Blog

Lokální administrátor: Proč je to nejnebezpečnější role ve firmě (a jak ji bezbolestně zrušit)

9. ledna 2026

„Potřebuju si jen nainstalovat Zoom.“ „Chci si změnit časové pásmo.“ „Nejde mi připojit tiskárna.“ To jsou důvody, proč uživatelé žadoní o tzv. lokální administrátorská práva. A proč jim je unavení IT správci často dají, jen aby měli klid.

Jenže mít ve firmě uživatele s právy administrátora je jako nechat v bance otevřený trezor, protože se pokladní nechce pořád hledat klíče.

Proč je "Full Admin" takový problém?

Když pracujete na počítači jako administrátor, máte v systému „božský mód“. Můžete měnit nastavení, instalovat programy a sahat do systémových souborů.

Problém je, že to samé může i virus, který se vám do počítače dostane. Pokud kliknete na podvodný odkaz jako běžný uživatel, malware narazí na zeď. Nemůže se nainstalovat, nemůže se šířit po síti. Pokud na něj kliknete jako admin, malware si otevře dveře dokořán, vypne antivirus, zašifruje disk a přeskočí na servery.

Statistika: Podle Microsoftu by odebrání administrátorských práv zabránilo až 94 % všech kritických zranitelností v jejich softwaru.

Princip nejnižších nutných práv (Least Privilege)

V bezpečnosti platí zlaté pravidlo: Každý má mít jen taková práva, která nezbytně potřebuje ke své práci. Nic víc.

Účetní nepotřebuje instalovat ovladače grafické karty. Obchodník nepotřebuje měnit nastavení firewallu. Běžný uživatel by měl mít právo spouštět aplikace, vytvářet dokumenty a pracovat. Nikoliv měnit systém.

Jak adminy „vyhubit“ a přežít to?

Odebrání práv bolí. Uživatelé budou mít pocit, že jim berete svobodu. Proto na to musíte jít chytře, ne silou.

1. Audit a komunikace (Nejdřív vysvětlujte)

Než práva seberete, zjistěte, kdo je má a proč. Vysvětlete lidem, že to není o buzeraci, ale o tom, že pokud chytí ransomware jako admini, firma může skončit.

2. Dejte jim alternativu (Self-Service)

Uživatelé nepotřebují admin práva, potřebují aplikace. Zaveďte Firemní portál (Company Portal). Je to něco jako App Store ve vašem mobilu. IT tam připraví schválené aplikace (Office, Adobe, Zoom, Spotify...). Uživatel si je může nainstalovat jedním kliknutím bez admin práv.

3. Dočasné povýšení (Když to jinak nejde)

Někdy uživatel ta práva opravdu potřebuje (třeba vývojář nebo grafik se speciálním HW). Místo trvalého admina použijte nástroje pro dočasná práva (např. LAPS nebo PAM řešení). Uživatel dostane heslo, které platí jen 30 minut. Udělá, co potřebuje, a pak se práva zase automaticky odeberou.

Závěr

Mít ve firmě „lokální adminy“ je relikt z 90. let. V roce 2026 je to neakceptovatelné bezpečnostní riziko. Seberte uživatelům klíče od království, ale dejte jim pohodlný způsob, jak si otevřít dveře, které k práci opravdu potřebují.

Další články

18. února 2026

Top 5 uživatelských chyb, které zbytečně zahlcují IT helpdesk (a jak se jim vyhnout)

Každé IT oddělení má stejný cíl: zajistit, aby firma fungovala hladce a data byla v bezpečí. Realita všedního dne je ale často jiná. Místo řešení kybernetické bezpečnosti nebo rozvoje infrastruktury tráví technici hodiny řešením problémů, které by uživatelé zvládli odstranit sami.

3. února 2026

Sdílené disky vs. Chaos v právech: Kam mizí data, když kolega odejde?

Znáte ten scénář? Kolega odejde z firmy, IT mu zruší účet a najednou celému týmu zmizí důležitá složka s projekty. Nebo kliknete na odkaz a vyskočí na vás „Přístup odepřen“. Proč se to děje? Protože většina firem si plete osobní prostor s tím firemním.

26. ledna 2026

Pravidlo 3-2-1: Zlatý standard zálohování (a proč je záloha bez testu k ničemu)

V IT existuje staré pořekadlo: „Lidé se dělí na dva typy: na ty, kteří o data přišli, a na ty, které to teprve čeká.“ Pevný disk se může rozbít, notebook vám ukradnou, nebo (což je dnes nejčastější) vám data zašifruje ransomware. Pokud máte všechna data jen na jednom místě, hrajete ruskou ruletu.

Máte zájem o naše služby? Kontaktujte nás ještě dnes.