BT'nin bir kullanıcının alan adı şifresine ihtiyacı var mı?

Yeni bir kullanıcı için bir iş istasyonunu yapılandırırken Windows etki alanı yöneticisinin kullanıcının etki alanı hesabı parolası olmadan kesinlikle yapılamayacağı bir şey var mı? Kullanıcılardan parolalarını istemekten kaçınmak için yönetici, teorik olarak parolayı değiştirebilir, kullanıcı olarak oturum açabilir ve yapmak istediklerini yapabilir, ancak bu onlara zaten sahip olmadıkları ek izinleri verebilir. etki alanı yöneticisi olmanın avantajı?

GÜNCELLEME:

Şimdiye kadar verilen cevaplar "ayar" veya kullanıcının profilini değiştirmeyle ilgilidir. Ancak, Microsoft'tan, ilk kez oturum açtıklarında kullanıcılara uygulanan varsayılan profili değiştirme ve başka bir kullanıcının Windows kayıt defteri ayarlarını herhangi bir zamanda değiştirme yönergeleri hakkında bu makale bulunmaktadır . Bir kullanıcı olarak oturum açıldığında bir yönetici, kullanıcı olarak oturum açmayı içermeyen bu veya diğer kullanılabilir teknikler kullanılarak yöneticinin değiştiremediği durum ne değiştirir? Sadece "kullanıcı olarak giriş yapmak" kullanıcının şifresini istemek veya değiştirmek için bir neden değildir. Bunu yapmak için pratik bir neden arıyorum .

Bir yöneticinin kullanıcı şifresi istemesi ne kabul edilebilir ne de gereklidir.

Bir yöneticinin kullanıcı olarak oturum açmasının gerekli olabileceği durumlarda (ve bu tür koşulların mevcut olduğuna inanmıyorum), kullanıcı oturum açmalı ve yöneticinin faaliyetlerini denetlemelidir.

Bunun nedeni hesap verebilirliktir. Parolalarının güvenli olduğundan emin olmak her kullanıcının sorumluluğundadır. Kötü amaçlı etkinlikler kullanıcının kimlik bilgileriyle geriye doğru izlenirse, söz konusu kullanıcı sorumlu tutulabilir. Bu nedenle kimlik bilgilerinin güvenli kalmasını sağlamalıdırlar.

Bunun sadece benimsenmesini değil, uygulanmasını sağlamak da kuruluşun sorumluluğundadır. Bir kuruluştaki birinin başka birinin posta kutusunu kullanarak kötü amaçlı bir e-posta gönderdiği yasal bir durum vardı. Posta kutusunun sahibi nihayetinde reddedildi. Parolalarını bir başkasına verdiklerini iddia etseler de, şirket, kimlik bilgilerinin bütünlüğünü korumanın kendi sorumluluğu olduğunu ve bu nedenle şirket BT politikalarının da belirlediği gibi sorumlu olduklarını vurguladı. Daha sonra, bu kullanıcı kuruluş içinde endemik bir parola paylaşımı kültürü olduğunu kanıtladığında, bu bir mahkeme tarafından bozuldu. Mahkeme, şirketin BT politikalarını aktif olarak uyguladığı görülmezse, bu koşullar altında hesap verebilirliğe güvenemeyeceğine karar verdi.

Bu teori ve pratik arasında açıkça bir uçurum olduğunu söyledi. Diğer şeylerin yanı sıra BT danışmanlık hizmetleri sağlayan büyük bir çok uluslu firma için sözleşme yaptım ve bir SOE yükseltmesi için belgelenmiş prosedürün bir parçası olarak son kullanıcının şifresini istememiz istendi.

Şahsen, buna karşı sert bir yaklaşım benimsiyorum. Şifrelerin istenmesinin (veya bir kullanıcının hesabına erişmek için yeniden ayarlanmasının) gerekli olduğuna inanmıyorum. Eğer bunun üstesinden gelmek için büyük ölçüde artan bir iş yükü varsa, öyle olsun. Güvenlikten ödün vermek için bir bahane yok. Sanırım sadece bir yönetici olmadığım için şanslıyım ve bu yüzden daha üst düzey biri tarafından yapılması istendiğinde bu kararların sorumluluğunu almak zorunda değilim.

Açık olalım: Alan Adı Yöneticisi iseniz, kelimenin tam anlamıyla her şeyi yapabilen bir yazılım parçası yükleyebilirsiniz - bir aygıt sürücüsü aklınıza gelir -. Ancak, "Masaüstü arka planı için kayıt defteri anahtarı tekrar nedir?" "Ve sonra şifrelenmiş profil katmanı içindeki dosya okuma çağrısını, Firefox'u doubleclick.net'ten gelen çerezleri devre dışı bıraktıklarını düşünerek taklit etmek için bağlarız".

Sen mutlak için soruyorsun ve Cevap "Sen Kullanıcının şifresini gerek kalmaz olacak çünkü bu bakmak için yanlış bir yol olduğunu düşünüyorum gerçekten çok hangi yanıltıcıdır,". Gerçek şu ki, Microsoft * NIX su/ gibi bir özellik sunana (veya izin vermek için üçüncü taraf yazılım yükleyene kadar) sudo, ara sıra gerek kalmadan bir akıl sağlığını korurken bir kullanıcının hesabını hiçbir zaman mükemmel bir şekilde taklit edemeyeceksiniz. kullanım-not "ifşa!" demedim.

Birçoğumuz, çeşitli nedenlerle şifre ifşasının gerekli olduğu ortamlarda çalıştık. Hepimizin bunu kötü bir fikir olarak gördüğünü söyleyecek kadar ileri gideceğim. Böyle yapılması gerekiyorsa, son kullanıcının buna izin vermesi gerekir, zorlanmamalıdır.

O günlerde, 1998 gibi, BT departmanım bir PC değiştirme yaparken bir kullanıcının şifresini isterdi, böylece eskisi gibi ayarlayabildik. Simge konumlarına gidin. Karşılık gelen WinNT etki alanı olmayan bir Novell NetWare ortamında olduğumuzdan, ağ parolalarını değiştirmek yerel parolalarını değiştirmedi, bu nedenle bu kesintisiz hizmet düzeyini sunmak istiyorsak bu parolaya ihtiyacımız vardı.

13 yıl önceydi. Özellikle Windows Etki Alanları hakkında sorular sordunuz. Az önce bıraktığım işte, büyük bir Üniversite, bir şifre ifşa edip etmemek veya yapılan herhangi bir iş için orada olmak son kullanıcıya kalmıştı. Diğer bir deyişle, son kullanıcı seçen buna ziyade BT tarafından zorladı. Kuruluş şemasının yukarısındaki bazı çok yoğun yönetici türleri genellikle yönetici asistanları için giriş yaptılar, bu nedenle BT çalışanlarının kayması kolaydı (rıza zaten yetkilendirilmişti).

Windows'da, bir kullanıcının Profilini elle ayarlamanın tek yolu bu kullanıcı olarak oturum açmaktır. Bu profilin herhangi bir nedenle el ile ayarlanması gerekiyorsa (yeniden yükleme veya diğer garip şeylerin önüne geçmekte olan kötü bir kaldırma kaldı kalır), BT kullanıcısının bu kullanıcı olarak giriş yapması gerekir. Bu, bir yönetici parola değişikliğini zorlayarak, kullanıcının parolasını açıklamasını veya kullanıcının BT kişisini kendileri olarak oturum açmasını ve BT kişisinin çalışmasına izin vermesini sağlayarak yapılabilir.

Kurulum sırasında bazı uygulamalar,% userprofile%, HK_CURRENT_USER ve benzerlerini değiştirerek çevresel değişkenleri kullanarak değişiklik yapma veya kullanıcının profiline (örneğin Outlook ile entegre olan CRM uygulamaları) gönderme yeteneğini gerektirir.

Procmon gibi araçlarla bir kurulumu "tersine mühendislik" yapabilir ve daha sonra kullanıcının profilini, kayıt defterini vb.

Kesinlikle% 100 değil. Başka bir kullanıcı hesabıyla yapılması gereken her şey, kullanıcı parolasını sıfırlayarak, oturum açarak ve ardından kullanıcının yardım masasını aramasını veya parolayı kullanıcılardan bir şeyle dinlendirerek ve hesabın parolayı değiştirmeye zorlaması için ayarlanarak yapılmalıdır. bir sonraki girişinizde. İtiraf ederken, şifrenizi kimseye açıklayan oldukça büyük ve / veya güvenli ortamlarda çalıştığım genellikle fesih sebebiydi (ve çoğu durumda böyle olmalıdır)

Bu yazıların çoğu oldukça eski görünüyor, ancak umarım bazı bilgili insanlar hala iş parçacığı üzerinde aktif, çünkü bu güncel bir konu olmaya devam edecek gibi görünüyor.

Kesinlikle parola istemeniz gerekmeyeceği iddiaları yapılabilir . Kullanıcılarıma "hiç paylaşma" demeyi tercih ederim. Evet, yapılandırma çoğu durumda bir kullanıcı tarafından bir yönetici tarafından yapılabilir. Ancak sorun giderme başka bir meseledir.

2600 öğrenci ve 500 çalışanı ile birebir programı destekliyoruz. "Garip" yazılım sorunlarını günlük olarak ele alıyoruz. Sorunu çözmek için sorunu sıklıkla kullanıcı olarak deneyimlememiz gerekir (veya yeniden yüklemeye ihtiyaç duyulacağından emin olarak). Kesinlikle, bunu mevcut kullanıcı ile yapmaya çalışıyoruz - ancak bu her zaman pratik değildir; sürdürmek için bir planları var.

Akıllı kartlar ne olacak? 2010/2012 AD Ortamında bir akıllı kartın bir etki alanı hesabıyla (geçici olarak) ilişkilendirilebileceği herhangi bir fizibilite var mı? Bu, şifresini özel olarak açığa çıkarmadan kullanıcının hesabına tam olarak erişilmesine izin verir. Sorun giderme işlemi tamamlandığında kart devre dışı bırakılabilir. Teknisyenler hesabı kullanabilir, ancak kartlar iyi denetlenebilir.

Yıllardır parmak izi okuyucuları kullandık, ancak bunu belirli bir teknoloji için ayarlama süreci, daha sonra bu baskıyı temizlemek mümkün değil. Sürecin "yetkilendirmek" ve daha sonra belirli bir kullanıcı için bir akıllı kartı "devre dışı bırakmak" ne kadar karmaşık olduğundan emin değilim, ama iyi bir uzlaşma olabilir gibi görünüyor.

Evet: Profillerine yapılması gereken her şey. Böyle bir durumda, parolalarını bilmeniz veya söylediğiniz gibi ayarlamanız gerekir. Sonra işiniz bittiğinde bunu değiştirebilirler.

Bu kullanıcı olarak oturum açarsanız, onlara ek izinler vermezsiniz. Onların izinleri ile giriş yapıyorsunuz.