कोर कॉन्फ़िगरेशन (एफडीसीसी) का अनुपालन कैसे करें, जो सभी उपयोगकर्ताओं के लिए स्थानीय व्यवस्थापक पहुंच को हटा देगा?

Question

डेवलपर्स के रूप में, हम मानते हैं कि स्थानीय प्रशासनिक पहुंच नहीं होने से हमारी उत्पादकता में गंभीर रूप से बाधा आ रही है। हमें आईआईएस चलाने से प्रतिबंधित किया जाएगा (हम एक वेब डेवलपमेंट शॉप हैं), एप्लिकेशन इंस्टॉल करना, माइक्रोसॉफ्ट पावर टूल्स इत्यादि चलाना आदि। यदि आप अब एफडीसीसी प्रक्रिया के माध्यम से जा रहे हैं, तो यह सुनकर बहुत अच्छा लगेगा कि आप इनके साथ कैसे सामना कर रहे हैं परिवर्तन।

Answer 1

कभी भी समस्या होने के बिना, आज मैं शायद इन उपकरणों को चलाने के लिए वर्चुअलाइजिंग समाधान का प्रयास करूंगा।

या, मेरे एक दोस्त के रूप में एक बार कहा गया: "जब तक वे उस पर चकित न करें तब तक प्रक्रिया का पालन करें।" इस मामले में शायद आपके स्थानीय आईआईएस कॉन्फ़िगरेशन में संशोधन करने के लिए हर बार हेल्पडेस्क को कॉल करना होगा या आपको पॉवरटोल में से एक की आवश्यकता होगी।

Answer 2

जबकि मैं कभी भी एफडीसीसी प्रक्रिया के माध्यम से नहीं रहा हूं, मैंने एक बार अमेरिकी रक्षा ठेकेदार के लिए काम किया था, जो नीति थी कि किसी के पास उनकी मशीनों में स्थानीय प्रशासनिक पहुंच नहीं थी। इसके अलावा, फ्लैश ड्राइव और सीडी-रोम अक्षम कर दिए गए थे (यदि आप सीडी पर संगीत सुनना चाहते थे, तो आपको हेडफोन के साथ एक व्यक्तिगत सीडी प्लेयर रखना था)।

यदि आपको सॉफ़्टवेयर स्थापित करने की आवश्यकता है तो आपको एक कार्य आदेश देना होगा। कोई भी इंस्टॉलेशन मीडिया के साथ आपके डेस्क पर दिखाई देगा, स्थानीय व्यवस्थापक खाते में लॉगिन करेगा, और आपको सॉफ़्टवेयर इंस्टॉल करने देगा (तर्क यह है कि आप जानते थे कि उनके द्वारा बेहतर इंस्टॉल करना क्या है)। हैरानी की बात है कि टर्नअराउंड काफी तेज था, आमतौर पर लगभग 1/2 घंटे।

असुविधा के दौरान, यह नीति वास्तव में हमें अपंग नहीं करती थी। हम जावा, सी ++ (एमएस विजुअल सी ++ और जीएनयू/सी ++), वीबी 6.0 और कुछ वेब विकास का संयोजन कर रहे थे। हमारे द्वारा किए गए छोटे वेब विकास के लिए, हमारे पास एक दूरस्थ देव बॉक्स था जिसे हम परीक्षण के लिए आरडीपी करेंगे। फिर, एक असुविधा का थोड़ा सा, लेकिन यह हमें हमारी नौकरियों को पूरा करने से नहीं रोका।

Answer 3

आपके वर्कस्टेशन में स्थानीय प्रशासनिक पहुंच नहीं है, यह सुनिश्चित करने के लिए पीछे की ओर दर्द है। मुझे उस समय से निपटना पड़ा जब मैं अपने विश्वविद्यालय के लिए अकादमिक विभागों में से एक में वेब डेवलपर के रूप में काम कर रहा था। हर बार जब मुझे विजुअल स्टूडियो या ड्रीमवेवर जैसे कुछ स्थापित करने की ज़रूरत होती है तो मुझे कंप्यूटिंग सेवाओं के लिए अनुरोध करना पड़ता था।

Answer 4

वित्तीय संस्थानों में यह काफी आम है। मैं व्यक्तिगत रूप से इसे एक गेम के रूप में मानता हूं कि यह देखने के लिए कि मैं अपने पीसी पर किसी भी व्यवस्थापक अधिकार के बिना कितना सॉफ़्टवेयर चला सकता हूं या समर्थन समूह को अनुरोध भेज सकता हूं।

अभी तक मैंने बहुत अच्छा प्रदर्शन किया है मैंने केवल एक सॉफ्टवेयर इंस्टॉल अनुरोध भेजा है जो "तर्कसंगत सॉफ्टवेयर आर्किटेक्ट" ('मुझे "आधिकारिक" रिलीज से प्लगइन की आवश्यकता है) के लिए भेजा गया था। इसके अलावा मेरे पास perl, php, पायथन, apache सब ऊपर और चल रहा है। इसके अलावा मेरे पास जेटी सर्वर, मेवेन, विंसकप, पुटी, विम और कई अन्य टूल्स हैं जो मेरे डेस्कटॉप पर काफी हद तक चल रहे हैं।

तो यह वास्तव में आपको इतना परेशान नहीं करना चाहिए, और भले ही मैं अनौपचारिक सॉफ़्टवेयर स्थापित करने के लिए सबसे बुरे अपराधियों में से एक हूं, फिर भी मैं अपने अनुप्रयोगों और नेटवर्क को सुरक्षित रखने में रुचि रखने वाली किसी भी दुकान को "कोई व्यवस्थापक अधिकार नहीं" सुझाता ।

डेवलपर्स को "आधिकारिक" लॉक डाउन पीसी देने के लिए एक आम प्रथा है कि वे आधिकारिक अनुप्रयोग चला सकते हैं और अपना ईमेल व्यवस्थापक आदि कर सकते हैं और एक नंगे हड्डियों के विकास वर्कस्टेशन जिनके पास उनके पास प्रशासन अधिकार हैं।

Answer 5

जो मैं कह सकता हूं उससे एफडीसीसी केवल एक अनुशंसित सुरक्षा आधार रेखा बनने का इरादा है। मैं उन विशेषाधिकारों पर कुछ धक्का दूंगा जो आपको चाहिए और देखें कि वे आपके अनुरोध को समायोजित करने के लिए क्या कर सकते हैं।कहने के बजाय मुझे स्थानीय प्रशासक बनने की जरूरत है, मैं उन चीज़ों की सूची दूंगा जिन्हें आपको करने में सक्षम होना चाहिए और उन समाधानों के साथ आने दें जो काम करते हैं (जो आपको आपकी मशीन या वीएम को प्रशासित करने की संभावना होगी)। आपको विजुअल स्टूडियो में डीबगर चलाने में सक्षम होना चाहिए, स्थानीय वेब सर्वर (कैसिनी) चलाएं, अपने शेड्यूल पर अपने देव टूल्स पर पैच/अपडेट इंस्टॉल करें, ...

मैं हाल ही में "सेमी-प्रबंधित" "एससीसीएम के साथ पर्यावरण जो स्थानीय अद्यतन भंडार से नियमित आधार पर स्थापित पैच प्राप्त करता है। मैं इसे स्वयं कर रहा था, लेकिन यह उद्यम के लिए मामूली रूप से अधिक कुशल है और यह सुरक्षा कार्यालय को खुश करता है। मैंने उन्हें एक विशेष संग्रह में, और अन्य डेवलपर्स को रखने के लिए उन्हें प्राप्त किया ताकि यदि आवश्यक हो तो हम ब्रेकिंग परिवर्तन को अवरुद्ध कर सकते हैं (आईई 7 सुरक्षा अद्यतन कैसे हो सकता है?)। सिवाय इसके कि अब मुझे विंडोज डिफेंडर को मैन्युअल रूप से अपडेट करने की आवश्यकता नहीं है क्योंकि मैंने इसे प्रबंधित संग्रह में जितनी बार अपडेट किया है! यह स्पष्ट रूप से आपके मामले के रूप में उतना चरम नहीं था, लेकिन मुझे लगता है कि, कुछ हद तक, इस तथ्य के कारण कि मैं उन चीजों के लिए मामला पेश करने में सक्षम था जो मुझे अपने काम के लिए करने की ज़रूरत थी, जिसके लिए अधिक स्थानीय नियंत्रण की आवश्यकता थी।

WinXP को सुरक्षित करने पर एनआईएसटी FAQ से।

12. क्या मुझे बेसलाइन सेटिंग्स में परिवर्तन करना चाहिए? किसी भी बड़े उद्यम के संचालन के लिए परिचालन और तकनीकी विचार में व्यापक भिन्नता को देखते हुए यह उचित है कि कुछ स्थानीय परिवर्तन आधारभूत करने के लिए किया जा करने के लिए और संबद्ध सेटिंग ( सेटिंग्स के सैकड़ों के साथ, के असंख्य की आवश्यकता होगी अनुप्रयोग, और व्यावसायिक कार्यों की विविधता विंडोज एक्सपी सिस्टम द्वारा समर्थित, यह अपेक्षित होना चाहिए)। बेशक, सावधानी बरतें और सुरक्षा सेटिंग्स में परिवर्तन करने में अच्छा निर्णय लें। हमेशा पर सावधानीपूर्वक चयनित परीक्षण मशीन पहले पर सेटिंग्स का परीक्षण करें और लागू सेटिंग्स को दस्तावेज़ करें।

Answer 6

करने के बाद सक्रिय रूप से एक आधार वायुसेना स्टैंडर्ड डेस्कटॉप का उपयोग करता है पर एक अनुबंध डेवलपर के रूप में काम किया है, मैं तुम्हें कुछ बातें बता सकते हैं।

1: और सबसे महत्वपूर्ण। इसे मत लड़ो और ऐसा न करें जो पहले व्यक्ति ने सुझाव दिया "और उन्हें उस पर चकमा दें"। यह बिल्कुल गलत दृष्टिकोण है। सेना/सरकार वित्त पोषण, अतिरंजित संसाधनों और एक खिलने वाली प्रौद्योगिकी पदचिह्न की कमी से लड़ रही है जिसे वे समझ में नहीं आते हैं। वे जो कदम उठा रहे हैं वे सही नहीं हो सकते हैं, लेकिन वे हमले में हैं और हमें मदद करने की ज़रूरत है, बाधा नहीं।

ठीक है, वह मेरी छाती से दूर है।

2: आपको स्थानीय विकास प्रयोगशाला बनाने के लिए (और मुझे पता है कि यह वित्त पोषण के साथ मुश्किल है) को देखने की आवश्यकता है। जिस आधार पर मैंने काम किया है, उसके पास एक अलग नेटवर्क सीमेंट है जिसमें आप बाहरी पहुंच प्राप्त कर सकते हैं, जो मुख्य जीओवी नेटवर्क से अलग है। ई-मेल, रिपोर्ट इत्यादि के लिए मूल रूप से आपका काम पीसी है .. यह संरक्षित नेटवर्क पर है। लेकिन, आप अपनी छोटी प्रयोगशाला में विकसित होते हैं। मेरे पास एक प्रयोगशाला है जो मेरे डेस्क के नीचे टकरा गया 2 पीसी है जिसे तकनीकी रीफ्रेश के दौरान वापस किया जा रहा था। दूसरे शब्दों में, खुद को एक विकास मशीन + सर्वर बनाने के साथ रचनात्मक बनें जो प्रतिबंधित नहीं हैं। उन मशीनों को मुख्य लेन खंड से कनेक्ट होने की अनुमति नहीं है।

3: डेस्कटॉप कॉन्फ़िगरेशन के वितरण प्राप्त करें। आपके परीक्षण के भाग को इन कॉन्फ़िगरेशन पर तैनाती/चलाने की आवश्यकता है। फिर, ये विन्यास विकास बक्से के लिए नहीं हैं। वे मशीनें हैं जिन्हें लोग दिन-प्रतिदिन काम करने के लिए उपयोग करते हैं।

4: आप वेब समाधान पर काम कर रहे हैं, तो विश्वसनीय साइटों, ActiveX घटक, प्रमाणपत्र, स्क्रिप्ट निष्पादन के कुछ प्रकार है कि विन्यास अनुमति नहीं दी जाएगी जोड़ने पर प्रतिबंध को बहुत बारे में पता होना। खास तौर पर अगर आप एम्बेड करना विगेट्स/portlets/utils कि तैनात आवेदन डोमेन के बाहर संचार की आवश्यकता होती है कोशिश कर रहे हैं।

5: से ऊपर सभी को याद है कि लोगों को आप काम करते हैं बहुत कुछ प्रौद्योगिकी वे आप को लागू करने के लिए कह रहे हैं समझते हैं। वे जानते हैं कि वे फ़ंक्शन एक्स चाहते हैं लेकिन वे चाहते हैं कि आप इसे प्राप्त करते समय draconian सुरक्षा नियम Y का पालन करें। आमतौर पर इसका अर्थ यह है कि "कुछ ओपन सोर्स लिब या प्लगइन ले जाएं और जाएं" एक विकल्प नहीं है। लेकिन, यह वही है जो आपके प्रबंधकों को लगता है कि आप तेजी से विकास के आसपास की चर्चा के कारण ऐसा करने जा रहे हैं।

सारांश में, यह एक मेस वहाँ बाहर है। समस्या को हल करने में मदद करने के लिए प्रयास करें।