Alguma vez precisaria da senha de domínio de um usuário?

10

Existe algo que um administrador de domínio do Windows pode precisar fazer ao configurar uma estação de trabalho para um novo usuário que absolutamente não pode ser feito sem a senha da conta de domínio do usuário? Para evitar que os usuários solicitem suas senhas, o administrador poderia, teoricamente, alterar a senha, fazer o login como usuário e fazer o que quisesse, mas isso realmente daria a eles permissões adicionais que eles ainda não tinham. virtude de ser um administrador de domínio?

ATUALIZAÇÃO:

As respostas até agora se referem a "ajuste" ou a alteração do perfil do usuário. No entanto, há este artigo da Microsoft sobre como modificar o perfil padrão que é aplicado aos usuários quando eles fazem logon pela primeira vez e estas instruções para alterar o Windows de outro usuário configurações do registro a qualquer momento. O que um administrador alteraria enquanto estivesse conectado como usuário que o administrador não poderia alterar usando essas ou outras técnicas disponíveis que não envolvem o login como usuário? Apenas "fazer login como usuário" não é um motivo para solicitar ou alterar a senha do usuário. Estou à procura de uma razão prática para o fazer.

    
por Isaac Truett 24.05.2011 / 01:02

7 respostas

12

Não é aceitável nem necessário que um administrador solicite a senha de um usuário.

Nas circunstâncias em que pode ser necessário que um administrador efetue login como usuário (e não acredito que tais circunstâncias existam), o usuário deve fazer login e supervisionar as atividades do administrador.

A razão para isso é a responsabilidade. É da responsabilidade de cada usuário garantir que sua senha seja segura. Se atividades maliciosas fossem rastreadas até as credenciais de um usuário, esse usuário poderia ser responsabilizado. Portanto, eles precisam garantir que suas credenciais permaneçam seguras.

Também é responsabilidade da organização garantir que isso não seja apenas adotado, mas também cumprido. Houve um caso legal em que alguém em uma organização enviou um e-mail malicioso usando a caixa de correio de outra pessoa. O proprietário da caixa de correio foi finalmente descartado. Embora eles argumentassem que haviam dado sua senha a outra pessoa, a empresa insistiu que era sua responsabilidade manter a integridade de suas credenciais e, portanto, era responsável, conforme ditado pela política de TI da empresa. Isso foi então anulado por um tribunal quando este usuário provou que havia uma cultura de compartilhamento de senhas endêmica dentro da organização. O tribunal determinou que, se a empresa não pudesse ser vista para aplicar ativamente sua política de TI, não poderia contar com ela para prestar contas sob essas circunstâncias.

Dito isso, há claramente um abismo entre a teoria e a prática. Contratei uma grande empresa multinacional que fornece, entre outras coisas, serviços de consultoria de TI e, como parte do procedimento documentado para uma atualização de SOE, fomos instruídos a solicitar a senha do usuário final.

Pessoalmente, adoto uma abordagem rígida para isso. Não acredito que seja necessário solicitar senhas (ou reconfigurá-las para acessar a conta de um usuário). Se houver uma carga de trabalho muito maior para contornar isso, então que assim seja. Não é desculpa para comprometer a segurança. Eu acho que sou apenas afortunado por não ser um gerente, e por isso não tenho que me responsabilizar por essas decisões quando instruído a fazê-lo por alguém superior.

    
por 24.05.2011 / 05:45
16
Vamos ser claros: se você é um administrador de domínio, pode instalar um software - um driver de dispositivo vem à mente - que pode literalmente fazer qualquer coisa. No entanto, são vários graus de impraticáveis, variando de "Qual é a chave de registro para o plano de fundo da área de trabalho, novamente?" até "E, em seguida, conectamos a chamada de leitura de arquivo dentro da camada de perfil criptografado para evitar que o Firefox pense que desativou os cookies do doubleclick.net".

Você está pedindo um absoluto, e acho que é o jeito errado de ver isso, porque a resposta será "Você nunca precisa da senha do usuário, realmente ", o que é muito enganosa. A realidade é que, até que a Microsoft forneça (ou você instale software de terceiros para permitir) uma capacidade como% NPT su / sudo , você nunca será capaz de imitar perfeitamente a conta de um usuário para todos os fins, mantendo um semblante de sanidade, sem exigir uso ocasional - note que eu não disse "revelação!" - da senha deles.

    
por 24.05.2011 / 03:32
7

Muitos de nós já trabalhamos em ambientes onde a divulgação de senha era necessária por vários motivos. Vou até chegar a dizer que todos nós consideramos uma péssima ideia. Se isso precisa ser feito, o usuário final precisa consentir, não ser coagido.

De volta ao dia, como em 1998, meu departamento de TI costumava solicitar a senha de um usuário quando estávamos fazendo uma substituição de PC para que pudéssemos configurá-lo exatamente como eles tinham um antigo. Abaixo os locais dos ícones. Como estávamos em um ambiente Novell NetWare sem um domínio WinNT correspondente, a alteração da senha de rede não alterava a senha local, portanto, precisávamos ter essa senha se quiséssemos oferecer esse nível de serviço contínuo.

Isso foi há 13 anos. Você perguntou especificamente sobre o Windows Domains. No trabalho que acabei de deixar, uma grande universidade, cabia ao usuário final informar ou não uma senha ou estar lá para qualquer trabalho que estivesse sendo feito. Em outras palavras, o usuário final optou por , em vez de forçado pela TI. Certos tipos executivos muito ocupados no topo do organograma geralmente faziam com que o seu assistente de administração fizesse login para eles, então era fácil para o pessoal de TI entrar (o consentimento já havia sido delegado).

No Windows, a única maneira de sintonizar manualmente o perfil de um usuário é fazer login como esse usuário. Se esse perfil precisar de ajuste manual por algum motivo (uma desinstalação ruim deixada permanece atrapalhando a reinstalação ou outras coisas estranhas), a pessoa de TI precisará efetuar login como esse usuário. Isso pode ser feito forçando uma alteração de senha administrativa, fazendo com que o usuário divulgue sua senha ou fazendo com que o usuário registre a pessoa de TI como si e deixe a pessoa de TI trabalhar.

    
por 24.05.2011 / 01:13
4

Absolutamente 100% não. Qualquer coisa que precise ser feita com outra conta de usuário deve ser feita redefinindo a senha do usuário, efetuando login e fazendo com que o usuário chame o helpdesk ou a senha para algo no qual os usuários são informados e configure a conta para forçar a senha a ser alterada no próximo login. Embora admita que eu trabalhei em ambientes razoavelmente grandes e seguros, divulgar sua senha para qualquer pessoa geralmente é motivo para rescisão (e isso deve ser o caso na maioria das situações)

    
por 24.05.2011 / 01:33
4

Alguns aplicativos durante a instalação exigem a capacidade de fazer alterações ou fazer referência ao perfil do usuário (por exemplo, aplicativos CRM que se integram ao Outlook) usando variáveis de ambiente como% userprofile%, modificando HK_CURRENT_USER e semelhantes.

Embora você possa "fazer engenharia reversa" de uma instalação com ferramentas como procmon e depois modificar manualmente o perfil do usuário, o registro, etc. após o fato, isso é altamente ineficiente, impraticável e propenso a erros.

    
por 24.05.2011 / 03:08
2

A maioria desses posts parece bastante antiga, mas espero que alguns especialistas ainda estejam ativos no tópico, já que isso parece continuar sendo um tópico atual.

Argumentos certamente podem ser feitos de que você nunca deve ter que solicitar uma senha. Eu preferiria dizer aos meus usuários "nunca compartilhe" ... e sim, a configuração pode na maioria dos casos ser manipulada por um administrador para um usuário. Mas a solução de problemas é outro assunto.

Apoiamos um programa one-to-one com 2600 alunos e 500 funcionários. Nós lidamos com problemas de software "estranhos" diariamente. Muitas vezes, é o caso em que devemos experimentar o problema como o usuário, a fim de resolver o problema (ou determinar com alguma confiança que uma recarga será necessária). Absolutamente, tentamos fazer isso com o usuário presente - mas isso nem sempre é prático; eles têm um cronograma para manter.

E os cartões inteligentes? Existe alguma viabilidade em um ambiente AD 2010/2012 que um cartão inteligente pode ser associado (temporariamente) com uma conta de domínio? Isso permitiria o acesso à conta do usuário em plena realidade, sem expor sua senha especificamente. O cartão pode então ser desativado quando a solução de problemas estiver concluída. Os técnicos podem utilizar a conta, mas os cartões podem ser bem supervisionados.

Usamos os leitores de impressões digitais há anos, mas o processo de configurar isso para uma tecnologia específica e, em seguida, limpar essa impressão simplesmente não é viável. Não tenho certeza de quão complexo seria o processo de "autorizar" e depois "desativar" um cartão inteligente para um usuário em particular, mas parece que poderia ser um compromisso decente.

    
por 10.10.2013 / 14:43
1

Sim: Tudo o que precisa ser feito em seu perfil. Quando isso acontece, você deve saber sua senha ou configurá-la, como você disse. Então eles podem mudar quando você terminar.

Se você fizer login como esse usuário, não estará concedendo permissões adicionais. Você está fazendo login como eles com suas permissões.

    
por 24.05.2011 / 01:10