La respuesta es: depende.
Depende de su relación con sus usuarios y de cuánto se puede confiar en ellos para que no creen problemas, y de la medida en que desee admitir computadoras portátiles en las que el usuario tenga acceso de nivel de administrador y la necesidad de un nivel de administrador. Acceso desde una perspectiva de misión / negocio.
Es solo una pregunta con un montón de concesiones, y tendrás que decidir desde la perspectiva de tu propia organización qué es lo que tiene más sentido para ti. El beneficio de otorgar a sus usuarios acceso de nivel administrativo es, como usted lo identificó, puede permitirles resolver problemas ellos mismos, por ejemplo, mientras están de viaje o cuando su servicio de asistencia técnica no está abierto o sin ponerse en contacto con su servicio de asistencia técnica. La desventaja es que los usuarios ahora tienen el poder de dispararse en el pie. Pueden realizar cambios en las configuraciones que hacen que su sistema no sea confiable o inutilizable; pueden instalar software malicioso, malo o simplemente contrario a la política de su organización. Puede ver a esos usuarios más tarde en su mesa de ayuda pidiéndole ayuda para que sus computadoras funcionen, porque se equivocaron (es posible que ni siquiera se den cuenta de que es su propia culpa). Por el contrario, si bloquea las computadoras portátiles de los usuarios con demasiada fuerza y tiene usuarios avanzados, es posible que se resientan al departamento de TI por controlar las cosas con un puño tan cerrado, lo que no es bueno para su organización.
Me preguntaría qué tipo de relación desea tener con sus usuarios, qué nivel de soporte desea brindar y qué riesgos desea aceptar o no aceptar.
En su mayor parte, esto solo tiene una conexión modesta a la seguridad. El aumento de los riesgos de seguridad se debe a que los usuarios tengan acceso de nivel de administrador en sus propias máquinas. Sin embargo, desde una perspectiva de seguridad, incluso si los usuarios no tienen acceso de nivel de administrador, aún pueden ser infectados por un software que roba todos sus archivos, por lo que no es como si retener la contraseña del administrador de alguna manera elimine automáticamente todos los riesgos de seguridad.
Parece que hay una lógica circular en esta pregunta.
Desde el punto de vista de la seguridad, el objetivo principal de las contraseñas es proteger algunos activos. En el caso de Windows 7, la idea de tener diferentes niveles de acceso para las cuentas de administrador y de usuario es proteger el sistema operativo de daños, malware, virus, etc. Tener contraseñas administrativas realmente no hace nada para proteger los archivos de datos del usuario como un documento de Word, ya que la cuenta de usuario debe tener acceso a esos archivos para que el usuario pueda editarlos.
Si desea proteger los archivos del sistema operativo, a diferencia de los secretos corporativos, las contraseñas de administrador funcionan razonablemente bien.
Ahora introduces el factor de conveniencia para el usuario. El usuario desea utilizar una nueva impresora con poca antelación y no quiere tener el inconveniente de tener que consultar con TI y esperar a que realice alguna función.
Lo que lleva al usuario a querer conectar algún dispositivo USB desconocido que nunca haya sido examinado por TI y permitir que ese dispositivo se auto identifique y cause la descarga e instalación de controladores.
Ya que es un dispositivo desconocido en un entorno no controlado, podría causar claramente la instalación de malware, como un registrador de pulsaciones de teclas, etc. Además, incluso si el dispositivo es legítimo, no hay garantía de que la red que se está utilizando en ese momento no haya ha sido hackeado Por ejemplo, cuando el sistema operativo va a descargar el controlador de lo que el usuario piensa es el sitio web de HP, podría fácilmente, y sin el conocimiento del usuario, ir a un sitio web alternativo (entradas de DNS falsas, etc.) que descarga un controlador que parece funcionar pero que también incluye malware.
Entonces, ¿dónde está la seguridad?
Supongo que están utilizando Windows:
Puede establecer una política local en la máquina que permita al usuario "Cargar y descargar controladores de dispositivo"
Si abre gpedit.msc, vaya a la configuración de la computadora > configuración de Windows > Configuraciones de seguridad > políticas locales > Asignación de derechos de usuario > Cargar y descargar controladores de dispositivos
Lea otras preguntas en las etiquetas windows access-control privileged-account