Würde die IT jemals das Domain-Passwort eines Benutzers benötigen?

Gibt es etwas, das ein Windows-Domänenadministrator möglicherweise tun muss, um eine Arbeitsstation für einen neuen Benutzer zu konfigurieren, was ohne das Domänenkontokennwort des Benutzers absolut nicht möglich ist? Um zu vermeiden, dass Benutzer nach ihren Passwörtern gefragt werden, könnte der Administrator theoretisch das Passwort ändern, sich als Benutzer anmelden und alles tun, was er möchte. Würde dies ihm jedoch zusätzliche Berechtigungen geben, über die er noch nicht verfügt Tugend, ein Domain-Administrator zu sein?

AKTUALISIEREN:

Die bisherigen Antworten beziehen sich auf das "Optimieren" oder Ändern des Benutzerprofils. Es gibt jedoch diesen Artikel von Microsoft zum Ändern des Standardprofils, das auf Benutzer angewendet wird, wenn diese sich zum ersten Mal anmelden, sowie diese Anweisungen zum jederzeitigen Ändern der Windows-Registrierungseinstellungen eines anderen Benutzers. Was würde ein Administrator ändern, wenn er als Benutzer angemeldet ist, was der Administrator mit diesen oder anderen verfügbaren Techniken, bei denen er sich nicht als Benutzer anmeldet, nicht ändern könnte? Nur "Anmelden als Benutzer" ist kein Grund, das Kennwort des Benutzers anzufordern oder zu ändern. Ich suche einen praktischen Grund dafür.

Es ist weder akzeptabel noch erforderlich, dass ein Administrator das Kennwort eines Benutzers anfordert.

Unter den Umständen, unter denen sich ein Administrator möglicherweise als Benutzer anmelden muss (und ich glaube nicht, dass solche Umstände vorliegen), sollte sich der Benutzer anmelden und die Aktivitäten des Administrators überwachen.

Der Grund dafür ist die Rechenschaftspflicht. Es liegt in der Verantwortung jedes Benutzers, sicherzustellen, dass sein Passwort sicher ist. Wenn böswillige Aktivitäten auf die Anmeldeinformationen eines Benutzers zurückgeführt werden, kann dieser Benutzer zur Rechenschaft gezogen werden. Daher müssen sie sicherstellen, dass ihre Anmeldeinformationen sicher bleiben.

Es liegt auch in der Verantwortung der Organisation, sicherzustellen, dass dies nicht nur angenommen, sondern auch durchgesetzt wird. Es gab einen Rechtsfall, in dem jemand in einer Organisation eine böswillige E-Mail über das Postfach eines anderen gesendet hat. Der Besitzer des Postfachs wurde schließlich entlassen. Während sie argumentierten, dass sie ihr Passwort jemand anderem gegeben hatten, bestand das Unternehmen darauf, dass es in ihrer Verantwortung liege, die Integrität ihrer Anmeldeinformationen aufrechtzuerhalten, und sie seien daher rechenschaftspflichtig, wie es die IT-Richtlinien ihres Unternehmens vorschrieben. Dies wurde dann von einem Gericht aufgehoben, als dieser Benutzer nachwies, dass es innerhalb der Organisation eine endemische Kultur des Passwortaustauschs gibt. Das Gericht entschied, dass sich das Unternehmen unter diesen Umständen nicht darauf verlassen kann, wenn es nicht in der Lage ist, seine IT-Richtlinien aktiv durchzusetzen.

Das heißt, es gibt eindeutig eine Kluft zwischen Theorie und Praxis. Ich habe einen Vertrag für ein großes multinationales Unternehmen abgeschlossen, das unter anderem IT-Beratungsdienste anbietet. Im Rahmen des dokumentierten Verfahrens für ein SOE-Upgrade wurden wir angewiesen, das Kennwort des Endbenutzers anzufordern.

Persönlich gehe ich diesbezüglich einen harten Ansatz an. Ich glaube nicht, dass es notwendig ist, Passwörter anzufordern (oder sie neu einzustellen, um auf das Konto eines Benutzers zuzugreifen). Wenn es eine stark erhöhte Arbeitsbelastung gibt, um dies zu umgehen, dann sei es so. Es ist keine Entschuldigung, die Sicherheit zu gefährden. Ich schätze, ich habe das Glück, dass ich kein Manager bin und daher keine Verantwortung für diese Entscheidungen übernehmen muss, wenn ich von jemand höherem angewiesen werde, dies zu tun.

Lassen Sie uns klar sein: Wenn Sie ein Domain-Administrator sind, können Sie eine Software installieren - ein Gerätetreiber fällt Ihnen ein -, die buchstäblich alles kann. Es ist jedoch unterschiedlich unpraktisch und reicht von "Was ist wieder der Registrierungsschlüssel für den Desktop-Hintergrund?" bis hin zu "Und dann schließen wir uns dem Aufruf zum Lesen von Dateien in der Ebene des verschlüsselten Profils an, um Firefox zu verfälschen, dass Cookies von doubleclick.net deaktiviert wurden".

Sie fragen nach einem Absoluten, und ich denke, das ist die falsche Sichtweise, denn die Antwort lautet "Sie brauchen wirklich nie das Passwort des Benutzers ", was sehr irreführend ist. Die Realität ist, dass Sie, bis Microsoft eine Funktion wie * NIX su/ bereitstellt (oder Sie Software von Drittanbietern installieren, um dies zu ermöglichen) sudo, niemals in der Lage sein werden, das Konto eines Benutzers für alle Zwecke perfekt zu imitieren, während Sie einen Anschein von Vernunft bewahren, ohne dies gelegentlich zu erfordern Verwendungshinweis - Ich habe nicht "Offenlegung!" - ihres Passworts gesagt.

Viele von uns haben in Umgebungen gearbeitet, in denen die Offenlegung von Passwörtern aus verschiedenen Gründen erforderlich war. Ich werde sogar so weit gehen zu sagen, dass wir alle es für eine schlechte Idee halten. Wenn dies getan werden muss, muss der Endbenutzer dem zustimmen und nicht gezwungen werden.

Früher, wie 1998, hat meine IT-Abteilung das Passwort eines Benutzers angefordert, als wir einen PC-Austausch durchgeführt haben, damit wir es genau so einrichten konnten, wie es das alte war. Bis zu den Symbolpositionen. Da wir uns in einer Novell NetWare-Umgebung ohne entsprechende WinNT-Domäne befanden, wurde durch Ändern des Netzwerkkennworts das lokale Kennwort nicht geändert. Daher war dieses Kennwort erforderlich, wenn wir diesen nahtlosen Service bereitstellen wollten.

Das war vor 13 Jahren. Sie haben speziell nach Windows-Domänen gefragt. Bei dem Job, den ich gerade verlassen habe, einer großen Universität, war es Sache des Endbenutzers, ein Passwort preiszugeben oder für die geleistete Arbeit da zu sein. Mit anderen Worten, der Endbenutzer hat sich dafür entschieden , anstatt von der IT gezwungen zu werden. Bestimmte sehr beschäftigte Führungskräfte, die sich ganz oben im Organigramm befanden, hatten im Allgemeinen einen Administratorassistenten, der sich für sie anmeldete, sodass sich IT-Mitarbeiter leicht einschleichen konnten (die Zustimmung wurde bereits delegiert).

Unter Windows ist der einzige Weg , um die Hand Melodie Profil eines Benutzers ist als dieser Benutzer anmelden. Wenn dieses Profil aus irgendeinem Grund von Hand angepasst werden muss (es verbleibt eine fehlerhafte Deinstallation, die einer Neuinstallation im Wege steht, oder andere seltsame Dinge), muss sich die IT-Person als dieser Benutzer anmelden. Dies kann erreicht werden, indem eine Änderung des Administratorkennworts erzwungen wird, der Benutzer sein Kennwort offenlegt oder die IT-Person als sich selbst anmeldet und die IT-Person arbeiten lässt.

Einige Anwendungen während der Installation erfordern die Fähigkeit, Änderungen vorzunehmen oder auf das Benutzerprofil zu verweisen (dh CRM-Anwendungen, die in Outlook integriert sind), indem Umgebungsvariablen wie% userprofile% verwendet, HK_CURRENT_USER geändert und dergleichen.

Sie könnten zwar eine Installation mit Tools wie procmon "zurückentwickeln" und anschließend das Benutzerprofil, die Registrierung usw. manuell ändern, dies ist jedoch äußerst ineffizient, unpraktisch und fehleranfällig.

Absolut 100% nicht. Alles, was mit einem anderen Benutzerkonto erledigt werden muss, sollte durch Zurücksetzen des Benutzerkennworts, Anmelden und anschließendes Anrufen des Helpdesks durch den Benutzer oder Zurücksetzen des Kennworts auf einen anderen Benutzer erfolgen, und das Konto so einstellen, dass das Kennwort geändert wird beim nächsten Login. Ich gebe zwar zu, dass ich in ziemlich großen und / oder sicheren Umgebungen gearbeitet habe, in denen die Weitergabe Ihres Passworts an Dritte normalerweise Anlass zur Kündigung war (und dies sollte in den meisten Situationen der Fall sein).

Die meisten dieser Beiträge scheinen ziemlich alt zu sein, aber hoffentlich sind einige sachkundige Leute noch im Thread aktiv, da dies weiterhin ein aktuelles Thema zu sein scheint.

Es kann durchaus argumentiert werden, dass Sie niemals ein Passwort anfordern müssen. Ich würde meinen Benutzern viel lieber sagen, dass sie niemals teilen ... und ja, die Konfiguration kann in den meisten Fällen von einem Administrator für einen Benutzer durchgeführt werden. Die Fehlerbehebung ist jedoch eine andere Angelegenheit.

Wir unterstützen ein Einzelprogramm mit 2600 Studenten und 500 Mitarbeitern. Wir gehen täglich auf "seltsame" Softwareprobleme ein. Es kommt häufig vor, dass das Problem als Benutzer auftritt, um das Problem zu beheben (oder mit einiger Sicherheit festzustellen, dass ein erneutes Laden erforderlich ist). Absolut, wir versuchen dies mit dem anwesenden Benutzer zu tun - aber das ist nicht immer praktisch; Sie müssen einen Zeitplan einhalten.

Was ist mit Smartcards? Gibt es in einer AD-Umgebung 2010/2012 die Möglichkeit, dass eine Smartcard (vorübergehend) einem Domänenkonto zugeordnet wird? Dies würde den Zugriff auf das Benutzerkonto in voller Realität ermöglichen, ohne das Kennwort speziell preiszugeben. Die Karte konnte dann deaktiviert werden, wenn die Fehlerbehebung abgeschlossen war. Techniker könnten das Konto nutzen, aber die Karten könnten gut überwacht werden.

Wir verwenden seit Jahren Fingerabdruckleser, aber der Prozess, um diese für eine bestimmte Technologie einzurichten und dann den Druck zu löschen, ist einfach nicht durchführbar. Ich bin mir nicht sicher, wie komplex der Prozess sein würde, eine Smartcard für einen bestimmten Benutzer zu "autorisieren" und dann "zu deaktivieren", aber es scheint, als könnte dies ein anständiger Kompromiss sein.

Ja: Alles, was mit ihrem Profil gemacht werden muss. In diesem Fall müssen Sie entweder das Kennwort kennen oder es wie gesagt festlegen. Dann können sie es ändern, wenn Sie fertig sind.

Wenn Sie sich als dieser Benutzer anmelden, erteilen Sie ihm keine zusätzlichen Berechtigungen. Sie melden sich als sie mit ihren Berechtigungen an.