有没有什么Windows域pipe理员可能需要做一个新的用户configuration工作站,绝对不能没有用户的域帐户密码? 为了避免询问用户的密码,pipe理员理论上可以更改密码,以用户身份login,并做他们想做的事情,但是实际上是否会给予他们任何额外的权限作为域pipe理员的美德?
更新:
到目前为止的答案已经提到“调整”或更改用户的configuration文件。 但是,Microsoft的这篇文章修改了第一次login时应用于用户的默认configuration文件,以及这些用于随时更改其他用户的Windowsregistry设置的说明。 pipe理员在以用户身份login时会发生什么变化,即pipe理员无法使用这些或其他可用的技术(不涉及以用户身份login)进行更改? 只是“以用户身份login”不是要求或更改用户密码的理由。 我正在寻找这样做的实际原因。
pipe理员请求用户密码既不可接受也不必要。
在pipe理员可能需要以用户身份login的情况下(我不认为这种情况存在),用户应该login并监督pipe理员的活动。
原因是问责制。 每个用户的责任是确保他们的密码是安全的。 如果恶意活动被追溯到用户的凭证,则该用户可能被追究责任。 因此他们需要确保他们的凭证保持安全。
确保这不仅被采用而且被强制执行也是组织的责任。 有一个法律案件,一个组织中的某个人用别人的邮箱发送了恶意邮件。 邮箱的所有者最终被解雇。 虽然他们认为他们已经把密码给了别人,但是公司坚持认为他们有责任维护他们的证书的完整性,因此他们是负责任的,正如他们公司的IT政策所规定的那样。 当这个用户certificate在组织内存在一种密码共享的风俗文化时,法院推翻了这一点。 法院裁定,如果公司不能被视为积极执行他们的IT政策,在这种情况下,他们不能依靠它来追究责任。
这就是理论与实践之间显然存在一个鸿沟。 我已经签约了一家提供IT咨询服务的跨国公司,作为国有企业升级的文件化程序的一部分,我们被指示要求最终用户的密码。
就我个人而言,我采取强硬的方式来做到这一点。 我不相信要求密码(或重新设置他们访问用户的帐户)是必要的。 如果工作量大大增加,那就这样吧。 妥协安全是没有借口的。 我想我只是幸运的,我不是一个经理,所以不必为这些决定承担上级的指示。
让我们清楚:如果你是一个域pipe理员,你可以安装一个软件 – 一个设备驱动程序浮现在脑海 – 可以从字面上做任何事情。 但是,从“桌面背景的registry键值又是什么?”来看,这是不切实际的。 一直到“然后,我们挂钩到encryptionconfiguration文件层内的文件读取调用,以欺骗Firefox认为他们已经禁用了来自doubleclick.net的cookie”。
你需要一个绝对的,我认为这是错误的方式来看待这个问题,因为答案将是“你永远不需要用户的密码, 真的 ,”这是非常误导。 现实情况是,除非Microsoft提供像NIX的su / sudo这样的function(或者你安装了第三方软件),否则你将永远无法完全模仿一个用户的账户,同时保持一种理智的表象需要偶尔使用 – 注意我没有说“泄露!” – 他们的密码。
我们中的许多人曾经在各种原因需要密码泄露的环境中工作。 我甚至会说我们大家都认为这是一个坏主意。 如果需要这样做,最终用户需要同意,而不是被强制。
早在1998年,我的IT部门就曾经在更换电脑的时候要求用户的密码,所以我们可以像以前那样重新设置密码。 下到图标的位置。 正如我们在没有相应WinNT域的Novell NetWare环境中一样,更改networking密码并不会改变它们的本地密码,所以如果我们想要提供这种级别的无缝服务,就需要密码。
那是13年前。 您特别询问了有关Windows域的信息。 在刚刚离开的一所大学的工作中,最终用户是否要透露密码或者是否正在进行任何工作。 换句话说,最终用户select了它,而不是IT强制。 某些非常繁忙的高层pipe理人员通常会让他们的pipe理员助理login他们,这样IT人员很容易溜进来(同意已经被授权)。
在Windows中, 手动调整用户configuration文件的唯一方法是以该用户身份login。 如果由于某种原因,该configuration文件需要进行手动调整(剩余的糟糕的卸载仍然妨碍重新安装或其他奇怪的事情),那么IT人员将需要以该用户的身份login。 这可以通过强制更改pipe理密码,让用户披露密码或让用户loginIT人员并让IT人员工作来完成。
绝对不是100%。 任何需要用其他用户帐户完成的事情都应该通过重置用户密码,login,然后让用户呼叫帮助台或者将密码重新设置为用户所告知的事项,并设置帐户以强制密码来改变在下次login。 虽然承认我曾经在相当大和安全的环境中向任何人泄露您的密码通常是终止的理由(在大多数情况下应该是这样)
在安装过程中,某些应用程序需要使用像%userprofile%这样的环境variables,修改HK_CURRENT_USER等来进行更改或引用用户的configuration文件(即与Outlook集成的CRM应用程序)。
虽然你当然可以使用procmon这样的工具来“逆向工程”安装,然后手动修改用户的configuration文件,registry等等,但这是非常低效,不切实际和容易出错的。
这些post中的大部分看起来都很古老,但希望有些知识渊博的人士仍然在线,因为这似乎仍然是当前的话题。
当然可以这样做, 你不应该永远不需要密码。 我更愿意告诉我的用户“永远不会分享”…是的, 在大多数情况下 ,configuration可以由pipe理员为用户处理。 但是,排除故障是另一件事。
我们支持2600名学生和500名员工的一对一课程。 我们每天解决“奇怪”的软件问题。 通常情况下,我们必须以用户身份来解决问题(或者确信需要重新加载)来经历问题。 当然,我们试图用用户在场的方式做到这一点 – 但这并不总是实际的。 他们有一个时间表来维护。
智能卡呢? 智能卡可以在2010/2012年AD环境中与域帐户关联(临时)吗? 这将允许访问完全真实的用户帐户,而不暴露他们的密码具体。 故障排除完成后,卡可以被取消激活。 技术人员可以使用这个帐户,但是这些卡片可以很好地监督。
我们已经使用了多年的指纹识别器,但是设置特定技术的过程,然后清除打印是不可行的。 我不确定为特定用户“授权”,然后“停用”智能卡的过程是多么复杂,但似乎可能是一个体面的妥协。
是的:任何需要做他们的个人资料。 发生这种情况时,您必须知道自己的密码,或按照您的说法设置密码。 然后当你完成后他们可以改变它。
如果您以该用户身份login,则不会为他们提供其他权限。 您以他们的权限login。