IT是否需要用户的域密码?

Modified on: Sat, 20 Jul 2019 10:20:03 +0800

在为没有用户的域帐户密码而绝对无法完成的新用户配置工作站时,Windows域管理员可能需要做什么吗?为了避免向用户询问他们的密码,理论上,管理员可以更改密码,以用户身份登录,并执行他们想做的任何事情,但这实际上会为他们提供他们尚未拥有的任何其他权限成为域管理员的好处?

更新强>

到目前为止,答案都提到了“调整”或更改用户的个人资料。但是,Microsoft的这篇文章修改了默认配置文件,这些配置文件在用户登录时会应用于用户这是第一次和这些说明可随时更改其他用户的Windows注册表设置。管理员无法使用这些或其他可能不涉及以用户身份登录的技术更改的用户登录时管理员会更改什么?只是“以用户身份登录”不是要求或更改用户密码的理由。我正在寻找实际这样做的理由。

作者:,Isaac Truett

最佳答案

管理员请求用户密码既不可接受也不必要。

在管理员可能需要以用户身份登录的情况下(我不认为存在这种情况),用户应该登录并监督管理员的活动。

原因是问责制。每个用户都有责任确保其密码安全。如果恶意活动被追溯到用户的凭据,则该用户可能被追究责任。因此,他们需要确保他们的凭据保持安全。

组织还有责任确保不仅采用,而且强制执行。有一个法律案例,组织中的某个人使用其他人的邮箱发送了恶意电子邮件。邮箱的所有者最终被解雇了。虽然他们认为他们已经将密码提供给其他人,但该公司坚持认为他们有责任维护其凭据的完整性,因此他们应该对其公司IT政策所规定的负责。当用户证明在组织内存在密码共享文化时,法院推翻了这一点。法院裁定,如果公司无法被视为积极执行其IT政策,那么在这种情况下,他们就不能依赖公司进行问责。

那说理论与实践之间显然存在鸿沟。我已经签约了一家主要的跨国公司,该公司提供IT咨询服务等,作为SOE升级的文件化程序的一部分,我们被要求请求最终用户的密码。

就个人而言,我采取强硬路线来解决这个问题。我不认为请求密码(或重新设置密码以访问用户的帐户)是必要的。如果有大量增加的工作量来解决这个问题,那就这样吧。妥协安全不是借口。我想我很幸运,我不是一名经理,所以在上级某人的指示下,不必为这些决定承担责任。

作者:Matt

相关问答

添加新评论