Apakah TI akan membutuhkan kata sandi domain pengguna?

10

Adakah yang harus dilakukan oleh administrator domain Windows saat mengonfigurasi workstation untuk pengguna baru yang sama sekali tidak dapat dilakukan tanpa kata sandi akun domain pengguna? Untuk menghindari meminta kata sandi kepada pengguna, admin dapat, secara teoritis, mengubah kata sandi, masuk sebagai pengguna, dan melakukan apa pun yang ingin mereka lakukan, tetapi apakah itu benar-benar memberi mereka izin tambahan yang belum mereka miliki dengan kebajikan menjadi administrator domain?

MEMPERBARUI:

Jawaban sejauh ini merujuk pada "penyetelan" atau mengubah profil pengguna. Namun, ada artikel ini dari Microsoft tentang memodifikasi profil default yang diterapkan untuk pengguna ketika mereka masuk untuk pertama kalinya dan petunjuk ini untuk mengubah pengaturan registri Windows pengguna lain kapan saja. Apa yang akan diubah oleh admin saat masuk sebagai pengguna yang admin tidak dapat ubah dengan menggunakan ini atau teknik lain yang tersedia yang tidak melibatkan login sebagai pengguna? Hanya "masuk sebagai pengguna" bukan alasan untuk meminta atau mengubah kata sandi pengguna. Saya mencari alasan praktis untuk melakukannya.

windows domain Isaac Truett
sumber
2
Kecurigaan saya sebelum mengajukan pertanyaan ini adalah bahwa, meskipun administrasi Windows kadang-kadang bengkok, tidak ada yang mustahil bagi admin yang mungkin bagi pengguna akhir yang kurang beruntung. Motivator untuk meminta kata sandi pengguna, atau mengubah kata sandi mereka, dan masuk dengan akun mereka akan kurang pengalaman atau kenyamanan; entah admin tidak tahu bagaimana melakukan sesuatu atau tidak ingin bermain-main dengan pendaftar dan mengedit file konfigurasi dengan tangan dan tidak memiliki alat yang tersedia untuk melakukan perubahan yang diperlukan.
Isaac Truett
1
Anda mungkin ingin menulis ulang pertanyaan ini karena pada awalnya Anda bertanya tentang passswords pengguna kemudian Anda berubah menjadi login sebagai pengguna sama sekali. Ini adalah 2 masalah terpisah
Jim B
Bagaimana dengan menginstal aplikasi yang memerlukan akses ke profil Outlook pengguna (seperti aplikasi CRM yang menggunakan Outlook)? Anda berada di tangan skrip penginstal pengembang aplikasi.
gravyface
@ Jim Sebenarnya, saya mencoba untuk menghadang pengaturan ulang kata sandi pada kalimat kedua dari pertanyaan awal saya. Jika Anda mengatur ulang kata sandi pengguna, maka sekarang DO Anda memiliki kata sandi pengguna itu. Anda tidak memiliki kata sandi LAMA mereka. Saya mendapatkan jawaban yang tidak jelas tentang mengubah profil pengguna, jadi saya memberikan tautan yang menunjukkan bagaimana Anda bisa melakukan itu tanpa menyamar sebagai pengguna. Saya juga secara khusus menyebut "masuk sebagai pengguna" sebagai bukan tujuan akhir yang dapat diterima karena itu disebutkan dalam komentar sebagai sesuatu yang tidak dapat Anda lakukan tanpa meminta / mengubah kata sandi pengguna.
Isaac Truett
@gravyface Jadi jawaban Anda adalah "untuk menginstal perangkat lunak yang ditulis dengan buruk?" Menarik. Mau mempostingnya sebagai jawaban?
Isaac Truett

Jawaban:

12

Administrator tidak dapat meminta atau meminta kata sandi pengguna.

Dalam keadaan di mana mungkin perlu bagi administrator untuk masuk sebagai pengguna (dan saya tidak percaya bahwa keadaan seperti itu ada), pengguna harus masuk dan mengawasi kegiatan administrator.

Alasan untuk ini adalah akuntabilitas. Merupakan tanggung jawab setiap pengguna untuk memastikan bahwa kata sandi mereka aman. Jika aktivitas jahat dilacak kembali ke kredensial pengguna, pengguna itu dapat dimintai pertanggungjawaban. Karena itu mereka perlu memastikan bahwa kredensial mereka tetap aman.

Ini juga merupakan tanggung jawab organisasi untuk memastikan bahwa ini tidak hanya diadopsi, tetapi ditegakkan. Ada kasus hukum di mana seseorang dalam suatu organisasi mengirim email berbahaya menggunakan kotak surat orang lain. Pemilik kotak surat akhirnya diberhentikan. Sementara mereka berpendapat bahwa mereka telah memberikan kata sandi mereka kepada orang lain, perusahaan bersikeras bahwa itu adalah tanggung jawab mereka untuk menjaga integritas kredensial mereka, dan oleh karena itu mereka bertanggung jawab, seperti yang ditentukan oleh kebijakan TI perusahaan mereka. Ini kemudian dibatalkan oleh pengadilan ketika pengguna ini membuktikan bahwa ada budaya endemik berbagi kata sandi dalam organisasi. Pengadilan memutuskan bahwa jika perusahaan tidak dapat terlihat secara aktif menegakkan kebijakan TI mereka, mereka tidak dapat mengandalkannya untuk akuntabilitas dalam keadaan ini.

Yang mengatakan jelas ada jurang pemisah antara teori dan praktik. Saya telah mengontrak perusahaan multinasional besar yang menyediakan, antara lain, layanan konsultasi TI, dan sebagai bagian dari prosedur terdokumentasi untuk peningkatan BUMN kami diminta untuk meminta kata sandi pengguna akhir.

Secara pribadi, saya mengambil pendekatan garis keras untuk ini. Saya tidak percaya bahwa meminta kata sandi (atau mengatur ulang kata sandi untuk mengakses akun pengguna) diperlukan. Jika ada beban kerja yang sangat meningkat untuk mengatasi ini, maka jadilah itu. Bukan alasan untuk kompromi keamanan. Saya kira saya hanya beruntung bahwa saya bukan manajer, jadi saya tidak harus bertanggung jawab atas keputusan ini ketika diperintahkan untuk melakukannya oleh seseorang yang lebih tinggi.

Mat
sumber
5
Apakah Anda dengan serius menyarankan agar Anda tahu apa yang dapat diterima atau perlu dalam setiap situasi yang mungkin terjadi di planet ini?
John Gardeniers
3
Tentu saja tidak - jika seseorang dapat memberi saya contoh yang bertentangan, saya akan dengan senang hati menerimanya. Saya tidak berbicara tentang setiap situasi yang mungkin terjadi di planet ini, tetapi dengan mengatakan bahwa saya tidak mungkin memikirkan tujuan apa pun yang hanya dapat dicapai dengan mengkompromikan kredensial login pengguna.
Matt
2
Anda mengatakan "tentu saja tidak", yang sepenuhnya membatalkan kalimat pertama dari jawaban Anda. Saya sarankan Anda mengeditnya sesuai.
John Gardeniers
7
Mungkin saya tidak jelas. Saya mengambil pendekatan ilmiah. Hanya karena matahari telah terbit setiap hari selama lima miliar tahun terakhir bukan berarti saya dapat mengatakan dengan pasti bahwa matahari akan terbit besok. Tetapi jika Anda bertanya kepada saya, "akankah matahari terbit besok?", Saya akan mengatakan ya tanpa merasa perlu untuk lebih memenuhi syarat itu. Jadi saya menganggap pertanyaan Anda tentang "setiap situasi yang mungkin terjadi di planet ini" untuk menjadi kualifikasi yang sama-sama hipotetis dan abstrak.
Matt
3
dari ke pengaturan kepala pengguna baru saya datang ke pikiran - dan pikiran Anda jelas terjebak di sini. Pengguna baru = "Tidak ada pengguna yang memiliki kata sandi", jadi IT mengatur pengguna, lalu memberikan kata sandi kepada pengguna (yang segera berubah). Mereka tidak pernah bertanya kepada pengguna karena - ah pengguna pada saat ini tidak tahu kata sandi.
TomTom
18

Mari kita perjelas: jika Anda seorang Admin Domain, Anda dapat menginstal perangkat lunak - driver perangkat muncul - yang benar-benar dapat melakukan apa saja. Namun, ini berbagai tingkat tidak praktis, mulai dari "Apa kunci registri untuk latar belakang desktop, lagi?" semua jalan hingga "Dan kemudian kita menghubungkan ke panggilan membaca file di dalam lapisan profil terenkripsi sehingga menipu Firefox untuk berpikir bahwa mereka telah menonaktifkan cookie dari doubleclick.net".

Anda meminta yang absolut, dan saya pikir itu cara yang salah untuk melihat ini, karena jawabannya adalah "Anda tidak pernah memerlukan kata sandi pengguna, sungguh ," yang sangat menyesatkan. Kenyataannya adalah bahwa sampai Microsoft memberikan (atau Anda menginstal perangkat lunak pihak ketiga untuk memungkinkan) kemampuan seperti * NIX's su/ sudo, Anda tidak akan pernah dapat dengan sempurna meniru akun pengguna untuk semua tujuan sambil mempertahankan kemiripan kewarasan, tanpa perlu sesekali. use – note Saya tidak mengatakan "pengungkapan!" - kata sandi mereka.

BMDan
sumber
Poin yang sangat adil. Satu hal yang saya buat dalam jawaban singkat saya sendiri yang dihapus adalah bahwa tampaknya ada kurangnya dukungan alat di bidang ini.
Isaac Truett
pada titik sudo sejauh itu, model keamanan windows menghalangi penggunaan jenis sudo utilitas, karena itu berarti Anda dapat menjalankan aplikasi dalam konteks pengguna lain tanpa mengautentikasi sebagai pengguna terlebih dahulu (ada beberapa cara di sekitarnya tetapi mereka semua berusaha mengelilingi model keamanan).
Jim B
1
+1 - Jawaban ini mencakup realitas, dan juga teorinya.
John Gardeniers
8

Banyak dari kita telah bekerja di lingkungan di mana pengungkapan kata sandi diperlukan karena berbagai alasan. Saya bahkan akan mengatakan bahwa kita semua menganggapnya sebagai ide yang buruk. Jika hal itu perlu dilakukan, pengguna akhir harus menyetujuinya, tidak dipaksa.

Kembali pada hari itu, seperti tahun 1998, departemen TI saya dulu meminta kata sandi pengguna ketika kami melakukan penggantian PC sehingga kami bisa mengaturnya persis seperti yang lama. Turun ke lokasi ikon. Ketika kami berada di lingkungan Novell NetWare tanpa domain WinNT yang sesuai, mengubah kata sandi jaringan mereka tidak mengubah kata sandi lokal mereka sehingga kami perlu memiliki kata sandi itu jika kami ingin memberikan tingkat layanan tanpa batas itu.

Itu 13 tahun yang lalu. Anda secara khusus bertanya tentang Windows Domains. Pada pekerjaan yang baru saja saya tinggalkan, sebuah Universitas besar, terserah kepada pengguna akhir apakah akan mengungkapkan kata sandi atau tidak di sana untuk pekerjaan apa pun yang sedang dilakukan. Dengan kata lain, pengguna akhir memilih untuk masuk daripada dipaksa oleh IT. Tipe eksekutif tertentu yang sangat sibuk di puncak org-chart umumnya memiliki asisten admin mereka masuk untuk mereka sehingga mudah bagi orang-orang TI untuk menyelinap masuk (persetujuan telah didelegasikan).

Di Windows, satu-satunya cara untuk menyetel Profil pengguna adalah dengan masuk sebagai pengguna itu. Jika profil itu perlu disetel dengan tangan untuk beberapa alasan (sisa penghapusan yang buruk yang menghalangi instalasi ulang, atau hal-hal aneh lainnya), orang IT tersebut harus masuk sebagai pengguna. Ini dapat dilakukan dengan memaksa perubahan kata sandi administratif, meminta pengguna mengungkapkan kata sandi mereka, atau meminta pengguna untuk memasukkan orang IT tersebut sebagai diri mereka sendiri dan membiarkan orang IT tersebut bekerja.

sysadmin1138
sumber
Penyesuaian profil macam apa yang dapat Anda lakukan sebagai pengguna yang tidak dapat Anda lakukan dengan memodifikasi profil default seperti dijelaskan di sini sebelum pengguna masuk?
Isaac Truett
Sebagian besar, tidak, masih ada hal-hal yang perlu dikonfigurasi untuk pengguna tertentu. Misalnya, sebelum Outlook 2007 / Exchange 2007, Anda harus mengonfigurasi Outlook secara manual untuk pengguna itu. Sekarang dengan autodiscover, Anda mungkin dapat mempertimbangkan untuk membiarkan mereka mencobanya sendiri, tetapi tetap saja, sebagian besar administrator tidak akan melakukannya karena pengguna hanya ingin memulai ketika mereka masuk.
KCotreau
@KContreau Microsoft mengatakan di sini bahwa profil Outlook disimpan dalam registri, yang dapat diedit oleh admin dari akun mereka sendiri. Ada ide lain?
Isaac Truett
4
@IsaacTruett Secara teknis semuanya dapat dilakukan secara langsung melalui regedit atau mengedit file desktop.ini secara manual. Namun, banyak orang IT jauh lebih nyaman dengan alat UI. Sebagai jalan pintas, keliru meskipun mungkin, orang IT dapat meminta pengguna untuk melakukan salah satu dari tiga hal yang saya sebutkan (login untuk mereka, melalui reset kata sandi, atau memberikan kata sandi) dan menggunakan alat mereka tahu betul, GUI.
sysadmin1138
1
@KCotreau @Isaac Secara teknis Anda dapat menyalin sarang registri mereka ke profil admin untuk sementara, gunakan apa pun yang diperlukan untuk mengeditnya, lalu kembalikan. Ini Bukan Ide yang Baik ™ dalam 99% kasus. Saya tahu sangat sedikit keadaan di mana mengetahui kata sandi pengguna diperlukan akhir-akhir ini; dan semuanya terkait dengan kenyamanan bodoh (seperti contoh Netware yang diberikan SysAdmin1138).
Chris S
5

Beberapa aplikasi selama instalasi memerlukan kemampuan untuk membuat perubahan atau referensi profil pengguna (yaitu aplikasi CRM yang berintegrasi dengan Outlook) dengan menggunakan variabel lingkungan seperti% userprofile%, memodifikasi HK_CURRENT_USER, dan sejenisnya.

Meskipun Anda tentu saja dapat "merekayasa balik" instalasi dengan alat-alat seperti procmon dan kemudian secara manual memodifikasi profil pengguna, registri, dll. Setelah faktanya, ini sangat tidak efisien, tidak praktis, dan rawan kesalahan.

gravyface
sumber
1
+1. Saya pasti bisa melihat ini menjadi faktor. Sebagai seorang insinyur perangkat lunak, saya berpendapat bahwa ada cara yang lebih baik untuk menulis proses instalasi daripada mengharuskan pengguna akhir untuk login saat instalasi. Sebenarnya, ada produk perangkat lunak yang ada yang memungkinkan proses instalasi satu pengguna dan multi-pengguna yang berbeda, seperti Google Chrome .
Isaac Truett
@Isaac, saya yakin Anda telah mengabaikan prinsip dasar konfigurasi per pengguna, yang tidak dapat diurus oleh installer. Ambil contoh sebuah paket yang akan digunakan oleh banyak pengguna pada mesin yang diberikan, di mana setiap pengguna membutuhkan / menginginkan / membutuhkan konfigurasi yang berbeda dan mereka harus ada di tempat sebelum para pengguna mulai menggunakan paket tersebut.
John Gardeniers
@ John / Isaac: Saya berasumsi, John, Anda berbicara tentang menyelesaikan penyesuaian ini atas nama pengguna? Jika demikian, ya, poin bagus lain mengapa Anda ingin atau perlu masuk sebagai pengguna, terutama jika konfigurasi tidak dapat dimodifikasi di luar aplikasi (disimpan dalam format biner) dan terikat dengan pengguna yang saat ini masuk.
gravyface
itu betul. Menyetel ulang kata sandi pengguna dalam situasi seperti itu hanya menyebabkan masalah, serta mengganggu kemampuan mereka untuk melakukan apa pun yang sedang mereka lakukan di komputer lain.
John Gardeniers
4

Benar-benar 100% tidak. Apa pun yang perlu dilakukan dengan akun pengguna lain harus dilakukan dengan mengatur ulang kata sandi pengguna, masuk, dan kemudian meminta pengguna memanggil helpdesk atau mengembalikan kata sandi ke sesuatu yang diminta oleh pengguna dan mengatur akun untuk memaksa kata sandi untuk diubah pada login selanjutnya. Meskipun mengakui bahwa saya telah bekerja di lingkungan yang cukup besar dan atau aman mengungkapkan kata sandi Anda kepada siapa pun biasanya alasan untuk penghentian (dan itu harus menjadi kasus dalam kebanyakan situasi)

Jim B
sumber
1
Pernyataan yang terlalu luas. Ada banyak lingkungan di mana itu tidak akan berhasil. Saya akan pergi mungkin 98% tetapi tentu saja tidak 100%.
John Gardeniers
1
@ John Bisakah Anda memberikan contoh spesifik tentang sesuatu yang tidak mungkin dilakukan tanpa login sebagai pengguna akhir?
Isaac Truett
1
@ Isaac: ada banyak aplikasi yang, selama instalasi, referensi% userprofile% untuk penempatan file, mungkin membuat perubahan seperti menginstal toolbar di Word atau Outlook, dll. Tentu saja, Anda bisa duduk di sana dengan procmon berjalan, rajin merekam setiap registri, profil, dll. berubah, tetapi mengapa Anda mau repot?
gravyface
@ John, dapatkah Anda memberi saya contoh di mana tidak mungkin untuk mengatur ulang kata sandi pengguna seperti yang dijelaskan? Saya setuju bahwa ada tempat-tempat di mana pengguna terlalu puas atau admin terlalu malas, tapi saya belum pernah menemukan tempat di mana itu tidak bisa berfungsi.
Jim B
1
@ Jim, tempat saya bekerja, kita sering harus masuk sebagai orang lain dan mengatur ulang kata sandi hanya membuat orang kesal tanpa alasan yang baik. Kami memiliki lingkungan di mana kata sandi (untuk sebagian besar pengguna) tidak dirahasiakan dalam perusahaan. Saya tahu itu bertentangan dengan keinginan siapa pun yang bekerja di perusahaan besar dan itu adalah kejutan budaya nyata bagi saya ketika saya mulai di sini. Itu pilihan manajemen, bukan milikku, dan hanya itu.
John Gardeniers
3

Sebagian besar posting ini tampaknya cukup tua, tetapi semoga beberapa orang berpengetahuan masih aktif di utas, karena ini tampaknya akan terus menjadi topik saat ini.

Argumen pasti dapat dibuat bahwa Anda tidak perlu meminta kata sandi. Saya lebih suka memberi tahu pengguna saya "jangan pernah berbagi" ... dan ya, dalam kebanyakan kasus , konfigurasi dapat ditangani oleh administrator untuk pengguna. Tapi pemecahan masalah adalah urusan lain.

Kami mendukung program satu-ke-satu dengan 2600 siswa dan 500 karyawan. Kami menangani masalah perangkat lunak "aneh" setiap hari. Sering kali kita harus mengalami masalah sebagai pengguna untuk menyelesaikan masalah (atau menentukan dengan keyakinan bahwa suatu reload akan diperlukan). Tentu saja, kami mencoba melakukan ini dengan pengguna yang hadir - tetapi itu tidak selalu praktis; mereka memiliki jadwal untuk dipertahankan.

Bagaimana dengan kartu pintar? Apakah ada kelayakan dalam Lingkungan AD 2010/2012 bahwa kartu pintar dapat dikaitkan (sementara) dengan akun domain? Ini akan memungkinkan akses ke akun pengguna dalam kenyataan penuh, sambil tidak mengungkapkan kata sandi mereka secara khusus. Kartu kemudian dapat dinonaktifkan ketika pemecahan masalah selesai. Teknisi dapat memanfaatkan akun tersebut, tetapi kartunya dapat diawasi dengan baik.

Kami telah menggunakan pembaca sidik jari selama bertahun-tahun, tetapi proses untuk mengaturnya untuk teknologi tertentu, kemudian menghapus cetakan itu tidak layak. Saya tidak yakin seberapa rumit prosesnya untuk "mengotorisasi" dan kemudian "menonaktifkan" kartu pintar untuk pengguna tertentu, tetapi sepertinya itu bisa menjadi kompromi yang layak.

JABlaine
sumber
StackExchange beroperasi pada model yang berbeda dari forum tradisional dalam hal ini bukan utas diskusi melainkan pertanyaan yang diikuti oleh pilihan jawaban potensial. Pada sisi negatifnya, ini juga merupakan contoh pertanyaan yang buruk per FAQ kami .
Scott Pack
1

Ya: Apa pun yang perlu dilakukan untuk profil mereka. Ketika itu terjadi, Anda harus tahu kata sandi mereka, atau mengaturnya, seperti yang Anda katakan. Kemudian mereka bisa mengubahnya ketika Anda selesai.

Jika Anda masuk sebagai pengguna itu, Anda tidak memberi mereka izin tambahan. Anda masuk karena mereka dengan izin mereka.

KCotreau
sumber
kalahkan aku untuk itu. Sedang memikirkan aplikasi yang terintegrasi dengan Outlook terutama.
gravyface
Ya, jelas Anda tidak memberikan izin tambahan kepada pengguna. Pertanyaannya adalah, apa yang bisa dilakukan seorang admin dengan izin pengguna perorangan yang tidak bisa dilakukan oleh mereka, admin, dengan izin admin mereka sendiri? Jadi, apa yang akan dilakukan admin terhadap profil pengguna yang tidak dapat mereka lakukan dari akun admin mereka sendiri?
Isaac Truett
Jawaban atas pertanyaan Anda yang tidak dapat dilakukan admin: Cukup masuk sebagai pengguna itu. Ketika pengguna itu masuk, baru kemudian perubahan dapat dilakukan pada profil yang dikaitkan dengan pengguna itu. Ketika Anda masuk sebagai administrator, Anda masuk dengan profil administrator Anda.
KCotreau
Saya pikir saya salah membaca pertanyaan tetapi tidak, Anda tidak perlu kata sandi pengguna untuk melakukan apa pun pada profil.
Jim B