Newcomposers.ru

IT Мир
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как контролировать администратора

Как контролировать работу администраторов салонов красоты, косметологических центров и СПА с помощью CleverBOX:CRM

Поделитесь в социальных сетях

Успешные практики управления салонами, клиниками и СПА говорят о том, что самый эффективный способ контроля администраторов и оценки их работы — это грамотная автоматизация процессов, в которых администраторы участвуют.

Но как выбрать программу для салона красоты, косметологического центра или СПА, если демоверсии и менеджеры компаний показывают практически один и тот же фунционал, преувеличивая возможности и не договаривая нюансы?

Если вы зайдете на сайты активно рекламирующихся программ, то увидите там все что угодно: описание «автоматизации» отдельных операций, продвижение через модные фичи вроде модуля онлайн-записи, обещания, что с помощью ПО салоны увеличивают лояльность клиентов (самое печальное, что немало руководителей в это верят) и даже бизнес-советы.

Меня до сих пор поражает, как директора «просят» десятки абсолютно бесполезных отчетов и, при этом, бездумно отдают на откуп непродуманным IT-решениям, например, такой ключевой ресурс, как ЗАПИСЬ, в том числе, ОНЛАЙН-запись.

Глядя на все – понимаешь, почему в индустрии красоты столько лет в управлении процветает безграмотность и беспомощность. Почему столько времени тратится впустую. Почему слово «эффективность» — пустой звук для директоров бьюти-предприятий.

Хорошая новость в том, что в 2018 году в индустрии красоты появилась платформа управления нового поколения – CleverBox:CRM

CleverBox:CRM объединяет в себе CRM, ERP и менеджер задач. Но главное в том, что эта платформа, при всей своей легкости использования и интуитивном интерфейсе, автоматизирует бизнес-процессы управления салонами, клиниками и СПА и бизнес-процессы обслуживания клиентов, а не отдельные базовые операции вроде рассылки смс, расчета зарплаты или интеграции непродуманного модуля онлайн-записи.

У меня как у соучредителя салона красоты и как у консультанта наконец-то появился инструмент, с помощью которого можно системно управлять бьюти-предприятиями.

С удовольствием буду делиться с вами всем, что относится к вопросу автоматизации управления салонами, косметологическими центрами и СПА. Больше материалов по теме вы всегда можете найти здесь.

Сегодня расскажу вам о базовых возможностях контроля администраторов.

10 возможностей CleverBOx:CRM,
позволяющих полностью контролировать работу администраторов

  • Исключение ошибок при расчете клиентов, сделанных из-за невнимательности или сознательно (неправильно указанная сумма, неправильная акция или наоборот – отсутствие скидки): система не даст завершить операцию.
  • Обработка лидов (потенциальных клиентов, позвонивших или оставивших заявки) напрямую в CRM: вы будете видеть скорость реакции администратора и отслеживать его работу по входящим заявкам.
  • Отслеживание эффективности работы администратора по настраиваемым KPI в режиме реального времени: никаких дополнительных подсчетов и оценка администраторов без предвзятости.
  • Контроль открытия и закрытия кассовой смены: вы четко будете понимать, когда администратор приступил к работе.
  • Невозможность задним числом провести финансовые операции: чтобы не бороться с воровством, нужно изначально обезопасить бизнес правильной настройкой процессов.
  • Защита экспорта клиентской базы: аналогично п.5.
  • Гибкие настройки видимости модулей: давайте доступ администратору только к наиболее важным частям платформы.
  • Подробный отчет инвентаризации товаров с визуальным выделением проблемных позиций: ничто не останется незамеченным.
  • Логирование всех действий: создание и проведение платежа, прием входящего звонка, обзвон клиентов, запись на услугу, правки в визите клиента и так далее – все это вы сможете отслеживать в системе CleverBox:CRM.
  • Больше никаких «вы мне не говорили»: все задачи ставятся и контролируются напрямую в платформе.

Подумайте, частью каких бизнес-процессов являются эти десять операций? Кроме того, вы можете сразу заказать презентацию платформы здесь.

Мнение портала СМ может не совпадать с мнением авторов.
6-ти часовой ОНЛАЙН КУРС для собственников бьюти-предприятий -20% на период карантина!

Предзаказ на новую книгу Натальи Гончаренко «Мы открылись!» продлен.

Проблемы контроля привилегированных пользователей и их решение на примере Wallix AdminBastion

Как защититься от действий недобросовестных администраторов? Пожалуй, этот вопрос задавал себе каждый владелец бизнеса. В статье рассматриваются вопросы, связанные с проблемами контроля действий системных администраторов, имеющих практически неограниченный доступ к обслуживаемым системам, а также перспективные подходы к их решению на примере Wallix AdminBastion.

Введение

Многие компании вынуждены открывать доступ к своим корпоративным системам для внешних специалистов. Это относится к всевозможным провайдерам ИТ-услуг и аутсорсерам. Преимущественно это продиктовано желанием сэкономить на вынесении непрофильных функций за пределы штата организации, а также желанием иметь возможность быстрого внедрения новых ИТ-сервисов и их технической поддержки.

Например, к числу типовых функций, который могут отдаваться на откуп внешним ИТ-специалистам, можно отнести:

  • поддержку со стороны производителей ПО или программно-аппаратных комплексов;
  • техническое обслуживание оборудования сторонними специалистами;
  • техническая поддержка со стороны ИТ-интеграторов или поставщиков ИТ-услуг;
  • работу консультантов по настройке систем ERP, CRM или специфических бизнес-приложений.

Подобная практика привносит дополнительные риски с точки зрения информационной безопасности. В основном они связаны с фактической потерей контроля над информационной инфраструктурой предприятия, доступом к ней широкого круга лиц, зачастую никак и никем не контролируемого.

Давайте разберемся в этих рисках подробнее.

Можно ли доверять привилегированным пользователям?

Согласно опросу западных аналитических агентств, в 2012 году среди 820 системных администраторов, 42% их них когда-либо использовали свое служебное положение (административный аккаунт) для несанкционированного доступа к конфиденциальным и важным данным своей организации.

При этом 74% системных администраторов признались, что они с легкостью обходят меры безопасности, предпринятые для защиты конфиденциальных данных в организации.

Значительная часть системных администраторов призналась, что, в случае увольнения, охотно прихватят с собой эти самые конфиденциальные данные, – будь то база клиентов, административные аккаунты, планы компании по разработке, слиянию и поглощению и т.п. (см. таблицу 1).

Таблица 1. Какую информацию прихватят системные администраторы в случае увольнения

Вид конфиденциальных данных

Административный аккаунт к почтовому серверу

Планы по слиянию и поглощению

Планы по разработке и исследованиям

Финансовые отчеты компании

Список паролей привилегированных пользователей

Не возьму ничего

Иными словами, риски утечки конфиденциальных данных через системных администраторов в случае их вынужденного увольнения и/или замены составляют чуть менее 50%. При этом указанные риски существенно увеличиваются в периоды неблагоприятной экономической ситуации.

В денежном выражении риски выглядят еще более устрашающе. Так, если компания потеряет даже 10% текущих клиентов из-за утечки базы клиентов, то ущерб может исчисляться сотнями миллионов рублей уже в первый год после утечки данных. Возможный ущерб, который может возникнуть по причине утечки планов разработки или слияний, и вовсе может привести к катастрофическим последствиям вплоть до закрытия бизнеса.

Если речь идет о своих собственном ИТ-персонале, то он «известен нам в лицо», а, значит, к нему, в случае подозрений, можно применить различные меры административного или судебного воздействия. В случае аутсорсеров мы точно не можем контролировать круг лиц, имеющих доступ к нашим конфиденциальным данным и критически важным системам. Права доступа к аккаунтам могут делегироваться внутри аутсорсинговой компании, что очень часто происходит на практике. Поэтому и риски в этом случае заметно выше.

В подобных условиях становится очевидна необходимость внешнего контроля системных администраторов и их действий, независимого от них самих. Далее рассмотрим кратко существующие и перспективные подходы к решению этой проблемы.

Существующие решения для контроля привилегированных пользователей и их проблемы

Доступ к конфиденциальным данным, сам по себе, является предметом жестких политик безопасности. Каждое действие по созданию административного аккаунта, изменению его атрибутов или удалению обычно сопровождается процессуальной и бюрократической волокитой, в которую вовлекаются люди из различных подразделений компании. Тратится немало времени на согласования, учет и контроль выполнения политик по контролю привилегированных пользователей.

На регулярной основе необходимо проверять выполнение принятых политик безопасности правильность выдачи административных прав и контролировать, что действия администраторов не выходят за рамки должностных обязанностей. Для этого должен проводиться внутренний аудит, что выливается в значительные временные и финансовые затраты.

В случае с внешним привилегированным доступом возникает дополнительная проблема создания для них специальных ролей, бизнес-процессов и регулярного мониторинга их действий.

Читать еще:  Порядок исполнения отдельных видов административных наказаний

Чаще всего для административного доступа внешних специалистов используются различные средства, такие как IPSEC VPN, SSL VPN или SSH. Чаще всего шлюз устанавливают в DMZ и делают промежуточным звеном между сервис-провайдером и внутренней сетью организации. Такие решения должны иметь функции записи выполняемых действий, необходимые для соответствия стандартам ISO 27001, PCI DSS, Basel II и.т.д., но далеко не все отвечают этим требованиям.

Но, помимо отчетов о подключении внешних привилегированных пользователей, большую озабоченность вызывает необходимость выдачи им реальных административных паролей для целевой системы или даже класса систем (например, аккаунт root для Unix/Linux систем или аккаунт администратора для Windows Server).

Но главной проблемой, с моей точки зрения, является даже не это. Даже если вы правильно настроили отчетность на шлюзе удаленного доступа и отчетность на целевой системе, то невозможно в реальном времени сопоставить одни данные с другими.

Зная данные о том кто, когда и откуда подключился к вашей сети (отчет о соединении) или даже какие команды он выполнял в течение сессии, вы не сможете оперативно посмотреть действия этого человека на целевой системе. К тому же никто не мешает администратору зачистить все следы на целевой системе. И, наоборот, по отчетам целевой системы вы не сможете понять, кто и откуда это делал. Проще говоря, в лучшем случае вы будете иметь на руках несколько типов отчетов, которые придется как-то сопоставлять друг другу.

Если даже вы решили сопоставить данные из нескольких журналов постфактум, то это станет далеко непростой задачей. Время в системах не синхронизировано. При большом потоке данных журналы становятся огромны. Физически работа по анализу логов вручную превращается в ад, и поэтому практически не используется при анализе действий пользователей.

Проблема усугубляется, если мы начинаем рассматривать не внешних администраторов, а внутренних. Внутренние привилегированные пользователи, в большинстве случаев, никак не контролируются. Сложность здесь состоит в том, что они имеют прямой доступ к целевым системам из внутреннего, серверного сегмента, при этом – абсолютно бесконтрольного. В такой ситуации администратор может просто зайти в серверную, напрямую подключиться к серверу, совершить несанкционированные действия и остаться незамеченным для внешних систем контроля. Журналы доступа на самом сервере после всех манипуляций затираются.

Таким образом, нужен какой-то совершенно иной подход к проблеме, универсальный и подходящий для контроля действия любых привилегированных пользователей. Этот новый подход к тому же должен быть недорогим и минимизировать бюрократические процедуры в компании.

Перспективные решения для контроля привилегированных пользователей на примере Wallix AdminBastion

Рынок решений для контроля привилегированных пользователей сейчас активно развивается, о чем я писал в своей предыдущей статье. Существует много решений и подходов к решению этой проблемы, но для примера я остановлюсь на одном из них – Wallix AdminBastion (WAB).

Решение прекрасно дополняет существующие решения SSL VPN или IPSEC VPN, а также может использоваться для замены SSH и RDP шлюзов. Также решение контролирует подключения через TELNET, SFTP, rsh, RLOGIN, а также Windows Terminal Server (RDP) и может использовать для аутентификации сертификат Х509 V3.

Wallix AdminBastion предоставляет информацию о выполняемых внутренними или внешними привилегированными пользователями операциях, как в режиме реального времени, так и ретроспективно. Таким образом, для поиска подозрительных действий не нужно анализировать и сопоставлять отчеты о работе пользователей в различных системах.

Рисунок 1. Схема работы Wallix AdminBastion

При помощи Wallix AdminBastion можно записывать рабочие сеансы привилегированных пользователей и при необходимости просматривать их (аудит, управление инцидентами и т. д.). Решение не делает различий для внешних и внутренних пользователей, имеющих привилегированный доступ. Действия, выполняемые ими на целевых устройствах, непрерывно записываются для последующего просмотра в формате Flash Video (для графических сеансов Windows Terminal Server (RDP) и (VNC)) и в текстовом формате (для сеансов командной строки SSH и Telnet). Примеры записи сеансов можно посмотреть здесь.

Wallix AdminBastion работает как шлюз и не требует установки агентов на администрируемых устройствах или рабочих станциях, что обеспечивает его быстрое развертывание.

Рисунок 2. Пример отчета о действиях администраторов в Wallix AdminBastion

Контроль доступа привилегированных пользователей к корпоративным ресурсам в Wallix AdminBastion осуществляется на основании правил по различным критериям, таких как IP-адрес, имя пользователя, интервал времени, протокол или тип сеанса SSH (X11, Shell, Remote exec, и т.д.). При этом все вводимые команды (Shell, exec, SCP и т.д.) анализируются в реальном времени. При обнаружении запрещенных строк можно отправить предупреждение или прервать подключение SSH.

Например, в Wallix AdminBastion можно настроить правила таким образом, что внешний администратор сможет только перезагрузить удаленный сервер в корпоративной сети, но не сможет выполнить какую-либо другую команду или скачать файл.

Каждый привилегированный пользователь входит в Wallix AdminBastion, используя свои учетные данные, и получает доступ к разрешенным устройствам без выполнения второй процедуры входа (принцип SSO — Single Sign-On). Сами пароли для целевых устройств хранятся в WAB, поэтому нет нужды сообщать их кому-либо, а сеансы могут открываться автоматически. Процедура смены паролей доступа к корпоративным ресурсам становится простым делом, так как теперь не нужно сообщать их всем пользователям в отдельности.

Не будем подробно останавливаться сейчас на всех функциях конкретного продукта, т. к. это выходит за рамки данной статьи. Важно показать непосредственно подход к решению проблемы контроля привилегированных пользователей. Функции Wallix AdminBastion мы подробно рассмотрели в специальном обзоре.

Выводы

Риски утечки важных конфиденциальных данных через системных администраторов в случае их вынужденного увольнения или замены составляют чуть меньше 50%. Закрытие глаз на эти риски может привести к самым пагубным последствиям для бизнеса. Поэтому вопрос заключается не в том, нужно ли контролировать привилегированных пользователей, а в том, как это лучше делать.

В большинстве предприятий меры контроля привилегированных пользователей или отсутствую вовсе или применяются в ограниченном виде для контроля внешних специалистов. Современные решения позволяют:

  • Централизованно управлять административными учетными записями для внешних и внутренних сотрудников, проверять правильность выдачи прав.
  • Иметь возможность создания политик доступа для администраторов к корпоративным ресурсам (типы сеансов, протоколы доступа, время доступа и.т.п.). Администратор получает только необходимый и достаточный доступ к обслуживаемым ИТ-системам.
  • Централизованно записывать все действия администраторов и, при необходимости, иметь возможность провести полный аудит их действий во всех обслуживаемых ими системах.
  • Не дать возможности администраторам бесследно манипулировать данными в обслуживаемых ими системах.
  • В режиме реального времени контролировать действия администраторов в обслуживаемых системах, а также иметь возможность вернуться назад во времени и посмотреть предшествующие события и их источник.
  • Администратор не будет знать данные аккаунтов в обслуживаемых системах, а использовать только свой персональный аккаунт SSO. Не нужно передавать кому-либо важные пароли за пределы организации, а изменение паролей становится простой рутинной операцией.

В целом, прекрасный практический пример народной мудрости «Доверяй, но проверяй!»

Как получить права администратора в Windows.

В процессе установки операционной системы Windows система предлагает создать пользовательскую учетную запись (аккаунт), которому по умолчанию не доступны все привилегии и возможности. Делается это для безопасности, чтобы неопытный пользователь не мог вносить в систему каких-либо глобальных изменений, которые приведут к необратимым последствиям, поломке системы. Правда учетная запись с правами администратора все же создается, но только в скрытом режиме, и по умолчанию она не доступна.

Если вы все таки решили получить для своей учетной записи права администратора (причины могут быть самые разные), то давайте рассмотрим 5 способов как это сделать.

1. Самый простой способ

Открываем Панель управления → Учетные записи пользователей → Изменение типа своей учетной записи.

В следующем окне помечаем пункт «Администратор» и нажимаем «Изменение типа учетной записи».

2. С помощью командной строки

Открываем командную строку от имени администратора (например, с зажатой клавишей Shift нажимаем правую кнопку мыши на свободном месте рабочего стола, в контекстном меню выбираем «Открыть командную строку»). В командной строке вводим net user и нажимаем Enter. Откроется список учетных записей пользователей и системных учетных записей. Запоминаем точное название учетной записи, которой хотим предоставить права администратора. Вводим команду net localgroup Администраторы имя_пользователя /add и нажимаем клавишу Enter.

Читать еще:  Как администратора сделать обычным пользователем

Затем вводим net localgroup Пользователи Имя_пользователя /delete , где вместо «Имя_пользователя» вводим название учетной записи, нажимаем Enter. Если имя пользователя состоит из нескольких слов, необходимо заключить его в кавычки.

Можно попробовать ввести такую команду: net user Администратор /active:yes .

3. С помощью утилиты «Локальные пользователи и группы»

Открываем диалоговое окно «Выполнить» (Win + R), вводим команду lusrmgr.msc и нажимаем «ОК». Открываем папку «Пользователи», дважды кликаем по учетной записи, для которой хотим получить права администратора.

В открывшемся окне на вкладке «Членство в группах» нажимаем «Дополнительно».

В следующем окне в поле имен выбираемых объектов пишем Администраторы и нажимаем «ОК».

В предыдущем окне, в списке групп, удаляем лишние, чтобы осталась только группа «Администраторы».

4. С помощью редактора реестра

Открываем редактор реестра (Win + R → regedit → «ОК»). Открываем ветку HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies System . Выделив раздел System, справа находим следующие параметры и задаем им такие значения:

«FilterAdministratorToken»=dword:00000001 «EnableLUA»=dword:00000001 «ConsentPromptBehaviorAdmin»=dword:00000000

5. С помощью локальных групповых политик

Открываем «Редактор локальных групповых политик» (Win + R → gpedit.msc → «ОК»). Открываем ветку: Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Параметры безопасности . В правой части окна находим параметр « Учетные записи: Состояние учетной записи Администратор ».

Двойным щелчком левой кнопки мыши открываем этот параметр, задаем значение «Включен», нажимаем «Применить» и «ОК».

Для системного администратора

Контроль прав учетной записи администратора

На сегодняшний день в сети существует сотни, а возможно, даже тысячи учетных записей администратора. Имеете ли вы контроль над всеми этим учетными записями, и знаете ли вы, что они могут делать?

Для чего необходимо контролировать учетные записи администраторов?

Если вы являетесь администратором сети Windows, а таких большинство, то ваше пристальное внимание должно быть направлено на корпоративный Active Directory enterprise. Со всеми этими заботами относительно безопасности контроллеров домена, серверов, служб, приложений и подключением к Internet, остается совсем мало времени на то, чтобы убедиться, что ваши учетные записи администраторов контролируются правильно.

Причин, по которым необходимо контролировать эти учетные записи, огромное множество. Во-первых, в больших или средних сетях потенциально может существовать тысячи таких учетных записей, поэтому велика вероятность того, что эти учетные записи могут выйти из под контроля. Во-вторых, большинство компаний разрешают обычным пользователям иметь доступ к учетной записи локального администратора, что может стать причиной беды. В-третьих, с оригинальной учетной записью администратора необходимо обращаться бережно, поэтом ограничение привилегий является превосходной мерой предосторожности.

Сколько у вас учетных записей администратора?

Чтобы ответить на этот вопрос, необходимо сделать некоторые вычисление (как сказал бы Jethro Bodine). Т.к. каждый компьютер с операционной системой Windows имеет учетную запись локального администратора, то мы начнем отсюда. Эти компьютеры включают Windows NT, 2000, XP и Vista. Убедитесь, что вы включили все компьютеры клиентов, которые используются администраторами, разработчиками, сотрудниками и даже находятся в серверной комнате или на прикладных устройствах. Если у вас есть киоски, тестовые компьютеры, централизованные рабочие станции и т.п., то всех также необходимо включить в наш расчет. Не нужно пока считать учетные записи пользователей, т.к. количество устройств, может не соответствовать количеству пользователей.

Теперь вам нужно учесть количество серверов, которые у вас есть. В этот список пока еще не нужно включать контроллеры домена. Из всех ваших серверов вам необходимо выделить сервера, которые выполняют следующие задачи: хранение данных, сервер для печати, сервер приложений, почтовый сервер, офисный сервер и т.п. У каждого из этих серверов имеется локальная SAM, и поэтому есть учетная запись локального администратора. Эта учетная запись может использоваться не очень часто, но это может быть еще более важной причиной, по которой необходимо контролировать ее права.

И наконец, вы должны рассмотреть контроллеры домена. Здесь у вас есть очень важная учетная запись администратора – это учетная запись, которая контролирует Active Directory. Эта учетная запись администратора не только контролирует Active Directory, но также управляет корневым доменом, также как и учетная запись корпоративного администратора. Если у вас более одного домена, то у вас должна быть одна учетная запись администратора для каждого домена. Соответствующая учетная запись администратора имеет силу лишь в том домене, в котором она размещается, но все равно это очень важная учетная запись.

Ограничение прав на вход

Существует не так много возможностей по физическому ограничению привилегий на вход для этих учетных записей администратора. Однако, эти учетные записи не должны использоваться ежедневно. Поэтому необходимо предпринять некоторые меры для ограничения их использования. Очевидный выбор заключается в том, чтобы ограничить количество пользователей, которые знают пароли для этих учетных записей. Для учетных записей администратора, связанных с Active Directory, неплохо было бы разработать процесс для назначения паролей, когда ни один пользователь не знает целый пароль. Это можно легко сделать в том случае, когда два различных администратора вводят часть пароля, а затем документирует эту часть. Если эта учетная запись когда-нибудь понадобиться, то необходимо получить обе части пароля. Другой вариант заключается в том, чтобы использовать программу для автоматического формирования пароля, которая позволяет сформировать сложный пароль.

Ограничение доступа к учетной записи локального администратора

Вне зависимости от того, разрешаете ли вы обычным пользователям иметь доступ к их рабочей станции или нет, вы должны ограничить их доступ к учетной записи локального администратора. Два простых способа для этого заключаются в изменении имени учетной записи локального администратора и частого изменения пароля для нее. Существует объекты политики группы для каждого из этих параметров. Первый параметр находится в Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options, как показано на рисунке 1. Политика, которую необходимо настроить называется Accounts: Rename Administrator Account.

Рисунок 1: Политика для изменения имения учетной записи локального администратора

Вторая политика, которую вам необходимо настроить, является частью нового комплекта настроек политик (suite of policy settings), который появится в 2007. Эта политика является часть комплекта под названием PolicyMaker suite, и располагается в Computer Configuration|Windows Settings|Control Panel|Local Users and Groups, как показано на рисунке 2.

Рисунок 2: Политика для сброса пароля для учетной записи локального администратора Administrator accounts

Примечание: Эта политика не запрещает обычному пользователю от постоянного контроля на этой учетной записью, т.к. единственный способ сделать это, заключается в удалении обычного пользователя из группы администраторов.

Ограничение доступа к сети

Как все знают (но не все помнят), учетная запись администратора не должна использоваться на повседневной основе. По этой причине, нет необходимости настраивать сеть так, чтобы разрешать доступ в сеть под этой учетной записью. Один хороший способ по ограничению прав для этой учетной записи заключается в том, чтобы запретить учетной записи администратора доступ к серверам и контроллерам домена в сети. Это легко можно сделать с помощью настройки GPO. Эта настройка GPO находится Computer Configuration|Windows Settings|Security Settings|Local Policies|User Rights Assignment, как показано на рисунке 3. Политика, которую вы должны настроить называется Deny Access to this Computer from the Network (запретить доступ к этому компьютеру из сети).

Рисунок 3: Политика для запрета администратору доступа к компьютеру из сети

Другие настройки

Вы также можете ограничить доступ для учетной записи администратора внутри корпорации. Другие примеры, где вы можете ограничить доступ:

  • Не использовать учетную запись администратора в качестве служебной учетной записи
  • Запретить доступ к терминальным службам на серверах и контроллерах домена
  • Запретить администраторам Administrator возможность входа в качестве службы на серверах и контроллерах домена
  • Запретить учетной записи администратора входить в качестве batch job
Читать еще:  Запросы аксесс условия отбора

Эти настройки лишь ограничат область влияния учетной записи администратора над компьютерами в сети. Эти настройки не запрещают пользователю с правами администратора настраивать этот доступ. В этом случае вы должны настроить аудит для конфигурации учетной записи администратора, а также проверять, когда эта учетная запись использовалась для входа и использовании пользовательских прав. И снова эти настройки можно выполнить с помощью GPO. Вы можете найти эти настройки в Computer Configuration|Windows Settings|Security Settings|Local Policies|Audit Policy, как показано на рисунке 4.

Рисунок 4: Политика для настройки аудита по управлению и использованию учетной записи

Резюме

Учетная запись администратора – это самая важная учетная запись, которая существует в мире операционной системе Windows operating system. Эта учетная запись настолько мощная, что не следует ей пользоваться до тех пор, пока не возникнет реальная необходимость, такая как экстренное восстановление или начальная настройка. Для того чтобы ограничить область влияния этой учетной записи, можно сделать дополнительные настройки для защиты учетной записи и доступа к ней. Политики группы – это механизм, который используется для распределения этих уменьшенных прав между всеми компьютерами, для которых необходимо ограничить права администратора. После этих настроек будет контролироваться не только работа учетной записи администратора, но и также можно будет обнаруживать попытки взлома вашей сети с помощью этой учетной записью.

Как контролировать сотрудников, которые работают удаленно

В интернете есть масса материалов, поющих дифирамбы удаленной работе. Но как бы удобно ни было делать бизнес с командой удаленных специалистов, существует риск провала проекта только потому, что сотрудники не выполнили вовремя поставленные задачи и здесь возникает резонный вопрос: «Как контролировать сотрудников, которые работают удаленно?» Попробуем разобраться в нашей статье.

Как наладить удалённую работу сотрудников

Наладить удаленную работу сотрудников в компании не просто. Для этого вам нужно найти таких сотрудников, которые умеют выполнять задачи в срок и нести ответственность за их выполнение. А для этого нужно уметь работать из дома без строгого взора начальства, а также уметь планировать свой день.

К сожалению, большинство взрослых людей не обладают такими навыками и делают свою работу, что называется, из-под палки. Конечно, многое зависит от внутренней и внешней мотивации сотрудника. Тем не менее, следует учитывать определенные моменты, работая с удаленными сотрудниками.

1. Подготовьте инструменты и материалы для работы. Прежде чем отпускать сотрудников в свободное плавание, подготовьте фундамент для работы. Вам нужно создать общую рабочую среду, возможно это будет CRM-система или другая платформа, общий чат для разных отделов и доступы удаленных сотрудников к необходимым документам компании.

Возможно, вам понадобятся какие-то инструкции, которые могут подготовить действующие сотрудники. На основе этих инструкций можно создать базу знаний для действующих и будущих сотрудников. Материалы помогут в самостоятельном поиске решений определенных задач.

2. Определитесь с графиком работы. Определите, в какие часы будут работать ваши удаленные сотрудники. Если удаленный сотрудник должен быть на связи с вами в ваши рабочие часы, то обозначьте это. Если ваш сотрудник готовит тексты для блога и лендингов, и вам не важно, в какое время эта задача будет выполнена, важен лишь конечный результат, то ставьте просто дедлайн к каждой задаче.

Важно также, в каком часовом поясе работаете вы и ваши удаленные сотрудники. Старайтесь строить график работы таким обращом, чтобы всем было удобно работать в одно время, если этого требует ваша деятельность.

3. Обеспечивайте обратную связь. Удаленных сотрудников часто демотивирует ощущение, что они работают «в стол». А это случается, когда они не получают обратную связь о проделанной работе. Старайтесь на планерках и общих созвонах озвучивать результаты выполненной работы каждого удаленного сотрудника. Например, вот эта статья с блога вышла в ТОП Google по такому-то запросу.

Вы также можете проводить один раз в неделю или один раз в две недели созвон с вашими сотрудниками для обсуждения дальнейшей работы и планов, а также для решения возникающих проблем в ходе выполнения задачи.

4. Система мотивации — это важный пункт для удаленных сотрудников. Многие компании уходят на путь поиска удаленных сотрудников по той простой причине, что уровень зарплат в регионах ниже и можно найти квалифицированных и опытных сотрудников, готовых работать за меньшие деньги, чем в столице. Желание сэкономить на зарплатах приводит некоторых предпринимателей к поиску удаленных сотрудников.

Поэтому важно разработать такую систему мотивации и оплаты труда сотрудников, чтобы они «горели» своим делом и у них было жгучее желание работать на результат. Это может быть окладная часть и проценты с продаж, если сотрудник связан с продажами. Или это может быть оклад и бонусы за своевременно проделанную работу и за выполнение дополнительных задач.

Как контролировать удаленных сотрудников

Благодаря современным средствам коммуникации удаленные сотрудники всегда на связи, даже если их стиль жизни — путешествия. Тем не менее, на начальном этапе сотрудничества требуется контроль за сотрудниками, ведь все люди разные, кто-то сам умеет себя легко организовать, а кому-то требуется четкая постановка задач.

1. Планерки. Проводите планерки с сотрудниками и планируйте рабочую неделю или месяц, чтобы сотрудник знал, какие задачи стоят перед ним и мог сам распределить свое время на выполнение этих задач. Не стоит думать, что удаленные сотрудники только и думают о вашем проекте и готовы сиюминутно выполнить только что поставленную задачу. Поэтому заранее оповещайте сотрудника о предстоящем плане.

Именно на совместных планерках вы можете выяснить, с какими проблемами и трудностями сталкиваются удаленные сотруднки при выполнении задач. Также, знакомясь ближе с сотрудниками, вы будете знать, что от каждого члена команды можно ожидать.

Мы рекомендуем при постановке задач обязательно назначать контрольные точки проверки результатов. В случае невыполнения сотрудником задач, вы можете быстро подключить других специалистов.

2. CRM-система позволяет контролировать удаленных сотрудников. Вы ставите задачи в системе, а сотрудник после выполнения всех этапов задачи делает отметку о выполнении, так вы легко и просто будете контролировать все процессы, происходящие в компании. CRM-система позволяет также контролировать менеджеров по продажам и знать, как они ведут переговоры путем прослушивания телефонных звонков, интегрированных в CRM.

3. GoogleDocs. Контроль удаленных сотрудников можно легко осуществлять через GoogleDocs, если у вас проект совсем небольшой, но перед вами стоит достаточно много задач, которые требуют вашего участия.

Дело в том, что в GoogleDocs в режиме реального времени можно записывать список выполненных задач, или делать список предстоящих дел и зачеркивать выполненные, оставлять комментарии на полях и заметки для сотрудника, выделяя их красным цветом. Конечно, это все будет не удобно для большого коллектива, но для компании из 1-2-х сотрудников вполне даже подойдет, тем более можно сэкономить на CRM-системе. Google-календарь напоминает о запланированных задачах, которые ждут своего выполнения.

4. Автоматический учет рабочего времени CrocoTime. Сервис по учету рабочего времени CrocoTime позволяет управлять удаленными сотрудниками и даже целыми отделами. Встроенный тайм-трекер напоминает сотруднику о незавершенной задаче, от которой он отклонился в ходе ее выполнения и предлагает завершить ее. Понятная система отчетности позволяет оценить объем работы, выполненной сотрудником.

Получите план по созданию онлайн-бизнеса с доходностью 200-500 тысяч рублей за 120 дней. Записывайтесь на открытый онлайн-мастер-класс!

Понравилась статья? Делитесь ей в социальных сетях!

Если вы мечтаете о свободном бизнесе, то вам придется нанимать удаленных сотрудников. Несмотря на то, что фриланс активно развивается в нашей стране, а также многие сотрудники работают на аутсорсинге, многие руководители до сих пор боятся организации удаленной работы и найма удаленных сотрудников.

Ссылка на основную публикацию
Adblock
detector