Alguma vez precisaria da senha de domínio de um usuário?

Não é aceitável nem necessário que um administrador solicite a senha de um usuário.

Nas circunstâncias em que pode ser necessário que um administrador efetue login como usuário (e não acredito que tais circunstâncias existam), o usuário deve fazer login e supervisionar as atividades do administrador.

A razão para isso é a responsabilidade. É da responsabilidade de cada usuário garantir que sua senha seja segura. Se atividades maliciosas fossem rastreadas até as credenciais de um usuário, esse usuário poderia ser responsabilizado. Portanto, eles precisam garantir que suas credenciais permaneçam seguras.

Também é responsabilidade da organização garantir que isso não seja apenas adotado, mas também cumprido. Houve um caso legal em que alguém em uma organização enviou um e-mail malicioso usando a caixa de correio de outra pessoa. O proprietário da caixa de correio foi finalmente descartado. Embora eles argumentassem que haviam dado sua senha a outra pessoa, a empresa insistiu que era sua responsabilidade manter a integridade de suas credenciais e, portanto, era responsável, conforme ditado pela política de TI da empresa. Isso foi então anulado por um tribunal quando este usuário provou que havia uma cultura de compartilhamento de senhas endêmica dentro da organização. O tribunal determinou que, se a empresa não pudesse ser vista para aplicar ativamente sua política de TI, não poderia contar com ela para prestar contas sob essas circunstâncias.

Dito isso, há claramente um abismo entre a teoria e a prática. Contratei uma grande empresa multinacional que fornece, entre outras coisas, serviços de consultoria de TI e, como parte do procedimento documentado para uma atualização de SOE, fomos instruídos a solicitar a senha do usuário final.

Pessoalmente, adoto uma abordagem rígida para isso. Não acredito que seja necessário solicitar senhas (ou reconfigurá-las para acessar a conta de um usuário). Se houver uma carga de trabalho muito maior para contornar isso, então que assim seja. Não é desculpa para comprometer a segurança. Eu acho que sou apenas afortunado por não ser um gerente, e por isso não tenho que me responsabilizar por essas decisões quando instruído a fazê-lo por alguém superior.

Você está pedindo um absoluto, e acho que é o jeito errado de ver isso, porque a resposta será "Você nunca precisa da senha do usuário, realmente ", o que é muito enganosa. A realidade é que, até que a Microsoft forneça (ou você instale software de terceiros para permitir) uma capacidade como% NPT su / sudo , você nunca será capaz de imitar perfeitamente a conta de um usuário para todos os fins, mantendo um semblante de sanidade, sem exigir uso ocasional - note que eu não disse "revelação!" - da senha deles.

Muitos de nós já trabalhamos em ambientes onde a divulgação de senha era necessária por vários motivos. Vou até chegar a dizer que todos nós consideramos uma péssima ideia. Se isso precisa ser feito, o usuário final precisa consentir, não ser coagido.

De volta ao dia, como em 1998, meu departamento de TI costumava solicitar a senha de um usuário quando estávamos fazendo uma substituição de PC para que pudéssemos configurá-lo exatamente como eles tinham um antigo. Abaixo os locais dos ícones. Como estávamos em um ambiente Novell NetWare sem um domínio WinNT correspondente, a alteração da senha de rede não alterava a senha local, portanto, precisávamos ter essa senha se quiséssemos oferecer esse nível de serviço contínuo.

Isso foi há 13 anos. Você perguntou especificamente sobre o Windows Domains. No trabalho que acabei de deixar, uma grande universidade, cabia ao usuário final informar ou não uma senha ou estar lá para qualquer trabalho que estivesse sendo feito. Em outras palavras, o usuário final optou por , em vez de forçado pela TI. Certos tipos executivos muito ocupados no topo do organograma geralmente faziam com que o seu assistente de administração fizesse login para eles, então era fácil para o pessoal de TI entrar (o consentimento já havia sido delegado).

No Windows, a única maneira de sintonizar manualmente o perfil de um usuário é fazer login como esse usuário. Se esse perfil precisar de ajuste manual por algum motivo (uma desinstalação ruim deixada permanece atrapalhando a reinstalação ou outras coisas estranhas), a pessoa de TI precisará efetuar login como esse usuário. Isso pode ser feito forçando uma alteração de senha administrativa, fazendo com que o usuário divulgue sua senha ou fazendo com que o usuário registre a pessoa de TI como si e deixe a pessoa de TI trabalhar.

Absolutamente 100% não. Qualquer coisa que precise ser feita com outra conta de usuário deve ser feita redefinindo a senha do usuário, efetuando login e fazendo com que o usuário chame o helpdesk ou a senha para algo no qual os usuários são informados e configure a conta para forçar a senha a ser alterada no próximo login. Embora admita que eu trabalhei em ambientes razoavelmente grandes e seguros, divulgar sua senha para qualquer pessoa geralmente é motivo para rescisão (e isso deve ser o caso na maioria das situações)

Alguns aplicativos durante a instalação exigem a capacidade de fazer alterações ou fazer referência ao perfil do usuário (por exemplo, aplicativos CRM que se integram ao Outlook) usando variáveis de ambiente como% userprofile%, modificando HK_CURRENT_USER e semelhantes.

Embora você possa "fazer engenharia reversa" de uma instalação com ferramentas como procmon e depois modificar manualmente o perfil do usuário, o registro, etc. após o fato, isso é altamente ineficiente, impraticável e propenso a erros.

A maioria desses posts parece bastante antiga, mas espero que alguns especialistas ainda estejam ativos no tópico, já que isso parece continuar sendo um tópico atual.

Argumentos certamente podem ser feitos de que você nunca deve ter que solicitar uma senha. Eu preferiria dizer aos meus usuários "nunca compartilhe" ... e sim, a configuração pode na maioria dos casos ser manipulada por um administrador para um usuário. Mas a solução de problemas é outro assunto.

Apoiamos um programa one-to-one com 2600 alunos e 500 funcionários. Nós lidamos com problemas de software "estranhos" diariamente. Muitas vezes, é o caso em que devemos experimentar o problema como o usuário, a fim de resolver o problema (ou determinar com alguma confiança que uma recarga será necessária). Absolutamente, tentamos fazer isso com o usuário presente - mas isso nem sempre é prático; eles têm um cronograma para manter.

E os cartões inteligentes? Existe alguma viabilidade em um ambiente AD 2010/2012 que um cartão inteligente pode ser associado (temporariamente) com uma conta de domínio? Isso permitiria o acesso à conta do usuário em plena realidade, sem expor sua senha especificamente. O cartão pode então ser desativado quando a solução de problemas estiver concluída. Os técnicos podem utilizar a conta, mas os cartões podem ser bem supervisionados.

Usamos os leitores de impressões digitais há anos, mas o processo de configurar isso para uma tecnologia específica e, em seguida, limpar essa impressão simplesmente não é viável. Não tenho certeza de quão complexo seria o processo de "autorizar" e depois "desativar" um cartão inteligente para um usuário em particular, mas parece que poderia ser um compromisso decente.

Sim: Tudo o que precisa ser feito em seu perfil. Quando isso acontece, você deve saber sua senha ou configurá-la, como você disse. Então eles podem mudar quando você terminar.

Se você fizer login como esse usuário, não estará concedendo permissões adicionais. Você está fazendo login como eles com suas permissões.