Apakah TI akan membutuhkan kata sandi domain pengguna?

Adakah yang harus dilakukan oleh administrator domain Windows saat mengonfigurasi workstation untuk pengguna baru yang sama sekali tidak dapat dilakukan tanpa kata sandi akun domain pengguna? Untuk menghindari meminta kata sandi kepada pengguna, admin dapat, secara teoritis, mengubah kata sandi, masuk sebagai pengguna, dan melakukan apa pun yang ingin mereka lakukan, tetapi apakah itu benar-benar memberi mereka izin tambahan yang belum mereka miliki dengan kebajikan menjadi administrator domain?

MEMPERBARUI:

Jawaban sejauh ini merujuk pada "penyetelan" atau mengubah profil pengguna. Namun, ada artikel ini dari Microsoft tentang memodifikasi profil default yang diterapkan untuk pengguna ketika mereka masuk untuk pertama kalinya dan petunjuk ini untuk mengubah pengaturan registri Windows pengguna lain kapan saja. Apa yang akan diubah oleh admin saat masuk sebagai pengguna yang admin tidak dapat ubah dengan menggunakan ini atau teknik lain yang tersedia yang tidak melibatkan login sebagai pengguna? Hanya "masuk sebagai pengguna" bukan alasan untuk meminta atau mengubah kata sandi pengguna. Saya mencari alasan praktis untuk melakukannya.

Administrator tidak dapat meminta atau meminta kata sandi pengguna.

Dalam keadaan di mana mungkin perlu bagi administrator untuk masuk sebagai pengguna (dan saya tidak percaya bahwa keadaan seperti itu ada), pengguna harus masuk dan mengawasi kegiatan administrator.

Alasan untuk ini adalah akuntabilitas. Merupakan tanggung jawab setiap pengguna untuk memastikan bahwa kata sandi mereka aman. Jika aktivitas jahat dilacak kembali ke kredensial pengguna, pengguna itu dapat dimintai pertanggungjawaban. Karena itu mereka perlu memastikan bahwa kredensial mereka tetap aman.

Ini juga merupakan tanggung jawab organisasi untuk memastikan bahwa ini tidak hanya diadopsi, tetapi ditegakkan. Ada kasus hukum di mana seseorang dalam suatu organisasi mengirim email berbahaya menggunakan kotak surat orang lain. Pemilik kotak surat akhirnya diberhentikan. Sementara mereka berpendapat bahwa mereka telah memberikan kata sandi mereka kepada orang lain, perusahaan bersikeras bahwa itu adalah tanggung jawab mereka untuk menjaga integritas kredensial mereka, dan oleh karena itu mereka bertanggung jawab, seperti yang ditentukan oleh kebijakan TI perusahaan mereka. Ini kemudian dibatalkan oleh pengadilan ketika pengguna ini membuktikan bahwa ada budaya endemik berbagi kata sandi dalam organisasi. Pengadilan memutuskan bahwa jika perusahaan tidak dapat terlihat secara aktif menegakkan kebijakan TI mereka, mereka tidak dapat mengandalkannya untuk akuntabilitas dalam keadaan ini.

Yang mengatakan jelas ada jurang pemisah antara teori dan praktik. Saya telah mengontrak perusahaan multinasional besar yang menyediakan, antara lain, layanan konsultasi TI, dan sebagai bagian dari prosedur terdokumentasi untuk peningkatan BUMN kami diminta untuk meminta kata sandi pengguna akhir.

Secara pribadi, saya mengambil pendekatan garis keras untuk ini. Saya tidak percaya bahwa meminta kata sandi (atau mengatur ulang kata sandi untuk mengakses akun pengguna) diperlukan. Jika ada beban kerja yang sangat meningkat untuk mengatasi ini, maka jadilah itu. Bukan alasan untuk kompromi keamanan. Saya kira saya hanya beruntung bahwa saya bukan manajer, jadi saya tidak harus bertanggung jawab atas keputusan ini ketika diperintahkan untuk melakukannya oleh seseorang yang lebih tinggi.

Mari kita perjelas: jika Anda seorang Admin Domain, Anda dapat menginstal perangkat lunak - driver perangkat muncul - yang benar-benar dapat melakukan apa saja. Namun, ini berbagai tingkat tidak praktis, mulai dari "Apa kunci registri untuk latar belakang desktop, lagi?" semua jalan hingga "Dan kemudian kita menghubungkan ke panggilan membaca file di dalam lapisan profil terenkripsi sehingga menipu Firefox untuk berpikir bahwa mereka telah menonaktifkan cookie dari doubleclick.net".

Anda meminta yang absolut, dan saya pikir itu cara yang salah untuk melihat ini, karena jawabannya adalah "Anda tidak pernah memerlukan kata sandi pengguna, sungguh ," yang sangat menyesatkan. Kenyataannya adalah bahwa sampai Microsoft memberikan (atau Anda menginstal perangkat lunak pihak ketiga untuk memungkinkan) kemampuan seperti * NIX's su/ sudo, Anda tidak akan pernah dapat dengan sempurna meniru akun pengguna untuk semua tujuan sambil mempertahankan kemiripan kewarasan, tanpa perlu sesekali. use – note Saya tidak mengatakan "pengungkapan!" - kata sandi mereka.

Banyak dari kita telah bekerja di lingkungan di mana pengungkapan kata sandi diperlukan karena berbagai alasan. Saya bahkan akan mengatakan bahwa kita semua menganggapnya sebagai ide yang buruk. Jika hal itu perlu dilakukan, pengguna akhir harus menyetujuinya, tidak dipaksa.

Kembali pada hari itu, seperti tahun 1998, departemen TI saya dulu meminta kata sandi pengguna ketika kami melakukan penggantian PC sehingga kami bisa mengaturnya persis seperti yang lama. Turun ke lokasi ikon. Ketika kami berada di lingkungan Novell NetWare tanpa domain WinNT yang sesuai, mengubah kata sandi jaringan mereka tidak mengubah kata sandi lokal mereka sehingga kami perlu memiliki kata sandi itu jika kami ingin memberikan tingkat layanan tanpa batas itu.

Itu 13 tahun yang lalu. Anda secara khusus bertanya tentang Windows Domains. Pada pekerjaan yang baru saja saya tinggalkan, sebuah Universitas besar, terserah kepada pengguna akhir apakah akan mengungkapkan kata sandi atau tidak di sana untuk pekerjaan apa pun yang sedang dilakukan. Dengan kata lain, pengguna akhir memilih untuk masuk daripada dipaksa oleh IT. Tipe eksekutif tertentu yang sangat sibuk di puncak org-chart umumnya memiliki asisten admin mereka masuk untuk mereka sehingga mudah bagi orang-orang TI untuk menyelinap masuk (persetujuan telah didelegasikan).

Di Windows, satu-satunya cara untuk menyetel Profil pengguna adalah dengan masuk sebagai pengguna itu. Jika profil itu perlu disetel dengan tangan untuk beberapa alasan (sisa penghapusan yang buruk yang menghalangi instalasi ulang, atau hal-hal aneh lainnya), orang IT tersebut harus masuk sebagai pengguna. Ini dapat dilakukan dengan memaksa perubahan kata sandi administratif, meminta pengguna mengungkapkan kata sandi mereka, atau meminta pengguna untuk memasukkan orang IT tersebut sebagai diri mereka sendiri dan membiarkan orang IT tersebut bekerja.

Beberapa aplikasi selama instalasi memerlukan kemampuan untuk membuat perubahan atau referensi profil pengguna (yaitu aplikasi CRM yang berintegrasi dengan Outlook) dengan menggunakan variabel lingkungan seperti% userprofile%, memodifikasi HK_CURRENT_USER, dan sejenisnya.

Meskipun Anda tentu saja dapat "merekayasa balik" instalasi dengan alat-alat seperti procmon dan kemudian secara manual memodifikasi profil pengguna, registri, dll. Setelah faktanya, ini sangat tidak efisien, tidak praktis, dan rawan kesalahan.

Benar-benar 100% tidak. Apa pun yang perlu dilakukan dengan akun pengguna lain harus dilakukan dengan mengatur ulang kata sandi pengguna, masuk, dan kemudian meminta pengguna memanggil helpdesk atau mengembalikan kata sandi ke sesuatu yang diminta oleh pengguna dan mengatur akun untuk memaksa kata sandi untuk diubah pada login selanjutnya. Meskipun mengakui bahwa saya telah bekerja di lingkungan yang cukup besar dan atau aman mengungkapkan kata sandi Anda kepada siapa pun biasanya alasan untuk penghentian (dan itu harus menjadi kasus dalam kebanyakan situasi)

Sebagian besar posting ini tampaknya cukup tua, tetapi semoga beberapa orang berpengetahuan masih aktif di utas, karena ini tampaknya akan terus menjadi topik saat ini.

Argumen pasti dapat dibuat bahwa Anda tidak perlu meminta kata sandi. Saya lebih suka memberi tahu pengguna saya "jangan pernah berbagi" ... dan ya, dalam kebanyakan kasus , konfigurasi dapat ditangani oleh administrator untuk pengguna. Tapi pemecahan masalah adalah urusan lain.

Kami mendukung program satu-ke-satu dengan 2600 siswa dan 500 karyawan. Kami menangani masalah perangkat lunak "aneh" setiap hari. Sering kali kita harus mengalami masalah sebagai pengguna untuk menyelesaikan masalah (atau menentukan dengan keyakinan bahwa suatu reload akan diperlukan). Tentu saja, kami mencoba melakukan ini dengan pengguna yang hadir - tetapi itu tidak selalu praktis; mereka memiliki jadwal untuk dipertahankan.

Bagaimana dengan kartu pintar? Apakah ada kelayakan dalam Lingkungan AD 2010/2012 bahwa kartu pintar dapat dikaitkan (sementara) dengan akun domain? Ini akan memungkinkan akses ke akun pengguna dalam kenyataan penuh, sambil tidak mengungkapkan kata sandi mereka secara khusus. Kartu kemudian dapat dinonaktifkan ketika pemecahan masalah selesai. Teknisi dapat memanfaatkan akun tersebut, tetapi kartunya dapat diawasi dengan baik.

Kami telah menggunakan pembaca sidik jari selama bertahun-tahun, tetapi proses untuk mengaturnya untuk teknologi tertentu, kemudian menghapus cetakan itu tidak layak. Saya tidak yakin seberapa rumit prosesnya untuk "mengotorisasi" dan kemudian "menonaktifkan" kartu pintar untuk pengguna tertentu, tetapi sepertinya itu bisa menjadi kompromi yang layak.

Ya: Apa pun yang perlu dilakukan untuk profil mereka. Ketika itu terjadi, Anda harus tahu kata sandi mereka, atau mengaturnya, seperti yang Anda katakan. Kemudian mereka bisa mengubahnya ketika Anda selesai.

Jika Anda masuk sebagai pengguna itu, Anda tidak memberi mereka izin tambahan. Anda masuk karena mereka dengan izin mereka.