在为新用户配置工作站时,Windows 域管理员是否需要执行某些操作,而这些操作绝对不能在没有用户域帐户密码的情况下完成?为了避免询问用户密码,理论上管理员可以更改密码,以用户身份登录,然后执行任何他们想做的事情,但这实际上会赋予他们作为域管理员所不具备的额外权限吗?
更新:
到目前为止,答案都提到了“调整”或更改用户的个人资料。然而,这Microsoft 的文章介绍了如何修改用户首次登录时应用的默认配置文件,以及这些说明随时更改其他用户的 Windows 注册表设置。管理员在以用户身份登录时会更改哪些内容,而管理员无法使用这些或其他可用技术(不涉及以用户身份登录)进行更改?仅仅“以用户身份登录”并不是要求或更改用户密码的理由。我正在寻找实际的这样做的原因。
答案1
管理员要求用户提供密码是不可接受的,也是没有必要的。
在可能需要管理员以用户身份登录的情况下(我不认为存在这种情况),用户应该登录并监督管理员的活动。
这样做的原因是责任。每个用户都有责任确保他们的密码是安全的。如果恶意活动被追溯到用户的凭证,该用户可能会被追究责任。因此他们需要确保他们的凭证保持安全。
组织也有责任确保不仅采纳这项规定,而且要严格执行。曾经有一个法律案件,组织中的某个人使用他人的邮箱发送了一封恶意电子邮件。邮箱的所有者最终被解雇。虽然他们辩称自己将密码给了别人,但公司坚持认为,他们有责任维护其凭证的完整性,因此他们要承担责任,这是公司 IT 政策规定的。当这名用户证明组织内部普遍存在密码共享文化时,法院推翻了这一判决。法院裁定,如果公司没有积极执行其 IT 政策,在这种情况下,他们就不能依靠该政策来承担责任。
话虽如此,理论和实践之间显然存在差距。我曾与一家大型跨国公司签订过合同,该公司除其他服务外还提供 IT 咨询服务,作为 SOE 升级的记录程序的一部分,我们被指示要求提供最终用户的密码。
就我个人而言,我对此持强硬态度。我认为没有必要要求输入密码(或重新设置密码以访问用户帐户)。如果要解决这个问题会增加大量工作量,那就这样吧。这不是妥协安全性的借口。我想我很幸运我不是经理,所以当上级指示我这样做时,我不必为这些决定负责。
答案2
让我们明确一点:如果您是域管理员,您可以安装一个软件(我想到的是设备驱动程序),它可以做任何事情。但是,它的不切实际程度各不相同,从“桌面背景的注册表项是什么?”一直到“然后我们挂接到加密配置文件层内的文件读取调用,以欺骗 Firefox 认为他们已禁用来自 doubleclick.net 的 cookie”。
你要求的是绝对的,我认为这是错误的看法,因为答案将是“你永远不需要用户的密码,真的”,这非常具有误导性。事实是,除非微软提供(或您安装第三方软件来允许)像 *NIX 的su/这样的功能sudo,否则您将永远无法完美地模仿用户的帐户以用于所有目的,同时保持表面上的理智,而无需偶尔使用(请注意,我没有说“披露!”)他们的密码。
答案3
我们中的许多人都曾在因各种原因而需要披露密码的环境中工作过。我甚至可以说,我们所有人都认为这是一个坏主意。如果需要这样做,最终用户需要同意,而不是被迫。
早在 1998 年,当我们更换 PC 时,我的 IT 部门就经常要求用户提供密码,以便我们能够像用户原来的 PC 一样设置它。甚至图标位置。由于我们处于没有相应 WinNT 域的 Novell NetWare 环境中,更改他们的网络密码不会更改他们的本地密码,因此如果我们想要提供这种级别的无缝服务,我们就需要该密码。
那是 13 年前的事了。你特别问到了 Windows 域。在我刚离开的那家大型大学里,最终用户是否要透露密码或是否在场参与任何工作都取决于最终用户。换句话说,最终用户选择加入而不是 IT 强制执行。某些非常忙碌的高管通常会让他们的行政助理为他们登录,因此 IT 人员很容易潜入(已经获得授权同意)。
在 Windows 中,唯一的方法是手调用户配置文件的首要任务是作为该用户登录。如果出于某种原因(卸载失败,导致无法重新安装,或其他奇怪的东西)需要手动调整该配置文件,IT 人员将需要以该用户身份登录。这可以通过强制更改管理密码、让用户透露其密码或让用户以自己的身份登录 IT 人员并让 IT 人员工作来实现。
答案4
绝对不是。任何需要对其他用户帐户进行的操作都应该通过重置用户密码、登录,然后让用户致电帮助台或将密码重置为用户被告知的某个密码,并将帐户设置为在下次登录时强制更改密码来完成。虽然我承认我曾在相当大或安全的环境中工作过,但向任何人泄露密码通常是被解雇的理由(在大多数情况下应该如此)