Czy IT kiedykolwiek potrzebowałoby hasła do domeny użytkownika?

Czy administrator domeny systemu Windows może coś zrobić podczas konfigurowania stacji roboczej dla nowego użytkownika, czego absolutnie nie można zrobić bez hasła do konta domeny użytkownika? Aby uniknąć pytania użytkowników o hasła, administrator mógłby teoretycznie zmienić hasło, zalogować się jako użytkownik i robić wszystko, co chcą, ale czy to faktycznie dałoby im dodatkowe uprawnienia, których jeszcze nie mieli cnota bycia administratorem domeny?

AKTUALIZACJA:

Dotychczasowe odpowiedzi dotyczyły „strojenia” lub zmiany profilu użytkownika. Istnieje jednak ten artykuł firmy Microsoft na temat modyfikowania domyślnego profilu, który jest stosowany do użytkowników, gdy logują się po raz pierwszy, oraz instrukcje zmiany ustawień rejestru systemu Windows innego użytkownika w dowolnym momencie. Co zmieniłby administrator po zalogowaniu jako użytkownik, którego administrator nie mógłby zmienić przy użyciu tych lub innych dostępnych technik, które nie wymagają zalogowania się jako użytkownik? Samo „zalogowanie się jako użytkownik” nie jest powodem do pytania lub zmiany hasła użytkownika. Szukam praktycznego powodu, aby to zrobić.

Żądanie hasła użytkownika od administratora nie jest ani dopuszczalne, ani konieczne.

W okolicznościach, w których może być konieczne zalogowanie się administratora jako użytkownik (i nie wierzę, że takie okoliczności istnieją), użytkownik powinien się zalogować i nadzorować działania administratora.

Powodem tego jest odpowiedzialność. Obowiązkiem każdego użytkownika jest zapewnienie bezpieczeństwa hasła. Gdyby szkodliwe działania zostały przypisane do poświadczeń użytkownika, użytkownik ten mógłby zostać pociągnięty do odpowiedzialności. Dlatego muszą upewnić się, że ich poświadczenia pozostaną bezpieczne.

Obowiązkiem organizacji jest również zapewnienie, że zostanie to nie tylko przyjęte, ale i egzekwowane. Była sprawa prawna, w której ktoś w organizacji wysłał złośliwy e-mail, używając skrzynki pocztowej innej osoby. Właściciel skrzynki pocztowej został ostatecznie zwolniony. Podczas gdy argumentowali, że podali swoje hasło komuś innemu, firma nalegała, aby to oni ponosili odpowiedzialność za zachowanie integralności swoich danych uwierzytelniających, i dlatego byli oni odpowiedzialni, tak jak dyktuje to polityka informatyczna firmy. Zostało to obalone przez sąd, gdy ten użytkownik udowodnił, że w organizacji istnieje kultura wymiany haseł. Sąd orzekł, że jeśli firma nie będzie mogła aktywnie egzekwować swojej polityki IT, nie będzie mogła polegać na odpowiedzialności w tych okolicznościach.

To powiedziawszy, istnieje wyraźna przepaść między teorią a praktyką. Zawarłem umowę z dużą międzynarodową firmą, która świadczy między innymi usługi doradcze w zakresie IT, aw ramach udokumentowanej procedury aktualizacji SOE otrzymaliśmy polecenie żądania hasła użytkownika końcowego.

Osobiście podchodzę do tego stanowczo. Nie uważam, że żądanie hasła (lub ponowne ustawienie go w celu uzyskania dostępu do konta użytkownika) jest konieczne. Jeśli obejście tego problemu jest znacznie zwiększone, niech tak będzie. Nie jest usprawiedliwieniem narażania bezpieczeństwa. Wydaje mi się, że mam szczęście, że nie jestem menedżerem, więc nie muszę ponosić odpowiedzialności za te decyzje, gdy otrzyma takie polecenie od kogoś wyżej.

Wyjaśnijmy: jeśli jesteś administratorem domeny, możesz zainstalować oprogramowanie - przychodzi na myśl sterownik urządzenia - które może dosłownie wszystko. Różni się to jednak niepraktycznością, od „Jaki jest ponownie klucz rejestru tła pulpitu?” aż do „A potem zaczepiamy się o wywołanie odczytu pliku wewnątrz warstwy profilu zaszyfrowanego, aby oszukać Firefox, że pomyślał, że wyłączyli pliki cookie z doubleclick.net”.

Prosisz o absolut, i myślę, że to zły sposób, aby na to spojrzeć, ponieważ odpowiedź brzmi: „Tak naprawdę nigdy nie potrzebujesz hasła użytkownika ”, co jest bardzo mylące. W rzeczywistości dopóki Microsoft nie dostarczy (lub nie zainstalujesz oprogramowania innej firmy, aby na to zezwolić) funkcji takiej jak * NIX su/ sudo, nigdy nie będziesz w stanie idealnie naśladować konta użytkownika do wszystkich celów, zachowując przy tym pozory rozsądku, bez konieczności okazjonalnego użycie - uwaga: nie powiedziałem „ujawnienie!” - ich hasła.

Wielu z nas pracowało w środowiskach, w których z różnych powodów wymagane było ujawnienie hasła. Posunę się nawet do stwierdzenia, że ​​wszyscy uważamy to za zły pomysł. Jeśli trzeba to zrobić, użytkownik końcowy musi wyrazić na to zgodę, a nie być zmuszany.

Kiedyś, podobnie jak w 1998 r., Mój dział IT zwykł prosić o hasło użytkownika, kiedy robiliśmy wymianę komputera, abyśmy mogli skonfigurować go dokładnie tak, jak mieli swoje stare. W dół do lokalizacji ikon. Ponieważ byliśmy w środowisku Novell NetWare bez odpowiedniej domeny WinNT, zmiana hasła sieciowego nie zmieniła hasła lokalnego, więc musieliśmy je mieć, jeśli chcieliśmy zapewnić ten poziom bezproblemowej obsługi.

To było 13 lat temu. Pytałeś konkretnie o Domeny Windows. W pracy, którą właśnie opuściłem, na dużym uniwersytecie, użytkownik końcowy decydował, czy ujawnić hasło, czy też być przy każdym wykonywanym zadaniu. Innymi słowy, użytkownik końcowy zdecydował się na to, a nie narzucony przez IT. Niektóre bardzo zapracowane osoby zarządzające znajdujące się wysoko na wykresie organizacyjnym zazwyczaj miały dla nich zalogowanego asystenta administratora, więc pracownicy IT mogli łatwo się w nie wpakować (zgoda została już przekazana).

W systemie Windows jedynym sposobem ręcznego dostrojenia profilu użytkownika jest zalogowanie się jako ten użytkownik. Jeśli z jakiegoś powodu ten profil wymaga ręcznego dostrajania (pozostało złe odinstalowanie, które przeszkadza w ponownej instalacji lub inne dziwne rzeczy), osoba IT będzie musiała zalogować się jako ten użytkownik. Można to zrobić przez wymuszenie zmiany hasła administracyjnego, ujawnienie hasła przez użytkownika lub zalogowanie użytkownika IT jako siebie i umożliwienie pracy IT.

Niektóre aplikacje podczas instalacji wymagają możliwości wprowadzania zmian lub odwoływania się do profilu użytkownika (tj. Aplikacji CRM integrujących się z programem Outlook) przy użyciu zmiennych środowiskowych, takich jak% userprofile%, modyfikując HK_CURRENT_USER i tym podobne.

Chociaż z pewnością można „dokonać inżynierii wstecznej” instalacji za pomocą narzędzi takich jak procmon, a następnie ręcznie zmodyfikować profil użytkownika, rejestr itp. Po fakcie, jest to jednak wysoce nieefektywne, niepraktyczne i podatne na błędy.

Absolutnie 100% nie. Wszystko, co należy zrobić z kontem innego użytkownika, powinno być wykonane przez zresetowanie hasła użytkownika, zalogowanie się, a następnie wezwanie użytkownika do pomocy technicznej lub przywrócenie hasła do czegoś, co powiedziano użytkownikom, i ustawienie konta w celu wymuszenia zmiany hasła przy następnym logowaniu. Przyznaję, że pracowałem w dość dużych i bezpiecznych środowiskach, ujawnianie komukolwiek twojego hasła było zazwyczaj podstawą do wypowiedzenia (i tak powinno być w większości sytuacji)

Większość tych postów wydaje się dość stara, ale mam nadzieję, że niektórzy znający się na rzeczy ludzie nadal są aktywni w tym wątku, ponieważ wydaje się, że nadal jest to aktualny temat.

Z pewnością można argumentować, że nie powinieneś nigdy wymagać hasła. Wolałbym powiedzieć moim użytkownikom: „nigdy nie udostępniaj” ... i tak, konfiguracja może być w większości przypadków obsługiwana przez administratora dla użytkownika. Ale rozwiązywanie problemów to inna sprawa.

Wspieramy program indywidualny z 2600 studentami i 500 pracownikami. Codziennie rozwiązujemy „dziwne” problemy z oprogramowaniem. Często zdarza się, że musimy doświadczyć problemu jako użytkownik, aby rozwiązać problem (lub z pewnym przekonaniem, że konieczne będzie ponowne załadowanie). Oczywiście staramy się to robić z obecnym użytkownikiem - ale nie zawsze jest to praktyczne; mają harmonogram do utrzymania.

Co z kartami inteligentnymi? Czy w środowisku reklamowym 2010/2012 istnieje możliwość wykonania karty inteligentnej (tymczasowo) z kontem domeny? Umożliwiłoby to dostęp do konta użytkownika w pełnej rzeczywistości, nie ujawniając w szczególności jego hasła. Kartę można następnie dezaktywować po zakończeniu rozwiązywania problemów. Technicy mogą korzystać z konta, ale karty mogą być dobrze nadzorowane.

Używamy czytników linii papilarnych od lat, ale proces konfiguracji tego dla konkretnej technologii, a następnie wyczyszczenie tego wydruku po prostu nie jest możliwe. Nie jestem pewien, jak skomplikowany byłby proces „autoryzacji”, a następnie „dezaktywacji” karty inteligentnej dla konkretnego użytkownika, ale wydaje się, że może to być przyzwoity kompromis.

Tak: Wszystko, co należy zrobić w ich profilu. Kiedy tak się stanie, musisz znać hasło lub ustawić je, jak powiedziałeś. Następnie mogą to zmienić, gdy skończysz.

Jeśli logujesz się jako ten użytkownik, nie dajesz mu dodatkowych uprawnień. Logujesz się jako oni z ich uprawnieniami.