我们的办公室使用Active Directory的Windows域来pipe理用户对机器和networking资源的访问。 IT人员保存每个用户的密码logging,主要用于故障排除。 例如,有时问题只有在以“普通”用户而不是pipe理员身份login时出现。 另外,这让ITpipe理员可以为本地用户configuration软件,检查设置等。
保留这个密码列表被认为是不好的做法吗? 理论上,只有pipe理员可以访问它。 有没有办法使用pipe理员身份login作为本地用户,这将避免需要存储用户的密码?
(一点背景:办公室有大约30个用户,有2个ITpipe理员,有些用户可以通过VPN进行远程访问。
这被认为是不好的做法,无论是密码安全性,还是身份pipe理。 在任何地方都可以使用明文密码列表,这是不应该做的,或者完全可以做到,它需要保持离线状态,并具有严格(可审查)的访问控制。 身份pipe理违规是这样的密码列表允许访问密码列表的用户在没有该人的知识的情况下冒充该列表中的任何人 。
微软的政策是,如果需要这样的本地configuration文件访问,技术人员需要访问:
在这两种情况下,用户都知道他们的电子身份被不是他们的人所模仿。 是的,这可能会导致“不需要”的密码重置,因为工作是在本地configuration文件上完成的,以确定问题,但是密码策略需要适应这些操作。 这对技术人员和非技术人员都是不便的? 是的。
考虑一下这个。 如果您的用户被其工作站上不应有的东西所捕获,那么可能导致解雇或被起诉的东西,拥有这样一个密码列表就不可能certificate他们,只有他们把这些数据放在那里 。 如果它终止在法庭(不正当终止或捍卫刑事指控),这将成为非常重要的一点。 为了您自己的保护,即使系统的pipe理员也需要对密码进行保密。
非常不好的做法。 现在你不应该在我看来logging用户密码。 如果您想解决与非pipe理员权限相关的问题,请在Active Directory中设置一个虚拟帐户。 如果问题原来与单个账户相关,那么您访问该用户并与他们一起工作,或者在他们已经login后用他们的协议远程控制他们的会话。
我永远不会保留任何人的密码清单,只是要求麻烦,如果你的任何员工做一些愚蠢/恶意的,它给了他们一个完美的脱离条款,他们可以只是说,他们的密码一定是从你偷来的,而不是与他们可能做的任何事有关。
为什么你需要以用户身份login? 您始终可以在AD中创buildtesting用户,并将testing用户放入与您需要testing的人员相同的组中。
你的第一个问题的答案是“保留这个密码列表被认为是不好的做法? 对我来说是肯定的 。
很老的问题,但我想在这里留下我的意见。
作为系统和networkingpipe理员(也是安全顾问),在7座build筑物中有600多台计算机的政府机构工作。
有很多政府(非常老的代码)软件只安装到特定的用户。 所以,当我需要排除故障时,我需要使用该特定用户login到远程桌面。 由于这个旧的软件政策(和安全),这个程序可以安装只有一个时间,在一台PC。
有时候人们休假。
所以,作为pipe理员,login其他人不是“坏”,所有这些“法律事项”的担心是过度反应。
这与pipe理员重置用户密码并模拟它们是一样的,因为以admin用户身份login。 使用这个合法的“东西”,你改变你的用户密码,做非法的事情,然后声称pipe理员改变了密码?,没有基本面。
其实我使用radmin或vnc女巫需要手工安装在每台PC上。
但是,伙计们,可能是你们没有这样做,但是当你需要以特定的用户身份login时,有很多场景,而不是虚拟的,需要成为确切的用户。 重置密码甚至不是一个选项(例如本地文件encryption)。
无论如何,我使用的实际解决scheme是远程软件如vnc或radmin(可能通过GPO应用或远程推送)或rest密码。