Pregunta ¿Alguna vez necesitaría la contraseña de dominio de un usuario?


¿Hay algo que deba hacer un administrador de dominio de Windows al configurar una estación de trabajo para un nuevo usuario que no se puede hacer sin la contraseña de la cuenta de dominio del usuario? Para evitar pedirles a los usuarios sus contraseñas, el administrador podría, teóricamente, cambiar la contraseña, iniciar sesión como usuario y hacer lo que sea que querían hacer, pero eso les daría permisos adicionales que aún no tienen. ¿La virtud de ser un administrador de dominio?

ACTUALIZAR:

Las respuestas hasta ahora se han referido a "ajustar" o cambiar el perfil del usuario. Sin embargo, hay esta artículo de Microsoft sobre la modificación del perfil predeterminado que se aplica a los usuarios cuando inician sesión por primera vez y estas instrucciones para cambiar la configuración de registro de Windows de otro usuario en cualquier momento. ¿Qué cambiaría un administrador al iniciar sesión como usuario que el administrador no podría cambiar usando estas u otras técnicas disponibles que no impliquen iniciar sesión como usuario? Simplemente "iniciar sesión como usuario" no es una razón para solicitar o cambiar la contraseña del usuario. Estoy buscando práctico razón para hacerlo.


10
2018-05-23 23:02


origen


Antes de hacer esta pregunta, mi sospecha era que, aunque la administración de Windows podía ser retorcida, a veces no había nada que fuera imposible para un administrador que sería posible para un usuario final menos privilegiado. El motivador para solicitar la contraseña de un usuario, o cambiar su contraseña e iniciar sesión con su cuenta sería inexperto o conveniente; el administrador no sabe cómo hacer algo o no quiere jugar con los registros y editar los archivos de configuración a mano y no tiene herramientas disponibles para realizar los cambios necesarios. - Isaac Truett
Es posible que desee volver a escribir esta pregunta ya que al principio pregunta acerca de las contraseñas de los usuarios y luego cambia para iniciar sesión como usuario. Estos son 2 temas separados - Jim B
¿Qué tal instalar una aplicación que requiere acceso al perfil de Outlook del usuario (como una aplicación de CRM que usa Outlook)? Estás a merced del script de instalación del desarrollador de la aplicación. - gravyface
@Jim En realidad, traté de evitar la avenida de restablecimiento de contraseña en la segunda oración de mi pregunta original. Si restablece la contraseña de un usuario, entonces TIENE la contraseña de ese usuario. No tienes su contraseña vieja. Recibía respuestas vagas sobre cómo cambiar el perfil de un usuario, así que proporcioné enlaces que mostraban cómo se podía hacer eso sin hacerse pasar por el usuario. También mencioné específicamente que "iniciar sesión como usuario" no es un objetivo final aceptable porque eso se mencionó en un comentario como algo que no se podía hacer sin solicitar / cambiar la contraseña del usuario. - Isaac Truett
@gravyface ¿Entonces tu respuesta es "instalar software mal escrito?" Interesante. ¿Te importa publicarlo como respuesta? - Isaac Truett


Respuestas:


No es aceptable ni necesario que un administrador solicite la contraseña de un usuario.

En las circunstancias en las que puede ser necesario que un administrador inicie sesión como usuario (y no creo que existan tales circunstancias), el usuario debe iniciar sesión y supervisar las actividades del administrador.

La razón de esto es la responsabilidad. Es responsabilidad de cada usuario asegurarse de que su contraseña sea segura. Si la actividad maliciosa se remonta a las credenciales de un usuario, ese usuario podría ser responsabilizado. Por lo tanto, deben asegurarse de que sus credenciales permanezcan seguras.

También es responsabilidad de la organización garantizar que esto no solo se adopte, sino que se haga cumplir. Hubo un caso legal en el que alguien de una organización envió un correo electrónico malicioso utilizando el buzón de otra persona. El propietario del buzón fue finalmente despedido. Mientras argumentaban que habían dado su contraseña a otra persona, la compañía insistió en que era su responsabilidad mantener la integridad de sus credenciales y, por lo tanto, eran responsables, como lo dictaba la política de TI de su empresa. Esto fue anulado por un tribunal cuando este usuario demostró que existía una cultura de intercambio de contraseña endémica dentro de la organización. El tribunal dictaminó que si no se podía ver a la compañía para hacer cumplir activamente su política de TI, no podían confiar en ella para la rendición de cuentas en estas circunstancias.

Dicho esto, existe una clara brecha entre la teoría y la práctica. Contraté a una importante empresa multinacional que brinda, entre otras cosas, servicios de asesoría de TI y, como parte del procedimiento documentado para una actualización de SOE, se nos indicó que solicitaran la contraseña del usuario final.

Personalmente, tomo un enfoque de línea dura para esto. No creo que sea necesario solicitar contraseñas (o restablecerlas para acceder a la cuenta de un usuario). Si hay una carga de trabajo mucho mayor para solucionar esto, que así sea. No es excusa para comprometer la seguridad. Supongo que soy afortunado de no ser gerente y, por lo tanto, no tengo que asumir la responsabilidad de estas decisiones cuando alguien más lo indique.


12
2018-05-24 03:45



¿Estás sugiriendo seriamente que sabes lo que es aceptable o necesario en cada situación concebible en el planeta? - John Gardeniers
Por supuesto que no: si alguien me puede dar un ejemplo de lo contrario, lo aceptaré con gusto. No estoy hablando de todas las situaciones concebibles en el planeta, pero dicho esto no puedo concebir ningún objetivo que solo pueda lograrse comprometiendo las credenciales de inicio de sesión de un usuario. - Matt
Dice "por supuesto que no", lo que invalida completamente la primera oración de su respuesta. Te sugiero que lo edites en consecuencia. - John Gardeniers
Tal vez no estaba claro. Estoy tomando un enfoque científico. El hecho de que el sol haya salido todos los días durante los últimos cinco mil millones de años no significa que pueda decir con absoluta certeza que saldrá mañana. Pero si me preguntas, "¿saldrá el sol mañana?", Diré que sí sin sentir la necesidad de calificarlo más. Entonces, tomo su pregunta con respecto a "cualquier situación concebible en el planeta" como una calificación igualmente hipotética y abstracta. - Matt
de mi mente, la nueva configuración de usuario me viene a la mente, y obviamente su mente está atascada aquí. Nuevo usuario = "Ningún usuario tiene la contraseña", por lo que TI configura al usuario, luego le da la contraseña (quien cambia inmediatamente). Nunca le preguntan al usuario porque, ah, el usuario en este punto no conoce la contraseña. - TomTom


Seamos claros: si usted es un administrador de dominio, puede instalar una pieza de software (un controlador de dispositivo viene a la mente) que puede hacer cualquier cosa. Sin embargo, es variable y poco práctica, desde "¿Cuál es la clave de registro para el fondo del escritorio, otra vez?" todo el camino hasta "Y luego enganchamos el archivo de lectura de llamada dentro de la capa de perfil cifrado para que parezca que Firefox crea que han deshabilitado las cookies de doubleclick.net".

Estás pidiendo un absoluto, y creo que esa es una forma incorrecta de ver esto, porque la respuesta será "Nunca necesitas la contraseña del usuario, De Verdad, "lo cual es muy engañoso. La realidad es que hasta que Microsoft entrega (o instala software de terceros para permitir) una capacidad como la de * NIX su/sudoNunca podrá imitar a la perfección la cuenta de un usuario para todos los propósitos mientras se mantiene un poco de cordura, sin requerir un uso ocasional. Tenga en cuenta que no dije "revelación" de su contraseña.


16
2018-05-24 01:32



Un punto muy justo. Un punto que estaba haciendo en mi propia respuesta borrada sumariamente fue que parece haber una falta de soporte de herramientas en esta área. - Isaac Truett
En el punto de sudo en lo que va, el modelo de seguridad de Windows excluye el uso de una utilidad de tipo sudo, ya que significa que podría ejecutar aplicaciones en el contexto de otro usuario sin autenticarse como ese usuario primero (hay maneras de evitarlo, pero todos hacen un esfuerzo para ir alrededor del modelo de seguridad). - Jim B
+1 - Esta respuesta cubre muy bien las realidades, así como la teoría. - John Gardeniers


Muchos de nosotros hemos trabajado en entornos donde se requería la revelación de contraseñas por varios motivos. Incluso iré tan lejos como para decir que todos consideramos que es una mala idea. Si se debe hacer tal cosa, el usuario final debe dar su consentimiento, no ser obligado.

En el pasado, como 1998, mi departamento de TI solía solicitar la contraseña de un usuario cuando estábamos haciendo un reemplazo de PC para que pudiéramos configurarla exactamente como tenían la anterior. Abajo a las ubicaciones de los iconos. Como estábamos en un entorno Novell NetWare sin un dominio WinNT correspondiente, cambiar su contraseña de red no cambió su contraseña local, por lo que necesitábamos tener esa contraseña si queríamos brindar ese nivel de servicio perfecto.

Eso fue hace 13 años. Usted preguntó específicamente acerca de los dominios de Windows. En el trabajo que acababa de dejar, una gran universidad, era decisión del usuario final si revelar o no una contraseña o estar allí para cualquier trabajo que se estuviera realizando. En otras palabras, el usuario final optado en A ello más que forzado por IT. Ciertos ejecutivos de tipo muy ocupados en la parte superior del organigrama generalmente tenían su asistente de administrador conectado para ellos, por lo que era fácil para la gente de TI deslizarse (el consentimiento ya había sido delegado).

En Windows, la única manera de melodía de mano El perfil de un usuario es iniciar sesión como ese usuario. Si ese perfil necesita ajuste manual por algún motivo (queda una desinstalación defectuosa que se está interponiendo en el proceso de reinstalación u otras cosas extrañas), la persona de TI deberá iniciar sesión como ese usuario. Esto se puede hacer forzando un cambio de contraseña administrativa, haciendo que el usuario divulgue su contraseña o haciendo que el usuario inicie sesión en la persona de TI como a sí mismo y deje que la persona de TI trabaje.


7
2018-05-23 23:13



¿Qué tipo de ajuste de perfil podría hacer como usuario que no pudo hacer modificando el perfil predeterminado como se describe? aquí antes de que el usuario inicie sesión? - Isaac Truett
En su mayor parte, no, todavía hay cosas que deben configurarse para ese usuario específico. Por ejemplo, antes de Outlook 2007 / Exchange 2007, tenía que configurar Outlook manualmente para ese usuario. Ahora, con la detección automática, posiblemente podría considerar permitirles que lo intenten ellos mismos, pero aún así, la mayoría de los administradores no quieren que los usuarios solo empiecen cuando inician sesión. - KCotreau
@KContreau Microsoft dice aquí que los perfiles de Outlook se almacenan en el registro, que un administrador puede editar desde su propia cuenta. ¿Alguna otra idea? - Isaac Truett
@IsaacTruett Técnicamente Todo se puede hacer directamente a través de regedit o editando manualmente esos archivos desktop.ini. Sin embargo, muchas personas de TI se sienten mucho más cómodas con las herramientas de UI. Como un atajo, aunque puede ser poco aconsejable, la persona de TI puede pedirle a un usuario que haga cualquiera de las tres cosas que mencioné (inicie sesión, reinicie la contraseña o proporcione la contraseña) y use las herramientas Ellos saben bien, la interfaz gráfica de usuario. - sysadmin1138♦
@KCotreau @Isaac Técnicamente podría copiar su sección de registro al perfil del administrador temporalmente, usar lo que sea necesario para editarlo y luego volver a colocarlo. Esto es No es Buena idea En el 99% de los casos. Sé de muy pocas circunstancias en las que es necesario saber la contraseña de los usuarios en estos días; y todos ellos están relacionados con tonto Conveniencias (como el ejemplo de Netware que SysAdmin1138 dio). - Chris S


Absolutamente el 100% no. Cualquier cosa que deba hacerse con la cuenta de otro usuario debe hacerse restableciendo la contraseña de los usuarios, iniciando sesión y luego haciendo que el usuario llame al servicio de asistencia o que restablezca la contraseña a algo que se les dice a los usuarios y que configure la cuenta para forzar la contraseña para cambiar en el próximo inicio de sesión. Aunque admito que he trabajado en entornos bastante grandes y seguros, la divulgación de su contraseña a cualquier persona generalmente fue motivo de cancelación (y ese debería ser el caso en la mayoría de las situaciones)


4
2018-05-23 23:33



Esa es una declaración demasiado amplia. Hay muchos entornos donde eso simplemente no funcionará. Me gustaría tal vez el 98%, pero ciertamente no el 100%. - John Gardeniers
@John ¿Puede ofrecer un ejemplo específico de algo que es imposible de hacer sin haber iniciado sesión como usuario final? - Isaac Truett
@Isaac: hay muchas aplicaciones que, durante la instalación, hacen referencia a% userprofile% para la ubicación de archivos, tal vez hacen cambios como instalar barras de herramientas en Word o Outlook, etc. Claro, puede sentarse con Procmon ejecutándose, registrar con diligencia cada registro, perfil, cambio, pero ¿por qué demonios te molestarías? - gravyface
@john, ¿puedes darme un ejemplo de dónde sería imposible restablecer la contraseña de los usuarios como se explica? Estoy de acuerdo en que hay lugares donde los usuarios son demasiado complacientes o los administradores son demasiado perezosos, pero aún no he encontrado un lugar donde eso simplemente no pueda funcionar. - Jim B
@Jim, donde trabajo, con frecuencia necesitamos iniciar sesión como otros y restablecer las contraseñas simplemente hace enojar a la gente sin una buena causa. Tenemos un entorno donde las contraseñas (para la mayoría de los usuarios) no son secretas dentro de la empresa. Sé que eso va en contra de cualquiera que trabaje en compañías más grandes y fue un verdadero choque cultural para mí cuando comencé aquí. Es una elección de la dirección, no la mía, y eso es todo. - John Gardeniers


Algunas aplicaciones durante la instalación requieren la capacidad de realizar cambios o hacer referencia al perfil del usuario (es decir, las aplicaciones de CRM que se integran con Outlook) mediante el uso de variables de entorno como% userprofile%, la modificación de HK_CURRENT_USER y similares.

Si bien es cierto que podría "aplicar ingeniería inversa" a una instalación con herramientas como procmon y luego modificar manualmente el perfil del usuario, el registro, etc. después del hecho, esto es altamente ineficiente, poco práctico y propenso a errores.


4
2018-05-24 01:08



+1. Definitivamente pude ver esto siendo un factor. Como ingeniero de software, diría que hay mejores maneras de escribir los procesos de instalación que requerir que el usuario final inicie sesión durante la instalación. Hay, de hecho, productos de software existentes que permiten diferentes procesos de instalación de un solo usuario y de varios usuarios, tales como Google Chrome. - Isaac Truett
@Isaac, creo que ha pasado por alto el principio fundamental de la configuración por usuario, que no puede ser atendido por el instalador. Tomemos, por ejemplo, un paquete que serán utilizados por varios usuarios en una máquina determinada, donde cada usuario necesita / desea / requiere una configuración diferente y debe estar en su lugar antes de que esos usuarios empiecen a usar el paquete. - John Gardeniers
@ John / Isaac: supongo que John, ¿está hablando de completar esta personalización en nombre del usuario? Si es así, sí, otro punto positivo de por qué querría o necesitaría iniciar sesión como usuario, especialmente si la configuración no es modificable fuera de la aplicación (almacenada en formato binario) y está vinculada al usuario que ha iniciado sesión actualmente. - gravyface
eso es correcto. Restablecer la contraseña del usuario en tal situación simplemente causa problemas, así como también interfiere con su capacidad de hacer lo que está haciendo actualmente en otra máquina. - John Gardeniers


La mayoría de estas publicaciones parecen bastante antiguas, pero es de esperar que algunas personas conocedoras sigan activas en el tema, ya que parece que este sigue siendo un tema actual.

Ciertamente se pueden hacer argumentos que nunca deberías Tiene que solicitar una contraseña. Prefiero decirle a mis usuarios "no compartir nunca" ... y sí, la configuración puede en la mayoría de los casos ser manejado por un administrador para un usuario. Pero la solución de problemas es otro asunto.

Apoyamos un programa individual con 2600 estudiantes y 500 empleados. Abordamos problemas de software "extraños" a diario. Es bastante frecuente que debamos experimentar el problema como usuario para resolverlo (o determinar con cierta confianza que será necesaria una recarga). Absolutamente, intentamos hacer esto con el usuario presente, pero eso no siempre es práctico; Tienen un horario para mantener.

¿Qué pasa con las tarjetas inteligentes? ¿Existe alguna posibilidad en un entorno de AD 2010/2012 de que una tarjeta inteligente pueda asociarse (temporalmente) con una cuenta de dominio? Esto permitiría el acceso a la cuenta del usuario en plena realidad, sin exponer específicamente su contraseña. La tarjeta podría desactivarse cuando se completó la solución de problemas. Los técnicos podrían utilizar la cuenta, pero las tarjetas podrían estar bien supervisadas.

Hemos usado lectores de huellas digitales durante años, pero el proceso para configurar eso para una tecnología específica y luego limpiar esa impresión simplemente no es factible. No estoy seguro de cuán complejo sería el proceso de "autorizar" y luego "desactivar" una tarjeta inteligente para un usuario en particular, pero parece que podría ser un compromiso decente.


2
2017-10-10 12:43



StackExchange opera en un modelo diferente al de los foros tradicionales en que esto no es un hilo de discusión sino una pregunta seguida por una selección de posibles respuestas. En el lado negativo, este es también un mal ejemplo de una pregunta de nuestra parte. Preguntas más frecuentes. - Scott Pack


Sí: cualquier cosa que deba hacerse a su perfil. Cuando eso suceda, debes conocer su contraseña o establecerla, como dijiste. Entonces pueden cambiarlo cuando hayas terminado.

Si inicia sesión como ese usuario, no le está dando permisos adicionales. Estás accediendo como ellos con sus permisos.


1
2018-05-23 23:10



vencerme a eso Estaba pensando en aplicaciones que se integran especialmente con Outlook. - gravyface
Sí, obviamente no le está dando al usuario permisos adicionales. La pregunta es, ¿qué podría hacer un administrador con los permisos de un usuario individual que ellos, el administrador, no podrían hacer con sus propios permisos de administrador? Entonces, ¿qué haría un administrador al perfil de un usuario que no podrían hacer desde su propia cuenta de administrador? - Isaac Truett
La respuesta a su pregunta, ¿qué no puede hacer el administrador? Simplemente inicie sesión como ese usuario. Cuando ese usuario inicia sesión, solo entonces se pueden hacer cambios en el perfil que está asociado con ese usuario. Cuando inicia sesión como administrador, inicie sesión con su perfil de administrador. - KCotreau
Pensé que había leído mal la pregunta pero no, no necesitas la contraseña del usuario para hacer algo al perfil. - Jim B