CNTT có bao giờ cần mật khẩu tên miền của người dùng không?

Có bất cứ điều gì mà quản trị viên miền Windows có thể cần phải làm trong khi định cấu hình máy trạm cho người dùng mới mà hoàn toàn không thể thực hiện được nếu không có mật khẩu tài khoản miền của người dùng? Về mặt lý thuyết, để tránh hỏi người dùng về mật khẩu, quản trị viên có thể thay đổi mật khẩu, đăng nhập với tư cách là người dùng và làm bất cứ điều gì họ muốn làm, nhưng điều đó thực sự sẽ cung cấp cho họ bất kỳ quyền bổ sung nào mà họ không có đức tính của một quản trị viên tên miền?

CẬP NHẬT:

Các câu trả lời cho đến nay đã đề cập đến "điều chỉnh" hoặc thay đổi hồ sơ của người dùng. Tuy nhiên, có này bài báo từ Microsoft về việc sửa đổi cấu hình mặc định mà được áp dụng cho người dùng khi họ đăng nhập vào lần đầu tiên và các hướng dẫn cho việc thay đổi các thiết lập registry của Windows của người dùng khác bất cứ lúc nào. Quản trị viên sẽ thay đổi điều gì khi đăng nhập với tư cách người dùng mà quản trị viên không thể thay đổi bằng cách sử dụng những kỹ thuật này hoặc các kỹ thuật có sẵn khác không liên quan đến việc đăng nhập với tư cách người dùng? Chỉ cần "đăng nhập với tư cách người dùng" không phải là lý do để yêu cầu hoặc thay đổi mật khẩu của người dùng. Tôi đang tìm kiếm một lý do thực tế để làm như vậy.

Quản trị viên không thể yêu cầu mật khẩu của người dùng.

Trong các trường hợp có thể cần thiết để quản trị viên đăng nhập với tư cách người dùng (và tôi không tin rằng các trường hợp đó tồn tại), người dùng nên đăng nhập và giám sát các hoạt động của quản trị viên.

Lý do cho điều này là trách nhiệm. Mỗi người dùng có trách nhiệm đảm bảo rằng mật khẩu của họ được an toàn. Nếu hoạt động độc hại được truy trở lại thông tin đăng nhập của người dùng, người dùng đó có thể phải chịu trách nhiệm. Do đó, họ cần đảm bảo rằng thông tin đăng nhập của họ vẫn an toàn.

Đây cũng là trách nhiệm của tổ chức để đảm bảo rằng điều này không chỉ được thông qua, mà còn được thi hành. Có một trường hợp pháp lý trong đó ai đó trong một tổ chức đã gửi email độc hại bằng hộp thư của người khác. Chủ sở hữu của hộp thư cuối cùng đã bị sa thải. Trong khi họ lập luận rằng họ đã đưa mật khẩu của mình cho người khác, công ty khẳng định rằng họ có trách nhiệm duy trì tính toàn vẹn của thông tin đăng nhập của họ và do đó họ phải chịu trách nhiệm, theo chính sách CNTT của công ty. Điều này sau đó đã bị tòa án lật tẩy khi người dùng này chứng minh rằng có một văn hóa chia sẻ mật khẩu đặc hữu trong tổ chức. Tòa án phán quyết rằng nếu công ty không thể được nhìn thấy để chủ động thực thi chính sách CNTT của họ, họ không thể dựa vào đó để chịu trách nhiệm trong những trường hợp này.

Điều đó nói rằng rõ ràng có một khoảng cách giữa lý thuyết và thực hành. Tôi đã ký hợp đồng cho một công ty đa quốc gia lớn, cung cấp, trong số những thứ khác, dịch vụ tư vấn CNTT và là một phần của quy trình nâng cấp SOE, chúng tôi được hướng dẫn yêu cầu mật khẩu của người dùng cuối.

Cá nhân, tôi có một cách tiếp cận cứng rắn về điều này. Tôi không tin rằng việc yêu cầu mật khẩu (hoặc đặt lại chúng để truy cập tài khoản của người dùng) là cần thiết. Nếu có một khối lượng công việc tăng lên rất nhiều để giải quyết vấn đề này, thì cũng vậy thôi. Đó không phải là lý do để thỏa hiệp bảo mật. Tôi đoán tôi chỉ may mắn rằng tôi không phải là người quản lý và vì vậy không phải chịu trách nhiệm về những quyết định này khi được hướng dẫn làm như vậy bởi một người nào đó cao hơn.

Chúng ta hãy rõ ràng: nếu bạn là Quản trị viên tên miền, bạn có thể cài đặt một phần mềm. Trình điều khiển thiết bị đến với tâm trí có thể làm bất cứ điều gì theo nghĩa đen. Tuy nhiên, mức độ không thực tế khác nhau, từ "Khóa đăng ký cho nền máy tính là gì?" tất cả các cách để "Và sau đó chúng tôi nối vào tệp đọc cuộc gọi bên trong lớp hồ sơ được mã hóa để giả mạo Firefox nghĩ rằng họ đã vô hiệu hóa cookie từ doubleclick.net".

Bạn đang yêu cầu một cách tuyệt đối và tôi nghĩ đó là cách sai để xem xét điều này, bởi vì câu trả lời sẽ là "Bạn không bao giờ cần mật khẩu của người dùng, thực sự ", rất sai lệch. Thực tế là cho đến khi Microsoft cung cấp (hoặc bạn cài đặt phần mềm của bên thứ ba để cho phép) một khả năng như * NIX's su/ sudo, bạn sẽ không bao giờ có thể bắt chước một cách hoàn hảo tài khoản của người dùng cho tất cả các mục đích trong khi vẫn duy trì trạng thái tỉnh táo, mà không cần thỉnh thoảng sử dụng lưu ý trên mạng Tôi không nói "tiết lộ!" - mật khẩu của họ.

Nhiều người trong chúng ta đã làm việc trong những môi trường đòi hỏi phải tiết lộ mật khẩu vì nhiều lý do. Tôi thậm chí sẽ đi xa để nói rằng tất cả chúng ta coi đó là một ý tưởng tồi. Nếu cần phải làm như vậy, người dùng cuối cần phải đồng ý với nó, không bị ép buộc.

Trước đây, như năm 1998, bộ phận CNTT của tôi thường yêu cầu mật khẩu người dùng khi chúng tôi thực hiện thay thế PC để chúng tôi có thể thiết lập chính xác như họ đã có mật khẩu cũ. Xuống các vị trí biểu tượng. Vì chúng tôi ở trong môi trường Novell NetWare không có miền WinNT tương ứng, việc thay đổi mật khẩu mạng của họ đã không thay đổi mật khẩu cục bộ của họ, vì vậy chúng tôi cần có mật khẩu đó nếu chúng tôi muốn cung cấp mức dịch vụ liền mạch đó.

Đó là 13 năm trước. Bạn đặc biệt hỏi về Tên miền Windows. Ở công việc tôi vừa rời khỏi, một trường đại học lớn, tùy thuộc vào người dùng cuối có tiết lộ mật khẩu hay ở đó cho bất kỳ công việc nào đang được thực hiện. Nói cách khác, người dùng cuối đã chọn tham gia thay vì bắt buộc bởi CNTT. Một số loại điều hành rất bận rộn, biểu đồ tổ chức org thường có đăng nhập trợ lý quản trị viên cho họ để người CNTT dễ dàng tham gia (sự đồng ý đã được ủy quyền).

Trong Windows, cách duy nhất để điều chỉnh Hồ sơ người dùng là đăng nhập với tư cách người dùng đó. Nếu hồ sơ đó cần điều chỉnh bằng tay vì một số lý do (phần gỡ cài đặt xấu còn lại đang cản trở cài đặt lại hoặc các nội dung lạ khác), người CNTT sẽ cần phải đăng nhập với tư cách người dùng đó. Điều này có thể được thực hiện bằng cách buộc thay đổi mật khẩu quản trị, yêu cầu người dùng tiết lộ mật khẩu của họ hoặc yêu cầu người dùng đăng nhập người CNTT như chính họ và để người CNTT làm việc.

Một số ứng dụng trong khi cài đặt yêu cầu khả năng thực hiện thay đổi hoặc tham chiếu cấu hình của người dùng (ví dụ: ứng dụng CRM tích hợp với Outlook) bằng cách sử dụng các biến môi trường như% userprofile%, sửa đổi HK_CURRENT_USER và tương tự.

Mặc dù bạn chắc chắn có thể "thiết kế ngược" một bản cài đặt với các công cụ như procmon và sau đó sửa đổi thủ công hồ sơ, sổ đăng ký của người dùng, v.v. sau khi thực tế, điều này rất kém hiệu quả, không thực tế và dễ bị lỗi.

Hoàn toàn 100% không. Bất cứ điều gì cần được thực hiện với tài khoản người dùng khác nên được thực hiện bằng cách đặt lại mật khẩu người dùng, đăng nhập và sau đó người dùng gọi cho bộ phận trợ giúp hoặc đặt lại mật khẩu cho người dùng được thông báo và đặt tài khoản để buộc mật khẩu thay đổi vào lần đăng nhập tiếp theo. Mặc dù thừa nhận tôi đã làm việc trong môi trường khá lớn và an toàn tiết lộ mật khẩu của bạn cho bất kỳ ai thường là căn cứ để chấm dứt (và đó là trường hợp trong hầu hết các tình huống)

Hầu hết các bài viết này có vẻ khá cũ, nhưng hy vọng một số người có kiến ​​thức vẫn đang hoạt động trên chủ đề này, vì điều này dường như sẽ tiếp tục là một chủ đề hiện tại.

Đối số chắc chắn có thể được thực hiện mà bạn không bao giờ phải yêu cầu mật khẩu. Tôi rất muốn nói với người dùng của mình "đừng bao giờ chia sẻ" ... và vâng, trong hầu hết các trường hợp , cấu hình có thể được quản trị viên xử lý cho người dùng. Nhưng xử lý sự cố là một chuyện khác.

Chúng tôi hỗ trợ chương trình một-một với 2600 sinh viên và 500 nhân viên. Chúng tôi giải quyết các vấn đề phần mềm "kỳ lạ" hàng ngày. Thông thường, chúng ta phải gặp vấn đề với tư cách là người dùng để giải quyết vấn đề (hoặc xác định chắc chắn rằng sẽ cần phải tải lại). Tuyệt đối, chúng tôi cố gắng làm điều này với người dùng hiện tại - nhưng điều đó không phải lúc nào cũng thực tế; họ có một lịch trình để duy trì.

Còn thẻ thông minh thì sao? Có bất kỳ tính khả thi nào trong Môi trường AD 2010/2012 rằng thẻ thông minh có thể được liên kết (tạm thời) với tài khoản miền không? Điều này sẽ cho phép truy cập vào tài khoản của người dùng trong thực tế đầy đủ, trong khi không tiết lộ mật khẩu của họ một cách cụ thể. Thẻ sau đó có thể bị vô hiệu hóa khi xử lý sự cố hoàn tất. Kỹ thuật viên có thể sử dụng tài khoản, nhưng thẻ có thể được giám sát tốt.

Chúng tôi đã sử dụng đầu đọc dấu vân tay trong nhiều năm, nhưng quá trình thiết lập công nghệ đó cho một công nghệ cụ thể, sau đó xóa bản in đó đơn giản là không khả thi. Tôi không chắc quá trình này sẽ phức tạp đến mức nào khi "ủy quyền" và sau đó "hủy kích hoạt" thẻ thông minh cho một người dùng cụ thể, nhưng có vẻ như đó có thể là một sự thỏa hiệp tốt.

Có: Bất cứ điều gì cần phải được thực hiện vào hồ sơ của họ. Khi điều đó xảy ra, bạn phải biết mật khẩu của họ hoặc đặt mật khẩu như bạn đã nói. Sau đó, họ có thể thay đổi nó khi bạn đã hoàn tất.

Nếu bạn đăng nhập với tư cách là người dùng đó, bạn sẽ không cấp cho họ quyền bổ sung. Bạn đang đăng nhập như họ với sự cho phép của họ.