Reprise du message précédent :
Dans du byod pas trop le choix ouais

En l'occurrence, ce n'était pas le sujet..

Quelle conf alors ?

Dans les administrations ? Les grosses boîtes publique ?
Quand je vois déjà des mots de passe pour des comptes génériques sur des "bornes" pour accéder à une application métier particulière, relié au réseau, qui a déjà 15 ans, voilà quoi  

Ok, donc on laisse le même mot de passe aux utilisateurs et on les laisse admin de leur poste. C'est quoi la prochaine connerie ?
Au moins avec ce genre de "best practices", on est sûr de garder longtemps son taf

 
Tu craques?

 
Vraiment ?  

Si tu leurs coupes les droits admins, comment tu fais pour qu'ils foirent leurs machines et te permettent de justifier ton poste?

 
Tout le monde sait qu'ils y'arrivent très bien sans    

 
normale, la nana fait du dev chez microsoft

Sur WinDEV ?  
 
Tiens sinon ça n'a pas manqué : un dév pour qui j'ai refait son PC revient de vacances, et j’apprends par un collègue que le dév a déjà foiré sa machine.
Point important : le dév est admin de sa machine.
CQFD, même si j'hésite entre "dév" et "parce qu'il est admin"

J'en ai un qui m'a foiré son poste et qui avait tellement modifié les path que je pouvais même pas lancer une commande de base dans l'invite de commande ...

J'me suis pas fait chier je lui ai filé une machine remaster et je l'ai laissé se démerder pour réinstaller ses outils puisqu'il " sais ce qu'il fait"

Padamalgam

On viens de m'accorder des droits d'utilisateur local, ça veut dire que je peux enfin installer les outils nécessaires et bosser sur un pc du client au lieu d'utiliser ma machine perso.
 
Le bloatware qui sert d'antivirus consomme plus de ressources que les processus qui me sont utiles  
 
Tu m'étonne que les lusers équipés de laptop premier prix râlent que leurs pc sont lents avec ce genre de conneries  

 
Utilisateur ou administrateur local ?

je pense qu'ils lui ont donné un compte local , je ne dirais pas AD

 
Je recherchais le doc en question mais je le trouvais plus, mais il était dans mon onenote : https://www.microsoft.com/en-us/res [...] -guidance/
 

 
 
en meme temps, si tu files pas les droits admin à un dev, autant qu'il s'arrete de travailler.
 
Un autre truc très chiant pour les devs, c'est les antivirus avec leur analyse comportementale , l'antivirus en vient maintenant à mettre en quarantaine des programmes que l'on fait car il a détecté un comportement suspicieux. Alors on veut bien, mais le fournisseur de l'AV est incapable de nous dire quoi pour qu'on puisse corriger cela puisqu'on sait pertinemment qu'ils ne corrigeront pas ca dans leur soft ( l'AV en question c'est trend micro ). Apparemment ca serait parce qu'on enchaine des tar.gz dans des tar.gz etc... ( besoin réel )
 
Resultat, on reboote en mode sans echec et on renomme le rep pour que l'AV ne se lance pas

 
Et travailler dans les %systemroot% et dans le program files
 
surtout pas utiliser les variable utilisateur, mais les systemes,
 
tu prends du ZIP est c'est tout ==> [ ]

 
non mais je peux ouvrir aussi 50 tickets par jour pour demander de reconfigurer l'adresse IP de la machine, ou bien d'installer un logiciel ou encore de flasher une clé ou un disque en mode raw ( ce sont des besoin réels ). Je peux en sortir une liste énorme, alors effectivement on peut créer un profil qui ouvre un par un tous ces verrous, mais c'est plus simple pour l'utilisateur et le S.I. de tout ouvrir et de faire confiance. Tous les devs ne sont pas des abrutis non plus ( 0 problème en 15 ans chez nous )

 
Sauf dev bas niveau, pas besoin d'avoir de droits admins hein.
Parce que le nb d'applis codées avec les pieds parce que le dev croit que tout le monde a les droits d'admins c'est vraiment relou (va y que je t'écris dans program files, génial ...)

le pblm des devs, si ils sont admins, ne savent pas EUX ce que fait leur programme.
Et ca balance des releases, avec:
-  mince les users ne sont pas admin de leur poste non plus ?
Ah zut, faut donner droit admin aux users
- pkoi ? Dite moi ce que votre programme touche, et je vais checker les droits à ce repertoire ou à la base de registre de votre logiciel.

Si tu touches pas au systeme , c'est bueno
Grace à UAC, cela a remis un peu à leur place les devs qui en foutaient partout.

 
 
j'ai déjà donné 3 exemples. Après si tu peux les contredire , pas de pb, je n'ai pas la science infuse.  
 
Et je ne parle pas de l'appli résultante, mais bien de l'environnement de travail quotidien du développeur, c'est très différent.
 

 
 
Oui c'est possible. Mais généralement, on fait des tests sur des environnements dédiés avant de livrer, pas sur la machine de développeur. Bref, on s'écarte du sujet, je voulais juste souligner le désagrément que peut causer une machine windows en mode non admin pour un développeur dans son quotidien

Xilebo, 1°) installer une appli, que tu sois dev ou non, tu dois passer par le SI .
2°) changer une adresse ip, pour quoi faire, ? environnement virtuel peut etre avec plusieurs machine à ta dispo
3°) Formatage, une erreur est si vite arrivée

bien que tu peux avoir une GPP pour ca.

Je suis dev et pas admin sur ma machine, on vit très bien  

 
1) on peut théoriquement, mais vla la baisse de productivité ( généralement, l'appli on en a besoin immédiatement, pas dans 3h quand le ticket est traité) . Après, il est vrai qu'on n'installe pas une appli tous les 4 matins non plus. Bref, c'est une facilité que j'ai heureusement encore, car on reste une PME de 200personnes.
 
2) pour changer de plan ip, je dois me connecter régulièrement à plusieurs réseaux en plus du réseau d'entreprise, et j'ai besoin d'avoir accès à la fois au réseau entreprise ( pour le net par exemple ) et à la fois au réseau dédié pour tester les protocoles écrits. Bref c'est un besoin spécifique à mon activité. Comme ci-dessus, je peux passer par le S.I. mais le besoin est immédiat pas dans 3h. Sinon oui j'ai plusieurs machines, mais le besoin reste.
 
3) je travaille dans le logiciel embarqué dans l'aéronautique ( pour situer un peu) , quand je dois flasher une clé usb ou une SD card, je dois pouvoir le faire. Je dois aussi ouvrir un ticket? Une erreur est vite arrivée, mais c'est mon métier, je ne dois pas faire l'erreur, c'est tout ( sinon j'en subirai évidemment les conséquences ).  
 
pour la GPP, va expliquer ça à mon S.I., ce n'est pas mon travail, je n'ai pas que ça à faire Plus sérieusement, d'un commun accord, et pour plus de facilité, on a choisi d'ouvrir les droits admin windows aux devs. Et je répète, ça fait 15 ans qu'on fonctionne comme ça, 0 incident. Il n'y a pas meilleure preuve. ( par contre ca verrouille quand même de plus en plus )
 
 
 
 

 
Tant mieux si ton utilisation quotidienne te le permet    

Bah pkoi tu n'as pas une VM justement pour ca ... (2°)
C'est un un manque de secu la, apres on s'etonne des BSOD sur les ecrans des boeing , tu dois avoir un environnement de test c'est la base.

pour le 1°) tu abuses et tu le sais tu fais une demande, et apres tout depend de la réaction de ta SI , mais vu que c'est la meme boite que moi cela ne doit pas prendre plus 1H si ta demandes est justifié ^^

de meme , que meme nous , nous ne sommes plus admin de nos machines.

Administrateur, enfin disons que du coup c'est passer de castrat à utilisateur  

Pour certains trucs c'est quand même assez chiant.
Genre là je veux que docker se connecte à notre registre interne qui a un certificat auto-signé, et vu que je peux pas tester je donne des instructions au mec de l'IT en aveugle, il exécute, je teste, ... je sens que ça va durer longtemps.
J'aimerais bien pouvoir mettre certains trucs non-packagés dans /opt ou /usr/local aussi, plutôt que mon dans mon home.
 
Et le pire c'est qu'on est admins des macs.
Donc si une secrétaire veut péter sa machine elle peut.

 
CQFD
 
mais cela doit bien payer etre admin mac  

Des dev c'est quand même censé être des informaticiens, j'sais que chez nous tous les technique sont admin de leur machine infra/réseau/dev.
Ca n'a jamais posé le moindre problème, faut pas déconner

 
Oui, mais le coup d'un blackout totale car le virus 0 day est passé à cause d'une fatigue passageré, c'est con
 
il faut juste que l'internet et les mails ne soient pas sur la machine admin

Non mais admin local de son propre poste hein.
Après avec WannaCry, il y a même pas besoin d'être admin donc bon ..

A condition de ne pas exécuter n'importe quel processus en administrateur surtout...

Bah si moi je le fais pas, je vois pas pourquoi un dev le ferais non plus, c'est pas tata michu niveau informatique.
 
Bon on fait pas de Java chez nous, ça joue peut-être

 
 
internet et mail sont sur la machine admin sur mon poste de travail. Je répète 0 incident.  
 - pièce jointe des mails -> ignorés , sauf celles qui sont sollicitées.
 - navigation sur le web : je veux bien un exemple concret pour ma culture. le web consiste à 99% du temps à des forums ou à télécharger des tar.gz de lib opensource ou encore des dépots de distrib. Je ne vais jamais sur des sites à risque depuis le travail, après je veux bien entendre qu'on peut chopper un virus même en allant sur facebook ou youtube.
 
De toutes façons, à part les virus 0-day, j'ai un putain d'AV qui tourne en résident, et les machines sont toujours à jour en ce qui concerne les maj ( sauf exception précise ). ca reste du windows 7, on n'est pas encore passé à 10.
 
Après le risque 0 n'existe pas mais le comportement prévaut sur la protection. La preuve, même des systèmes dit protégés se font infecter par des ransomwares.  ( bon ok je trolle un peu )
 
Je vais même vous faire hurler, j'ai même désactivé les fenêtres de confirmation à la con ( les jaunes )
 
Tiens j'ai oublié, wireshark, si t'as pas le mode admin, c'est un peu plus dur, je m'en sers régulièrement (j'ai même écrit un plugin pour analyser un de mes protocoles )

Ca fait 15 ans que Gégé de la compta ne met pas sa ceinture de sécurité quand il monte en voiture, jamais un incident, c'est bien la meilleure preuve que ça ne sert à rien

 
oui enfin le parallèle entre la vie d'une personne, et la sécurité d'un poste informatique ( allez, on va pousser jusqu'au réseau d'entreprise), c'est pas tout à fait la même chose.
 
On est toujours confronté à un rapport bénéfice / risque et le risque 0 n'existe pas. Pour l'instant, le choix - peut-être à tort - est en ma faveur  

va dire ça au réseau informatique d'un hopital