Policy for administratorprivilegier på Windows 10

Policy oppsummert

  1. Det anbefales at det i utgangspunktet ikke tildeles permanente administratorrettigheter på Windows 10
  2. Enheter kan velge å tildele administratorrettigheter eksempelvis i 48 timer til bruker der dette vurderes som nødvendig
  3. Rettigheter skal gis primært til vanlig brukernavn. Sekundært gis ved å oppgi passord på innebygget administratorkonto.
  4. USIT utvikler teknisk løsning for å gjøre tildeling av administratorrettigheter mulig med en selvbetjeningsløsning

Mer utdypende for IT-personell

Reduserte behov for utvidede rettigheter for programvareinstallasjon på Windows 10

I driftsopplegget på UiO er det gjort slik at alt som ligger i Software Center kan installeres av bruker, uten utvidede rettigheter, dersom programvaren er gratis eller bruker er tildelt en lisens. Videre blir mer og mer applikasjoner gjort tilgjengelig i "Windows Store" av programvareleverandørene. Applikasjoner som ligger her kan installeres uten utvidede rettigheter.

Innføring av Direct Access gir økt mulighet for fjerndrift

Med Direct Access er IT-ansvarlig sin mulighet for å sende instruksjoner til en maskin som befinner seg utenfor UiO sitt nett styrket. Men ved reiser til andre tidssoner eller i ferier kan det ta tid før IT-ansvarlig kan agere. Det må derfor åpnes for at bruker kan tildeles administratorrettigheter, i det minste frem til en selvbetjeningsløsning for tildeling av rettigheter er testet ut og verifisert som fullgod erstatning.

På hvilken konto bør bruker tildeles privilegier

UiO har hatt en utstrakt praksis med opprettelse av en egen lokal konto som tildeles administratorprivilegier. Ulemper med dette er at en del typer programvare forholder seg til brukerprofilen som brukes til å installere programvaren, og at UiO ikke har noe system for å følge opp passordbytte på en slik lokal konto.

Vi står da igjen med to metoder:

1. Bruker tildeles administratorrettigheter på sitt vanlige brukernavn.

2. Verktøyet Local Administrator Password Solution (LAPS) som roterer passordet til den innebygde administratorbrukeren, kan benyttes for å gi brukeren passordet til denne.

Alternativ 2 har to ulemper. Det ene er at LAPS-generert passord er langt og komplekst. Det andre er at bruk av kontoen krever mer kompetanse av bruker, da man ikke kan kjøre vanlig pålogging med denne. Alternativ en er dermed å foretrekke, mens alternativ to kan brukes som sekundær løsning.

Publisert 21. feb. 2018 11:47 - Sist endret 24. apr. 2019 07:46