Будет ли когда-нибудь нужен пароль пользователя домена?

10

Есть ли что-то, что администратору домена Windows может понадобиться при настройке рабочей станции для нового пользователя, что абсолютно невозможно сделать без пароля учетной записи домена пользователя? Чтобы не запрашивать у пользователей свои пароли, теоретически администратор может изменить пароль, войти в систему как пользователь и делать все, что он хочет, но на самом деле это даст им какие-либо дополнительные разрешения, которых у него еще нет достоинство быть администратором домена?

ОБНОВИТЬ:

Ответы до сих пор ссылались на «настройку» или изменение профиля пользователя. Тем не менее, есть эта статья от Microsoft на изменение профиля по умолчанию , который будет применяться для пользователей при входе в систему в первый раз , и эти инструкции по изменению параметров реестра Windows , другого пользователя в любое время. Что изменит администратор, войдя в систему как пользователь, которого администратор не сможет изменить, используя эти или другие доступные методы, которые не включают вход в систему как пользователь? Просто «вход в систему как пользователь» не является причиной для запроса или изменения пароля пользователя. Я ищу практическую причину для этого.

windows domain Исаак Труетт
источник
2
Мое подозрение перед тем, как задавать этот вопрос, заключалось в том, что, несмотря на то, что администрирование Windows иногда может показаться странным, не было ничего, что было бы невозможно для администратора, что было бы возможно для менее привилегированного конечного пользователя. Мотиватором для запроса пароля пользователя или изменения его пароля и входа в систему с его учетной записью будет неопытность или удобство; либо администратор не знает, как что-либо сделать, либо не хочет возиться с реестрами и редактировать файлы конфигурации вручную, и не располагает инструментами для внесения необходимых изменений.
Исаак Труетт
1
Возможно, вы захотите переписать этот вопрос, так как сначала вы спрашиваете о пользователях passswords, а затем переключаетесь на вход в систему как пользователь вообще. Это 2 отдельных вопроса
Джим Б.
Как насчет установки приложения, которому требуется доступ к профилю Outlook пользователя (например, приложение CRM, использующее Outlook)? Вы находитесь в зависимости от установочного скрипта разработчика приложения.
gravyface
@Jim Вообще-то, я пытался избежать возможности сброса пароля во втором предложении моего первоначального вопроса. Если вы сбрасываете пароль пользователя, то у вас действительно есть пароль этого пользователя. У вас нет их старого пароля. Я получал расплывчатые ответы об изменении профиля пользователя, поэтому я предоставил ссылки, показывающие, как вы можете сделать это, не выдавая себя за пользователя. Я также специально назвал «вход в систему как пользователь» как неприемлемую конечную цель, потому что это было упомянуто в комментарии как нечто, что вы не могли сделать без запроса / изменения пароля пользователя.
Исаак Труетт
@gravyface Итак, ваш ответ "установить плохо написанное программное обеспечение?" Интересно. Хотите опубликовать это как ответ?
Исаак Труетт

Ответы:

12

Администратор не должен и не должен запрашивать пароль пользователя.

В обстоятельствах, когда администратору может потребоваться войти в систему как пользователь (и я не считаю, что такие обстоятельства существуют), пользователь должен войти в систему и контролировать действия администратора.

Причиной этого является ответственность. Каждый пользователь несет ответственность за безопасность своего пароля. Если вредоносная активность была отслежена до учетных данных пользователя, этот пользователь может быть привлечен к ответственности. Поэтому им необходимо убедиться, что их учетные данные остаются безопасными.

Организация также несет ответственность за обеспечение того, чтобы это не только принималось, но и выполнялось. Был юридический случай, когда кто-то в организации отправлял вредоносное письмо, используя чужой почтовый ящик. Владелец почтового ящика был в конечном итоге уволен. Хотя они утверждали, что передали свой пароль кому-то еще, компания настаивала на том, что они несут ответственность за поддержание целостности своих учетных данных, и поэтому они несут ответственность, как это было продиктовано политикой ИТ их компании. Затем это было отменено судом, когда этот пользователь доказал, что в организации существует культура совместного использования паролей. Суд постановил, что, если компания не сможет активно применять свою ИТ-политику, она не может полагаться на нее в качестве подотчетности в этих обстоятельствах.

Тем не менее, существует очевидная пропасть между теорией и практикой. Я заключил контракт с крупной многонациональной фирмой, которая предоставляет, помимо прочего, консультационные услуги в области ИТ, и в рамках документированной процедуры обновления SOE нам было поручено запросить пароль конечного пользователя.

Лично я придерживаюсь жесткого подхода к этому. Я не считаю, что запрашивать пароли (или переустанавливать их для доступа к учетной записи пользователя) необходимо. Если существует значительно возросшая нагрузка, чтобы обойти это, то пусть будет так. Это не повод для компрометации безопасности. Думаю, мне просто повезло, что я не менеджер, и поэтому мне не нужно брать на себя ответственность за эти решения, когда кто-то из вышестоящих поручит это сделать.

Matt
источник
5
Вы всерьез предполагаете, что знаете, что является приемлемым или необходимым в любой мыслимой ситуации на планете?
Джон Гарденье
3
Конечно нет - если кто-то может дать мне пример обратного, я с радостью приму это. Я не говорю о каждой мыслимой ситуации на планете, но с учетом сказанного я не могу себе представить ни одной цели, которая может быть достигнута только путем компрометации учетных данных пользователя.
Мэтт
2
Вы говорите «конечно нет», что полностью лишает законной силы первое предложение вашего ответа. Я предлагаю вам отредактировать его соответственно.
Джон Гарденье
7
Возможно, я не был ясен. Я придерживаюсь научного подхода. То, что солнце восходило каждый день в течение последних пяти миллиардов лет, не означает, что я могу с полной уверенностью сказать, что оно взойдет завтра. Но если вы спросите меня: «Солнце встанет завтра?», Я скажу «да», не чувствуя необходимости в дальнейшей квалификации. Поэтому я считаю ваш вопрос относительно «всех мыслимых ситуаций на планете» одинаково гипотетическим и абстрактным.
Мэтт
3
вне моей головы, новые настройки пользователя приходят на ум - и ваш разум, очевидно, застрял здесь. Новый пользователь = «У пользователя нет пароля», поэтому ИТ-специалист настраивает пользователя, а затем дает пользователю пароль (который изменяется немедленно). Они никогда не спрашивают пользователя, потому что - ах пользователь на данный момент не знает пароль.
TomTom
18

Давайте проясним: если вы являетесь администратором домена, вы можете установить программное обеспечение - драйвер устройства, который приходит на ум, - которое может буквально сделать все, что угодно. Тем не менее, это в разной степени нецелесообразно, начиная от "Какой раздел реестра для фона рабочего стола, опять же?" вплоть до «И затем мы подключаемся к вызову чтения файла в слое зашифрованного профиля, чтобы обмануть Firefox, думая, что они отключили куки с doubleclick.net».

Вы спрашиваете об абсолюте, и я думаю, что это неправильный способ взглянуть на это, потому что ответ будет: «Вам действительно не нужен пароль пользователя» , что очень вводит в заблуждение. Реальность такова, что до тех пор, пока Microsoft не предоставит (или вы не установите стороннее программное обеспечение, чтобы разрешить) такую ​​возможность, как * NIX's su/ sudo, вы никогда не сможете идеально имитировать учетную запись пользователя для всех целей, сохраняя при этом видимость здравомыслия, не требуя случайных Примечание об использовании я не сказал «раскрытие!» - их пароля.

BMDan
источник
Очень справедливый вопрос. В своем кратко удаленном ответе я высказал одно замечание: в этой области, похоже, не хватает инструментальной поддержки.
Исаак Труетт
С точки зрения sudo, модель безопасности Windows исключает использование утилиты типа sudo, так как это означает, что вы можете запускать приложения в контексте другого пользователя без предварительной аутентификации в качестве этого пользователя (есть способы обойти это, но все они прилагают усилия, чтобы обойти модель безопасности).
Джим Б.
1
+1 - Этот ответ хорошо охватывает реалии, а также теорию.
Джон Гарденье
8

Многие из нас работали в среде, где раскрытие пароля требовалось по разным причинам. Я даже пойду настолько далеко, что скажу, что все мы считаем это плохой идеей. Если это необходимо сделать, конечный пользователь должен дать на это согласие, а не быть принужденным.

Когда-то, как в 1998 году, мой ИТ-отдел раньше запрашивал пароль пользователя, когда мы делали замену ПК, чтобы мы могли настроить его точно так же, как у него был старый. Вплоть до расположения иконок. Поскольку мы находились в среде Novell NetWare без соответствующего домена WinNT, изменение их сетевого пароля не изменило их локальный пароль, поэтому нам нужно было иметь этот пароль, если мы хотим обеспечить такой уровень бесперебойного обслуживания.

Это было 13 лет назад. Вы специально спрашивали о доменах Windows. На работе, которую я только что покинул, в крупном университете, конечный пользователь мог решать, раскрывать ли пароль или нет, где бы он ни работал. Другими словами, конечный пользователь выбрал его, а не принудил ИТ. У некоторых очень занятых руководителей высшего звена в орг-диаграмме, как правило, входил помощник администратора, поэтому ИТ-специалистам было легко подключиться (согласие уже было делегировано).

В Windows единственный способ вручную настроить профиль пользователя - войти в систему под этим пользователем. Если по какой-либо причине этот профиль требует ручной настройки (остаются плохие деинсталляции, которые мешают переустановке, или другие странные вещи), ИТ-специалисту необходимо будет войти в систему как этот пользователь. Это может быть сделано путем принудительной смены административного пароля, когда пользователь раскрывает свой пароль, или когда пользователь регистрирует ИТ-сотрудника под себя и позволяет ИТ-специалисту работать.

sysadmin1138
источник
Какую настройку профиля вы могли бы сделать как пользователь, чего нельзя сделать, изменив профиль по умолчанию, как описано здесь, до того, как пользователь войдет в систему?
Исаак Труетт
По большей части, нет, все еще есть вещи, которые необходимо настроить для этого конкретного пользователя. Например, до Outlook 2007 / Exchange 2007 вам приходилось вручную настраивать Outlook для этого пользователя. Теперь, используя автообнаружение, вы можете подумать о том, чтобы позволить им попробовать самим, но, тем не менее, большинство администраторов этого не сделают, поскольку пользователи просто хотят, чтобы он запускался при входе в систему.
KCotreau
@KContreau Microsoft говорит здесь, что профили Outlook хранятся в реестре, который администратор может редактировать из своей учетной записи. Есть еще идеи?
Исаак Труетт
4
@IsaacTruett Технически все можно сделать напрямую через regedit или вручную отредактировать эти файлы desktop.ini. Однако многим ИТ-специалистам гораздо удобнее использовать инструменты пользовательского интерфейса. Как краткий, хотя и опрометчивый, ИТ-специалист может попросить пользователя сделать любую из трех упомянутых мной вещей (войти в систему, выполнить сброс пароля или дать пароль) и использовать инструменты они хорошо знают, графический интерфейс.
sysadmin1138
1
@KCotreau @Isaac Технически вы можете временно скопировать куст реестра в профиль администратора, использовать все необходимое для его редактирования, а затем вернуть обратно. Это не хорошая идея ™ в 99% случаев. Я знаю очень мало обстоятельств, когда в наши дни необходимо знать пароль пользователя; и все они связаны с немыми удобствами (как пример Netware, приведенный SysAdmin1138).
Крис С
5

Некоторым приложениям во время установки требуется возможность вносить изменения или ссылаться на профиль пользователя (например, приложения CRM, которые интегрируются с Outlook) путем использования переменных среды, таких как% userprofile%, изменения HK_CURRENT_USER и тому подобного.

Несмотря на то, что вы, безусловно, могли бы «перепроектировать» установку с помощью таких инструментов, как procmon, а затем вручную изменить профиль пользователя, реестр и т. Д., Это крайне неэффективно, непрактично и подвержено ошибкам.

gravyface
источник
1
+1. Я определенно мог видеть это как фактор. Как разработчик программного обеспечения, я бы сказал, что существуют лучшие способы написания процессов установки, чем требование входа конечного пользователя во время установки. Фактически существуют программные продукты, которые допускают разные однопользовательские и многопользовательские процессы установки, такие как Google Chrome .
Исаак Труетт
@ Isaac, я полагаю, вы упустили из виду фундаментальный принцип настройки для каждого пользователя, который не может быть использован установщиком. Возьмем, к примеру, пакет, который будет использоваться несколькими пользователями на данном компьютере, где каждый пользователь нуждается / хочет / требует различной конфигурации и должен быть на своем месте, прежде чем эти пользователи начнут использовать пакет.
Джон Гарденье
@ Джон / Исаак: Я предполагаю, Джон, вы говорите о завершении этой настройки от имени пользователя? Если это так, то да, еще одна хорошая причина, по которой вы хотите или должны входить в систему как пользователь, особенно если конфигурация не модифицируется вне приложения (хранится в двоичном формате) и привязана к текущему вошедшему в систему пользователю.
gravyface
это верно. Сброс пароля пользователя в такой ситуации просто вызывает проблемы, а также мешает его способности делать то, что он в настоящее время делает на другом компьютере.
Джон Гарденье
4

Абсолютно 100% нет. Все, что необходимо сделать с другой учетной записью пользователя, следует сделать, сбросив пароль пользователя, войдя в систему, а затем либо заставив пользователя вызвать службу поддержки, либо восстановив пароль для чего-либо, о чем говорят пользователи, и установив учетную запись для принудительного изменения пароля. при следующем входе. Признайте, что я работал в достаточно больших и безопасных средах, и раскрытие вашего пароля кому-либо обычно являлось основанием для увольнения (и так должно быть в большинстве ситуаций).

Джим Б
источник
1
Это слишком широкое утверждение. Есть много сред, где это просто не сработает. Я бы пошел на 98%, но не на 100%.
Джон Гарденерс
1
@John Можете ли вы привести конкретный пример того, что невозможно сделать, не войдя в систему как конечный пользователь?
Исаак Труетт
1
@Isaac: есть много приложений, которые во время установки ссылаются на% userprofile% для размещения файлов, возможно, вносят изменения, такие как установка панелей инструментов в Word или Outlook и т. Д. Конечно, вы можете сидеть там с запуском procmon, старательно записывать каждый реестр, профиль, и т.д. меняются, но с какой стати вы беспокоитесь?
Gravyface
@john, можете ли вы привести пример, где было бы невозможно сбросить пароль пользователя, как объяснено? Я бы согласился, что есть места, где пользователи слишком самодовольны или администраторы слишком ленивы, но мне еще не приходилось сталкиваться с местом, где это просто не могло работать.
Джим Б.
1
@ Джим, где я работаю, нам часто приходится входить в систему как другие, а сброс паролей просто бесит людей без уважительной причины. У нас есть среда, где пароли (для большинства пользователей) не являются секретными внутри компании. Я знаю, что это идет вразрез с каждым, кто работает в более крупных компаниях, и это был настоящий культурный шок для меня, когда я начал здесь. Это выбор руководства, а не мой, вот и все.
Джон Гарденье
3

Большинство из этих сообщений кажутся довольно старыми, но, надеюсь, некоторые осведомленные люди все еще активны в этой ветке, так как это, похоже, продолжает оставаться актуальной темой.

Конечно, можно привести аргументы, что вам никогда не придется запрашивать пароль. Я бы предпочел сказать своим пользователям "никогда не делиться" ... и да, конфигурация в большинстве случаев может быть обработана администратором для пользователя. Но устранение неполадок - другое дело.

Мы поддерживаем индивидуальную программу с 2600 студентами и 500 сотрудниками. Мы ежедневно решаем «странные» проблемы с программным обеспечением. Довольно часто мы сталкиваемся с проблемой как с пользователем, чтобы решить проблему (или с некоторой уверенностью определить, что потребуется перезагрузка). Безусловно, мы пытаемся сделать это с присутствующим пользователем - но это не всегда практично; у них есть график для поддержания.

А как насчет смарт-карт? Есть ли в среде AD 2010/2012 какая-либо возможность, чтобы смарт-карта могла быть (временно) связана с учетной записью домена? Это позволило бы получить доступ к учетной записи пользователя в полной мере, не раскрывая при этом свой пароль. Карта может быть деактивирована после устранения неполадок. Техники могли бы использовать учетную запись, но карты могли бы хорошо контролироваться.

Мы использовали устройства для считывания отпечатков пальцев в течение многих лет, но процесс его настройки для конкретной технологии, а затем очистки этого отпечатка просто невозможен. Я не уверен, насколько сложным будет процесс «авторизации», а затем «деактивации» смарт-карты для конкретного пользователя, но, похоже, это может быть достойным компромиссом.

JABlaine
источник
StackExchange работает по другой модели, нежели традиционные форумы, так как это не ветка обсуждения, а вопрос, за которым следует выбор возможных ответов. С другой стороны, это также плохой пример вопроса в нашем FAQ .
Скотт Пак
1

Да: все, что нужно сделать для их профиля. Когда это произойдет, вы либо должны знать их пароль, либо установить его, как вы сказали. Тогда они могут изменить это, когда вы закончите.

Если вы войдете в систему как этот пользователь, вы не дадите им дополнительные разрешения. Вы входите в систему как они со своими разрешениями.

KCotreau
источник
бей меня к этому. Особенно думал о приложениях, которые интегрируются с Outlook.
gravyface
Да, очевидно, вы не даете пользователю дополнительные разрешения. Вопрос в том, что администратор может сделать с разрешениями отдельного пользователя, которые они, администратор, не могут сделать с собственными разрешениями администратора? Итак, что бы администратор сделал с профилем пользователя, который он не мог бы сделать из своей учетной записи администратора?
Исаак Труетт
Ответ на ваш вопрос, что не может сделать администратор: просто войдите в систему как этот пользователь. Когда этот пользователь входит в систему, только тогда можно вносить изменения в профиль, связанный с этим пользователем. Когда вы входите в систему как администратор, вы входите в систему с помощью своего профиля администратора.
Котро
Я думал, что неправильно прочитал вопрос, но нет, вам не нужен пароль пользователя, чтобы что-то сделать с профилем.
Джим Б.