Чи буде ІТ-кому потрібен пароль домену користувача?

10

Чи може щось зробити адміністратору домену Windows під час налаштування робочої станції для нового користувача, що абсолютно неможливо зробити без пароля облікового запису домену користувача? Щоб уникнути запитання користувачів про свої паролі, адміністратор теоретично міг би змінити пароль, увійти як користувач та робити все, що вони хочуть, але чи це фактично надасть їм будь-які додаткові дозволи, яких вони ще не мають що є адміністратором домену?

ОНОВЛЕННЯ:

Поки відповіді стосувалися "налаштування" або зміни профілю користувача. Однак є ця стаття від Microsoft про зміну профілю за замовчуванням, який застосовується до користувачів під час першого входу, і ці інструкції щодо зміни налаштувань реєстру Windows іншого користувача у будь-який час. Що змінив би адміністратор під час входу в систему як користувач, який адміністратор не міг змінити, використовуючи ті чи інші доступні методи, які не включають вхід як користувач? Просто "увійти як користувач" не є причиною запитувати або змінити пароль користувача. Я шукаю практичну причину для цього.

windows domain

— Ісаак Трует
джерело

2

Моя підозра перед тим, як задавати це питання, полягала в тому, що, не дивлячись на те, що адміністрація Windows може бути часом, не було б нічого неможливого для адміністратора, що було б можливим для менш привілейованого кінцевого користувача. Мотиватором запитування пароля користувача або зміни його пароля та входу в систему за допомогою свого облікового запису буде недосвідченість або зручність; або адміністратор не знає, як щось зробити, або не хоче вручну поспілкуватися з реєстрами та редагуванням конфігураційних файлів і не має інструментів для внесення необхідних змін.

— Ісаак Трует

1

Ви можете переписати це запитання, так як спочатку ви запитуєте про паролі користувача, а потім переходите до входу як користувача. Це два окремі питання

— Джим Б

Як щодо установки програми, яка потребує доступу до профілю Outlook користувача (наприклад, CRM-додаток, який використовує Outlook)? Вам належить сценарій встановлення розробника програми.

— gravyface

@Jim Насправді я спробував відхилити проспект скидання пароля у другому реченні мого початкового запитання. Якщо ви скинули пароль користувача, то тепер у вас є пароль цього користувача. Ви не маєте їх СТАРИЙ пароль. Я отримував нечіткі відповіді про зміну профілю користувача, тому я надав посилання, що показують, як ви можете це зробити, не видаючи себе за користувача. Я також спеціально закликав "увійти як користувач" як неприйнятну кінцеву мету, оскільки це було зазначено в коментарі як щось, що ви не можете зробити, не запитуючи / не змінюючи пароль користувача.

— Ісаак Трует

@gravyface Отже, ваша відповідь "встановити погано написане програмне забезпечення?" Цікаво. Хочете опублікувати це як відповідь?

— Ісаак Трует

12

Адже адміністратору не прийнятно і не потрібно запитувати пароль користувача.

За тих обставин, коли адміністратору може знадобитися ввійти як користувач (і я не вірю, що такі обставини існують), користувач повинен увійти та контролювати діяльність адміністратора.

Причиною цього є підзвітність. Кожен користувач несе відповідальність за безпеку свого пароля. Якщо зловмисна активність була віднесена до облікових даних користувача, цей користувач може нести відповідальність. Тому вони повинні забезпечити збереження своїх даних.

Також організація несе відповідальність за те, щоб це не тільки було прийнято, але і було здійснено. Був юридичний випадок, коли хтось із організації надсилав шкідливий електронний лист, використовуючи чужу поштову скриньку. Власник поштової скриньки був остаточно звільнений. Хоча вони стверджували, що дали свій пароль комусь іншому, компанія наполягала на тому, щоб вони відповідали за збереження доброчесності своїх облікових даних, і тому вони несли відповідальність, як це було продиктовано ІТ-політикою їхньої компанії. Потім цей суд був скасований судом, коли цей користувач довів, що в організації існує культура обміну паролями. Суд постановив, що якщо компанія не може сприймати активну реалізацію своєї ІТ-політики, вона не може покладатися на неї підзвітності за цих обставин.

Це говорить про те, що явно існує прогалина між теорією та практикою. Я уклав договір на велику багатонаціональну фірму, яка надає, серед іншого, ІТ-консультаційні послуги, і в рамках документально підтвердженої процедури оновлення ДП нам було доручено запитувати пароль кінцевого користувача.

Особисто я до цього дотримуюся жорсткого підходу. Я не вважаю, що потрібно запитувати паролі (або перенастроювати їх для доступу до облікового запису користувача). Якщо для цього обійдеться значно збільшене навантаження, то так і нехай. Це не привід для компрометації безпеки. Я здогадуюсь, що мені просто пощастило, що я не менеджер, і тому не потрібно брати на себе відповідальність за ці рішення, коли доручає це зробити хтось, хто вище.

— Метт
джерело

5

Ви серйозно припускаєте, що ви знаєте, що є прийнятним чи необхідним у будь-якій можливій ситуації на планеті?

— Джон Гарденєр,

3

Звичайно, ні - якщо хтось може надати мені приклад протилежного, я з радістю прийму це. Я не говорю про кожну можливу ситуацію на планеті, але, маючи на увазі, я не можу уявити жодної мети, яка може бути досягнута лише за рахунок компрометації облікових даних користувачів.

— Метт

2

Ви говорите «звичайно, ні», що повністю визнає недійсним перше речення вашої відповіді. Я пропоную вам відредагувати його відповідно.

— Джон Гарденєр

7

Можливо, мені було не ясно. Я приймаю науковий підхід. Тільки тому, що сонце піднімалося щодня протягом останніх п’яти мільярдів років, це не означає, що я можу з абсолютною впевненістю сказати, що воно зійде завтра. Але якщо ви запитаєте мене: «чи буде завтра сонце?», Я відповім «так», не відчуваючи необхідності в подальшому кваліфікувати це. Тож я вважаю, що ваше питання щодо "кожної мислимої ситуації на планеті" є однаковою гіпотетичною та абстрактною кваліфікацією.

— Метт

3

від моєї голови приходять до ладу нові налаштування користувача - і ваш розум тут очевидно застряг. Новий користувач = "Жоден користувач не має пароля", тому ІТ встановлює користувача, а потім дає користувачеві пароль (який змінюється негайно). Вони ніколи не запитують користувача, оскільки - ах користувач у цей момент не знає пароль.

— TomTom

18

Будемо зрозумілими: якщо ви адміністратор домену, ви можете встановити програмне забезпечення - на розум приходить драйвер пристрою, який може буквально робити що завгодно. Однак це різний ступінь непрактичності, починаючи від "Що таке ключ реєстру для фону робочого столу?" аж до "І тоді ми підключаємося до виклику читання файлу всередині шару зашифрованого профілю, щоб змусити Firefox думати, що вони відключили файли cookie з Doubleclick.net".

Ви просите абсолют, і я думаю , що це неправильний спосіб дивитися на це, тому що відповідь збирається бути «Ви ніколи не потрібен пароль користувача, на самому ділі ," який дуже вводить в оману. Реальність полягає в тому, що, поки Microsoft не доставить (або не встановить сторонне програмне забезпечення, щоб дозволити) таку можливість, як * NIX's su/ sudo, ви ніколи не зможете ідеально імітувати обліковий запис користувача для всіх цілей, зберігаючи при цьому вигляд розумності, не вимагаючи випадкових використання – зауважте, що я не сказав "розголошення!" - свого пароля.

— BMDan
джерело

Дуже справедливий момент. Один із моїх коротко видалених відповідей я говорив про те, що, мабуть, у цій галузі бракує підтримки інструментів.

— Ісаак Трует

що стосується судо, наскільки це стосується, модель захисту Windows перешкоджає використанню утиліти типу sudo, оскільки це означає, що ви можете запускати програми в контексті іншого користувача, не спочатку перевіряючи автентифікацію цього користувача (існують способи, але всі вони докладають зусиль, щоб обійти модель безпеки).

— Джим Б

1

+1 - Ця відповідь чудово висвітлює реалії, а також теорію.

— Джон Гарденєр

8

Багато з нас працювали в середовищах, де розкриття пароля вимагалося з різних причин. Я навіть піду так далеко, щоб сказати, що всі ми вважаємо це поганою ідеєю. Якщо таке потрібно зробити, кінцевому користувачеві необхідно погодитися на це, а не примушувати його.

Ще в той день, як 1998 рік, мій відділ ІТ-сервісів запитував пароль користувача, коли ми проводили заміну ПК, щоб ми могли налаштувати його так, як у них був старий. Внизу до місць значків. Оскільки ми були в середовищі Novell NetWare без відповідного домену WinNT, зміна їх мережевого пароля не змінила їх локальний пароль, тому нам потрібен був той пароль, якщо ми хотіли забезпечити цей рівень безперебійного обслуговування.

Це було 13 років тому. Ви спеціально запитали про домени Windows. На роботі, яку я щойно залишив, у великому університеті, кінцевий користувач вирішував, чи розкривати пароль, чи бути там для будь-якої роботи. Іншими словами, кінцевий користувач відмовився від цього, а не змушений ІТ. Деякі дуже зайняті виконавчі типи з високою організаційною діаграмою зазвичай мали ввійти для них помічника адміністратора, тому ІТ-людям було легко пройти (згода вже була делегована).

У Windows єдиний спосіб налаштувати профіль користувача - це увійти як цей користувач. Якщо для цього профілю потрібна налаштування вручну з якихось причин (залишається погана видалення залишків, які перешкоджають перевстановці, або інші дивні речі), ІТ-особі потрібно буде увійти як цей користувач. Це можна зробити, примусивши змінити адміністративний пароль, дозволити користувачу розкрити свій пароль або дозволити користувачеві записати ІТ-особу як себе і дозволити ІТ-особі працювати.

— sysadmin1138
джерело

Яку настройку профілю ви могли зробити як користувач, якого ви не могли зробити, змінивши профіль за замовчуванням, як описано тут, перш ніж користувач увійде в систему?

— Ісаак Трует

Здебільшого, ні, все ж є речі, які потрібно налаштувати для конкретного користувача. Наприклад, перед Outlook 2007 / Exchange 2007 вам довелося налаштувати Outlook вручну для цього користувача. Тепер із автоматичним відкриттям ви можете, можливо, подумайте про те, щоб дозволити їм спробувати його самі, але все-таки більшість адміністраторів не хотіли б, щоб користувачі просто хотіли, щоб це почалося під час входу в систему.

— KCotreau,

@KContreau Microsoft говорить тут , що профілі Outlook , які зберігаються в реєстрі, який адміністратор може редагувати з їх власного рахунку. Будь-які інші ідеї?

— Ісаак Трует

4

@IsaacTruett Технічно все можна зробити безпосередньо через regedit або вручну редагувати ці файли desktop.ini. Однак багатьом ІТ-людям набагато зручніше користуватися інструментами інтерфейсу. Оскільки це може бути скороченим, непродуманим, ІТ-людина може попросити користувача зробити будь-яку з трьох речей, про які я згадував (увійдіть у них, перейдіть через скидання пароля або введіть пароль) та скористайтеся інструментами вони добре знають, GUI.

— sysadmin1138

1

@KCotreau @Isaac Технічно ви можете тимчасово скопіювати їхній вулик у реєстр до профілю адміністратора, скористайтеся тим, що потрібно, щоб відредагувати його, а потім повернути його назад. Це не хороша ідея ™ у 99% випадків. Я знаю дуже мало обставин, коли знання пароля користувачів необхідне в ці дні; і всі вони пов'язані з тупими зручностями (як приклад Netware, який дав SysAdmin1138).

— Chris S

5

Деякі програми під час встановлення вимагають можливості вносити зміни або посилатися на профіль користувача (тобто CRM-програми, які інтегруються з Outlook), використовуючи змінні середовища, такі як% userprofile%, модифікація HK_CURRENT_USER тощо.

Хоча ви, звичайно, можете "реверсувати інженер" установку з такими інструментами, як procmon, а потім вручну змінювати профіль користувача, реєстр тощо після цього факту, це дуже неефективно, непрактично та схильних до помилок.

— грайфайс
джерело

1

+1. Я точно міг би бачити, що це є фактором. Як інженер програмного забезпечення, я стверджую, що існують кращі способи написання інсталяційних процесів, ніж вимагати входу кінцевого користувача під час встановлення. Насправді є існуючі програмні продукти, які дозволяють проводити різні установки для однокористувацької та багатокористувацької, такі як Google Chrome .

— Ісаак Труетт

@Isaac, я вважаю, що ви не звернули уваги на основний принцип конфігурації кожного користувача, про який інсталятор не може подбати. Візьмемо для прикладу пакет, який буде використовуватися декількома користувачами на даній машині, де кожен користувач потребує / хоче / вимагає іншої конфігурації, і вони повинні бути встановлені до того, як ці користувачі почнуть використовувати пакет.

— Джон Гарденєр,

@ Джон / Ісаак: Я припускаю, Джон, ти говориш про завершення цієї налаштування від імені користувача? Якщо так, так, ще один сприятливий момент для того, чому ви хочете або потрібно ввійти як користувач, особливо якщо конфігурація не може бути змінена поза додатком (зберігається у двійковому форматі) і прив’язана до поточно зареєстрованого користувача.

— gravyface

це правильно. Скидання пароля користувача в такій ситуації просто спричиняє проблеми, а також перешкоджає їх можливості робити все, що зараз роблять на іншій машині.

— Джон Гарденєр,

4

Абсолютно на 100% немає. Все, що потрібно зробити з іншим обліковим записом користувачів, слід виконати, скинувши пароль користувача, увійшовши в систему, а потім або запросивши користувач зателефонувати в службу довідки або ввівши пароль до чогось, про що кажуть користувачі, і налаштувати обліковий запис, щоб змусити пароль змінити при наступному вході. Хоча зізнаюся, я працював у досить великих та безпечних умовах, коли розкриття пароля комусь зазвичай було підставою для припинення (і це має бути так у більшості ситуацій)

— Джим Б
джерело

1

Це занадто широке твердження. Є багато середовищ, де це просто не вийде. Я б пішов на 98%, але точно не на 100%.

— Джон Гарденєр

1

@John Чи можете ви запропонувати конкретний приклад того, що неможливо зробити, не ввійшовши як кінцевий користувач?

— Ісаак Трует

1

@Isaac: є багато програм, які під час встановлення посилають% userprofile% на розміщення файлів, можливо, вносять зміни, як встановлення панелей інструментів у Word чи Outlook тощо. і т.д. змінюються, але чому б ти на землі не турбував?

— gravyface

@john, чи можете ви надати мені приклад того, як неможливо було скинути пароль користувачів, як пояснено? Я погоджуюся, що є місця, де користувачі надто поблажливі або адміністратори занадто ледачі, але я ще не стикаюся з місцем, де це просто не могло працювати.

— Джим B

1

@ Jim, де я працюю, нам часто потрібно входити в систему, як інші, а скидання паролів просто змушує людей без поважних причин. У нас є середовище, коли паролі (для більшості користувачів) не є секретними для компанії. Я знаю, що це суперечить зерну для всіх, хто працює у більших компаніях, і це було справжнім культурним шоком для мене, коли я почав тут. Це вибір управління, а не мій, і це все.

— Джон Гарденєр,

3

Більшість цих публікацій здаються досить старими, але, сподіваємось, деякі обізнані люди все ще активні в темі, оскільки це, здається, продовжує залишатися актуальною темою.

Безумовно, можна стверджувати, що вам ніколи не потрібно запитувати пароль. Я вважаю за краще сказати своїм користувачам "ніколи не ділитися" ... і так, конфігурацією в більшості випадків може займатися адміністратор для користувача. Але усунення несправностей - ще одна справа.

Ми підтримуємо індивідуальну програму з 2600 студентами та 500 співробітниками. Щодня ми вирішуємо "дивні" проблеми з програмним забезпеченням. Досить часто трапляється так, що ми повинні відчувати проблему як користувач, щоб вирішити проблему (або з певною впевненістю визначити, що буде потрібно перезавантаження). Безумовно, ми намагаємось робити це з присутнім користувачем - але це не завжди практично; у них є графік дотримання.

А як щодо смарт-карт? Чи є можливим в середовищі AD 2012 року AD можлива можливість, щоб смарт-карта була (тимчасово) пов’язана з обліковим записом домену? Це дозволить отримати доступ до облікового запису користувача у повній реальності, при цьому не викриваючи їх пароль конкретно. Після закінчення усунення несправностей карту можна було деактивувати. Техніки могли використовувати рахунок, але картки могли добре контролюватися.

Ми використовували зчитувачі відбитків пальців протягом багатьох років, але процес налаштування під конкретні технології, а потім очищення цього друку просто неможливо. Я не впевнений, наскільки складним буде процес «авторизації», а потім «дезактивації» смарт-карти для конкретного користувача, але здається, що це може бути гідним компромісом.

— JABlaine
джерело

StackExchange працює за іншою моделлю, ніж традиційні форуми, тому що це не дискусійний потік, а швидше питання, що супроводжується підбором потенційних відповідей. З іншого боку, це також поганий приклад запитання щодо нашого FAQ .

— Скотт Пак

1

Так: все, що потрібно зробити для їх профілю. Коли це станеться, ви або повинні знати їх пароль, або встановити його, як ви вже говорили. Тоді вони можуть змінити це, коли ви закінчите.

Якщо ви ввійшли як цей користувач, ви не надаєте їм додаткових дозволів. Ви входите в систему як вони зі своїми дозволами.

— KCotreau
джерело

побили мене до цього. Особливо думав про додатки, які інтегруються з Outlook.

— gravyface

Так, очевидно, ви не даєте користувачеві додаткових дозволів. Питання полягає в тому, що адміністратор може робити з дозволами окремого користувача, які він, адміністратор, не міг робити зі своїми правами адміністратора? Отже, що адміністратор зробив би для профілю користувача, який він не міг зробити із власного облікового запису адміністратора?

— Ісаак Трует

Відповідь на ваше запитання, що не може зробити адміністратор: Просто увійдіть у систему як цей користувач. Коли цей користувач входить у систему, лише тоді можуть бути внесені зміни до профілю, пов’язаного з цим користувачем. Коли ви входите як адміністратор, ви входите за допомогою свого профілю адміністратора.

— KCotreau

Я думав, що я неправильно прочитав питання, але ні, вам не потрібен пароль користувачів, щоб зробити що-небудь у профіль.

— Джим Б