Han*_*ank 2 password active-directory
我们的办公室使用带有 Active Directory 的 Windows 域来管理用户对机器和网络资源的访问。IT 人员维护每个用户的密码记录,主要用于故障排除。例如,有时问题仅在以“普通”用户而非管理员身份登录时出现。此外,这让 IT 管理员可以为本地用户配置软件、检查设置等。
保留此密码列表是否被认为是不好的做法?理论上,只有管理员才能访问它。是否有某种方法可以使用管理员凭据以本地用户身份登录,从而无需存储用户密码?
(一点背景知识:办公室有大约 30 个用户,其中有 2 个 IT 管理员。一些用户可以通过 VPN 进行远程访问。)
这被认为是不好的做法,无论是对于密码安全还是身份管理。在任何地方都有一个可用的明文密码列表是不应该做的,或者如果它完全完成了,它需要保持离线状态并具有严格的(和可审计的)访问控制。身份管理违规是此类密码列表允许有权访问密码列表的用户在该人不知情的情况下冒充该列表中的任何人。
Microsoft 的政策是,如果需要此类本地配置文件访问权限,则需要访问权限的技术人员:
在这两种情况下,用户都知道他们的电子身份被他人冒充。是的,这可能会导致“不需要的”密码重置,因为在本地配置文件上完成工作以识别问题,但现有的密码策略需要适应此类操作。这对技术人员和非技术人员是否都造成不便?是的。
不过考虑一下。如果您的一个用户在他们的工作站上发现了他们不应该拥有的东西,这种事情可能会导致解雇或刑事起诉,拥有这样的密码列表将无法证明他们并且只有他们将这些数据放在那里。如果最终出现在法庭上(错误终止或为刑事指控辩护),这将成为非常重要的一点。为了您自己的保护,即使系统管理员也需要对密码保密。
| 归档时间: |
|
| 查看次数: |
12114 次 |
| 最近记录: |