在为新用户配置工作站时,如果没有用户的域帐户密码,Windows 域管理员是否可能需要做任何事情?为了避免询问用户密码,理论上,管理员可以更改密码,以用户身份登录,并做他们想做的任何事情,但这实际上会给他们任何他们还没有的额外权限吗?作为域管理员的优点?
更新:
到目前为止,答案都提到了“调整”或更改用户的个人资料。然而,有这样的文章从微软修改登录时首次和被应用到用户默认的配置文件,这些指令在任何时候更改其他用户的Windows注册表设置。管理员在以用户身份登录时会更改哪些管理员无法使用这些或其他不涉及以用户身份登录的可用技术进行更改的内容?仅仅“以用户身份登录”并不是要求或更改用户密码的理由。我正在寻找这样做的实际原因。
BMD*_*Dan 18
让我们明确一点:如果您是域管理员,您可以安装一个软件——一个设备驱动程序——它实际上可以做任何事情。但是,它有不同程度的不切实际,例如“桌面背景的注册表项是什么?” 一直到“然后我们连接到加密配置文件层内的文件读取调用,以欺骗 Firefox,使其认为他们已禁用来自 doubleclick.net 的 cookie”。
您要求的是绝对值,我认为这是错误的看待方式,因为答案将是“您永远不需要用户的密码,真的”,这是非常具有误导性的。现实情况是,除非 Microsoft 提供(或您安装第三方软件以允许)像 *NIX 的su/ 之类的功能,否则您sudo将永远无法完美地模仿用户的帐户以用于所有目的,同时保持表面上的理智,而不需要偶尔用法——注意我没有说“披露!”——他们的密码。
Mat*_*att 12
管理员要求用户的密码既不可接受也不必要。
在管理员可能需要以用户身份登录的情况下(我认为不存在这种情况),用户应该登录并监督管理员的活动。
这样做的原因是问责制。每个用户都有责任确保他们的密码是安全的。如果恶意活动追溯到用户的凭据,则该用户可能会被追究责任。因此,他们需要确保其凭据保持安全。
组织还有责任确保这不仅被采纳,而且得到执行。有一个法律案例,组织中的某个人使用其他人的邮箱发送了恶意电子邮件。邮箱的主人最终被解雇。虽然他们争辩说他们已将密码提供给其他人,但公司坚持认为维护其凭据的完整性是他们的责任,因此他们应按照公司 IT 政策的规定承担责任。当该用户证明组织内部存在密码共享文化时,这被法院推翻了。法院裁定,如果公司不能被视为积极执行其 IT 政策,则在这种情况下,他们不能依靠它来承担责任。
也就是说,理论和实践之间显然存在鸿沟。我与一家大型跨国公司签订了合同,该公司提供 IT 咨询服务等服务,并且作为 SOE 升级的书面程序的一部分,我们被要求索取最终用户的密码。
就个人而言,我对此采取强硬态度。我认为不需要请求密码(或重新设置密码以访问用户帐户)。如果解决这个问题的工作量大大增加,那就这样吧。这不是危及安全的借口。我想我只是幸运,因为我不是经理,因此当更高级别的人指示这样做时,不必为这些决定负责。
我们中的许多人都曾在因各种原因需要披露密码的环境中工作过。我什至会说我们所有人都认为这是一个坏主意。如果需要这样做,最终用户需要同意,而不是被胁迫。
回到过去,就像 1998 年一样,我的 IT 部门过去常常在我们更换 PC 时要求提供用户密码,这样我们就可以像他们的旧电脑一样设置它。向下到图标位置。由于我们处于没有相应 WinNT 域的 Novell NetWare 环境中,因此更改他们的网络密码并不会更改他们的本地密码,因此如果我们想要提供这种级别的无缝服务,我们需要拥有该密码。
那是 13 年前的事了。您专门询问了 Windows 域。在我刚刚离开的工作中,一所大型大学,最终用户是否透露密码或在那里完成任何工作取决于最终用户。换句话说,最终用户选择加入它,而不是被 IT 强迫。组织结构图中某些非常忙碌的高管类型通常让他们的管理助理为他们登录,因此 IT 人员很容易进入(同意已经授权)。
在 Windows 中,手动调整用户配置文件的唯一方法是以该用户身份登录。如果由于某种原因该配置文件需要手动调整(残留的不良卸载会妨碍重新安装或其他奇怪的东西),则 IT 人员将需要以该用户身份登录。这可以通过强制更改管理密码、让用户公开其密码或让用户以自己的身份登录 IT 人员并让 IT 人员工作来实现。
安装期间的某些应用程序需要能够通过使用环境变量(如 %userprofile%)、修改 HK_CURRENT_USER 等来更改或引用用户的配置文件(即与 Outlook 集成的 CRM 应用程序)。
虽然您当然可以使用 procmon 等工具对安装进行“逆向工程”,然后在事后手动修改用户的配置文件、注册表等,但这是非常低效、不切实际且容易出错的。
| 归档时间: |
|
| 查看次数: |
8056 次 |
| 最近记录: |