10 votos

¿Necesitaría un usuario ' contraseña de dominio s?

Hay algo en un dominio de Windows administrador que tenga que hacer, mientras que la configuración de una estación de trabajo para un nuevo usuario que no puede hacerse sin el dominio del usuario la contraseña de la cuenta? Para evitar que pregunta a los usuarios de sus contraseñas de administrador, teóricamente, podría cambiar la contraseña, inicie sesión como el usuario, y hacer todo lo que quería hacer, pero tendría que dar los permisos adicionales que no los tienen ya por la virtud de ser un administrador de dominio?

ACTUALIZACIÓN:

Las respuestas hasta el momento se han referido a la "optimización" o cambiar el perfil del usuario. Sin embargo, este artículo de Microsoft en la modificación del perfil predeterminado que se aplica a los usuarios cuando inician sesión por primera vez y estas instrucciones para cambiar a otro usuario de la configuración del registro de Windows en cualquier momento. ¿Qué sería de un admin cambio cuando inicie sesión como un usuario que el administrador no podía cambiar con estas u otras técnicas disponibles que no impliquen el registro como usuario? Sólo "iniciar sesión como el usuario" no es una razón para pedir o cambiar la contraseña del usuario. Estoy buscando un práctico razón para hacerlo.

18voto

BMDan Puntos 4643

Seamos claros: si usted es un Administrador de Dominio, usted puede instalar una pieza de software–un controlador de dispositivo viene a la mente–que, literalmente, puede hacer cualquier cosa. Sin embargo, diversos grados de poco práctico, que van desde "¿Cuál es la clave de registro para el fondo de escritorio, de nuevo?" hasta "Y, a continuación, nos gancho en el archivo de lectura de llamada en el interior de la cifra de perfil de la capa, así como para suplantar el Firefox en el pensamiento de que se han deshabilitado las cookies de doubleclick.net".

Usted está pidiendo un absoluto, y creo que ese es el camino equivocado para ver esto, porque la respuesta va a ser "el Que nunca se necesita la contraseña del usuario, realmente," que es muy engañosa. La realidad es que hasta Microsoft ofrece (o de instalar software de terceros para permitir a) una capacidad de *NIX s su/sudo, nunca vas a ser capaz de imitar perfectamente la cuenta de un usuario para todos los efectos, mientras que el mantenimiento de una apariencia de cordura, sin necesidad ocasional de uso–nota de que no he dicho "revelación!"–de su contraseña.

12voto

Matt Puntos 1054

No es ni aceptable ni necesario para un administrador para solicitar la contraseña de un usuario.

En virtud de las circunstancias en las que puede ser necesario que un administrador inicie sesión como un usuario (y no creo que existen esas circunstancias), el usuario debe iniciar la sesión en y supervisar las actividades del administrador.

La razón de esto es la rendición de cuentas. Es responsabilidad de cada usuario para asegurarse de que su contraseña sea segura. Si la actividad maliciosa se remonta a las credenciales de un usuario, ese usuario puede responsabilizar. Por lo tanto, se necesitan asegurarse de que sus credenciales sean seguras.

También es responsabilidad de la organización para asegurarse de que esto no sólo es adoptado, pero forzada. Hubo un caso legal en la que alguien en una organización envió un correo electrónico malicioso uso de alguien del buzón de correo. El propietario del buzón de correo, y que fue finalmente desestimado. Mientras que argumentaron que habían dado su contraseña a otra persona, la empresa insistió en que era su responsabilidad de mantener la integridad de sus credenciales, y por tanto, son responsables, como fue dictada por su compañía de política de TI. Esto fue luego revocada por un tribunal cuando este usuario demostrado que existía una cultura de compartir de contraseña endémicas dentro de la organización. El tribunal dictaminó que si la empresa no puede ser visto activamente para hacer cumplir su política de TI, que no podía confiar en ella para la rendición de cuentas en estas circunstancias.

Que dijo que es evidente que hay un abismo entre la teoría y la práctica. He contratado para una importante multinacional empresa que proporciona, entre otras cosas, servicios de asesoramiento, y como parte del procedimiento que se describe para un SOE actualización que fueron instruidos para solicitar el final de la contraseña de usuario.

Personalmente, me tome un enfoque de línea dura a este. No creo que la solicitud de contraseñas (o re-configuración de acceso a la cuenta de un usuario) es necesario. Si hay un enorme aumento de la carga de trabajo para evitar esto, entonces que así sea. No es ninguna excusa para comprometer la seguridad. Supongo que soy afortunado de que yo no soy un manager, y así no tener que asumir la responsabilidad de estas decisiones cuando se le indique hacerlo por alguien más arriba.

8voto

sysadmin1138 Puntos 86362

Muchos de nosotros hemos trabajado en entornos donde la contraseña de la divulgación es necesaria por varias razones. Incluso me voy a ir tan lejos como para decir que todos nosotros consideramos que es una mala idea. Si tal necesita ser hecho, que el usuario final necesita el consentimiento, no se puede forzar.

De vuelta en el día, como en 1998, mi departamento de IT se utiliza para solicitar la contraseña de un usuario, cuando estábamos haciendo un reemplazo de PC así que podríamos configurarlo exactamente como ellos tenían su edad. Hasta el icono de ubicaciones. Como estábamos en un entorno de Novell NetWare que no correspondan a ningún dominio de WinNT, el cambio de su contraseña de la red no cambiar su contraseña local por lo que necesita para tener esa contraseña si queríamos entregar el nivel de servicio perfecto.

Eso fue hace 13 años. Se preguntó específicamente acerca de los Dominios de Windows. En el trabajo, me acaba de salir, una gran Universidad, fue hasta el usuario final, ya sea de dar o no una contraseña o para cualquier trabajo que se estaba haciendo. En otras palabras, el usuario final optado a ella en lugar de lo obligado por ELLA. Cierto muy ocupado ejecutivo-tipos de alto de la org-gráfico, en general, tenían su asistente de administración de registro en para ellos, así que fue fácil para QUE la gente se resbale en (consentimiento ya había sido delegada).

En Windows, la única forma de mano sintonizar un Perfil de usuario para iniciar sesión como ese usuario. Si ese perfil de las necesidades de mano de sintonía por alguna razón (una mala desinstalación de la izquierda los restos que están en el camino de una reinstalación, o de otras cosas raras), la persona deberá iniciar sesión como ese usuario. Esto se puede hacer por forzar a un administrativo de cambio de contraseña, teniendo el usuario revelar su contraseña, o tener el registro de usuario de la persona en sí mismos y dejar que la persona en el trabajo.

5voto

Asok Puntos 121

Algunas aplicaciones durante la instalación requieren la capacidad de realizar cambios o referencia el perfil del usuario (por ejemplo, aplicaciones de CRM que se integran con Outlook) por el uso de variables ambientales como % userprofile %, modificando HK_CURRENT_USER y cosas por el estilo.

Mientras que usted podría ciertamente "ingeniería inversa" una instalación con herramientas como procmon y luego modificar manualmente el perfil del usuario, registro, etc. después de los hechos, esto es altamente ineficiente, práctico y propenso a errores.

4voto

Jim B Puntos 18849

Absolutamente 100% no. Cualquier cosa que necesita ser hecho con otra cuenta de usuario debe ser realizado por restablecer las contraseñas de los usuarios, el inicio de sesión y, a continuación, hacer que el usuario llame a la asistencia técnica o restting la contraseña a algo uthe los usuarios se dijo y la configuración de la cuenta de la fuerza de la contraseña para cambiar en el siguiente inicio de sesión. Mientras que admitir que he trabajado bastante grande y / o entornos seguros revelar su contraseña a cualquier persona normalmente era motivo para la terminación (y que debería ser el caso en la mayoría de las situaciones)

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: