Das Szenario heißt Realität.

Den Fall den du schilderst ist ein HTL-Strebi frisch von der Schule der mitten in der Pampas vor einem Eclipse sitzt, jeden Tag 3 - 5 Codezeilen einer Anforderung umsetzt und dazwischen 7mal am Tag ein Dokument an die Projektleitung zurückschickt und dieses wegen ästhetischer Unvollkommenheit und Unausgewogenheit nicht akzeptiert. Über die 3 - 5 lass ich mit mir verhandeln.

Theoretisch stimme ich dir auch zu.

Entwicklung passt keinen Tag zu einer Inhouse IT und aus Sicht der Kostenrechnung auch nicht. Bei der Beschäftigung entlang der Grenzproduktivität wird immer versucht das mindestnotwendig verhinderte Talent 40 Stunden zu beschäftigen. In der IT hast aber eher das größtmöglich notwendige Talent bei der Arbeit. Du selbst wirst nicht sagen, 'Ich stelle Mitarbeiter ein und schmeiße eine produktives Werkzeug raus, damit die Mitarbeiter einer von mir bereitgestellten Assemblergeneierungsmaschine beim arbeiten zusehen'.

Deswegen bist oft auch verdammt in der Entwicklung Support mitzumachen. Dann ist Entwickler eher der letzte den die Hunde beißen und die stehen dann mit fletschenden Zählen vor dem Kätzchen und sagen - schnell, schnell, schnell. Urgenzen.

Beschäftigung ist der Versuch Aktivitäten im Rahmen des Verweilens auf einem Betriebsgelände Arbeit zuzurechnen. Bei einem Klein- und Mittelstandsbetrieb fällt noch nicht so auf und erstgenannten Fall gar nicht.

---

Du startest gedanklich immer bei einem Standardimage. Dann brauchst du noch einen Software Delivery Service der Open Source Tools anbietet. Die Schnittmenge der Tools die im Budget für Benutzer vorgesehen sind geschnitten mit jenen die er oder sie benötigt ist außerhalb der dessen was der kleinste gemeinsame Nenner am Standardimage bietet exakt die Leere Menge. Benutzer werden erfinderisch, keine Sorge.

---

Vereinfacht, du brauchst mehr Rechte damit du damit einen eingeschränkten Subset aus welchem Motiv auch immer vergibst.

Eine Software darf ja nicht sagen welche Rechte sie braucht, ala. Software mit Command-Line Parameter starten und die Software ermittelt die fehlenden Berechtigungen ... Das geht bei mir da im Office, aber sonst lasst dich so etwas keiner mehr installieren.

Bevor eine Security Abteilung/Security Team dir ein Recht vergibt musst du mal den Nachweis erbringen, dass es benötigt wird. Vorher, nachher - Screenshot für Doku.

Es läuft ja nicht so, dass das eine User bei einem Security Team anruft, die einen Berechtigungstrace machen und das Recht vergeben. Das läuft heut über Security Team, Helpdesk, User und Entwickler.

Aus der Sicht des Security Teams ist, wenn etwas nicht funktioniert die Welt in Ordnung. Ähnlich wenn ein Constraint auf einer Datenbank die Änderung eines Datensatzes verhindert. Bedrohung abgewehrt vs. funktioniert nicht.

In der Statik schaut alles super aus. Aber in der Praxis wird gerne geschaut, dass eine gewisse Prozentzahl der Benutzerschaft in einem Aufwischen erschlagen grad bei Änderung der Berechtigung und der Rest läuft über den Helpdesk. Der Helpdesk ist zumeist sogar noch der Gegenpart zur Security. Der Helpdesk exekutiert die Berechtigungsanforderung resp. bestätigt diese.

Du hast heute mind. ein 4 Augen Prinzip. Organisationen welche darüber hinausgehen sind dafür bekannt, dass tobende Benutzerschaften mit Heugabelen am Werksgelände in Richtung Rechenzentrum marschieren.