IT 부서에 사용자의 도메인 암호가 필요할까요?

사용자의 도메인 계정 암호 없이는 절대 할 수없는 새 사용자를 위해 워크 스테이션을 구성하는 동안 Windows 도메인 관리자가 수행해야 할 작업이 있습니까? 관리자가 사용자에게 비밀번호를 묻지 않도록 이론적으로 관리자는 비밀번호를 변경하고 사용자로 로그인하여 원하는 작업을 수행 할 수 있지만 실제로는 아직 가지고 있지 않은 추가 권한을 부여합니다 도메인 관리자의 미덕?

최신 정보:

지금까지의 대답은 "튜닝"또는 사용자 프로필 변경에 대한 것입니다. 그러나 처음 로그온 할 때 사용자에게 적용되는 기본 프로필과 언제든지 다른 사용자의 Windows 레지스트리 설정을 변경 하기 위한 지침 을 수정하는 방법에 대한 Microsoft 의이 기사가 있습니다. 사용자로 로그인 할 때 관리자가 사용자로 로그인하지 않아도되는 기술이나 다른 기술을 사용하여 변경할 수없는 변경 사항은 무엇입니까? "사용자로 로그인"한다고해서 사용자의 암호를 요청하거나 변경할 필요는 없습니다. 나는 그렇게 하는 실용적인 이유를 찾고 있습니다.

관리자가 사용자의 비밀번호를 요청하는 것은 허용되지도 필요하지도 않습니다.

관리자가 사용자로 로그인해야 할 수도있는 상황에서 (그리고 그러한 상황이 존재한다고 생각하지 않는 경우), 사용자는 로그인하여 관리자의 활동을 감독해야합니다.

그 이유는 책임입니다. 암호의 보안을 유지하는 것은 각 사용자의 책임입니다. 악의적 인 활동이 사용자의 자격 증명으로 추적 된 경우 해당 사용자는 책임을 질 수 있습니다. 따라서 자격 증명을 안전하게 유지해야합니다.

또한 이것이 채택되고 시행되도록 보장하는 것은 조직의 책임입니다. 조직의 누군가가 다른 사람의 사서함을 사용하여 악의적 인 전자 메일을 보낸 경우가 합법적 인 경우가있었습니다. 사서함의 소유자는 결국 해산되었습니다. 그들은 다른 사람에게 암호를 제공했다고 주장하면서 회사는 자격 증명의 무결성을 유지하는 것이 자신의 책임이라고 주장했으며 따라서 회사 IT 정책에 따라 책임을 져야했습니다. 그런 다음이 사용자가 조직 내에 고유 한 암호 공유 문화가 있음을 증명했을 때 법원이이를 뒤집 었습니다. 법원은 회사가 IT 정책을 적극적으로 시행하는 것을 볼 수 없다면 이러한 상황에서 책임에 대해 의존 할 수 없다고 판결했습니다.

그것은 이론과 실천 사이에 명백한 차이가 있다고 말했다. 저는 IT 자문 서비스를 제공하는 주요 다국적 회사와 계약을 맺었으며 SOE 업그레이드에 대한 문서화 된 절차의 일부로 최종 사용자의 비밀번호를 요청하라는 지시를 받았습니다.

개인적으로, 나는 이것에 대한 하드 라인 접근법을 취합니다. 비밀번호를 요청하거나 사용자 계정에 액세스하기 위해 비밀번호를 재설정해야한다고 생각하지 않습니다. 이 문제를 해결하기 위해 워크로드가 크게 증가했다면 그렇게하십시오. 보안을 훼손 할 이유는 없습니다. 나는 내가 관리자가 아니라는 것이 운이 좋다고 생각하기 때문에 다른 사람의 지시에 따라 이러한 결정에 대해 책임을 질 필요가 없습니다.

도메인 관리자라면 말 그대로 모든 것을 할 수있는 장치 드라이버를 염두에두고 소프트웨어를 설치할 수 있습니다. 그러나 "다시 데스크탑 배경의 레지스트리 키는 무엇입니까?"에 이르기까지 다양한 수준의 비실용적입니다. "그런 다음 Firefox가 doubleclick.net에서 쿠키를 비활성화했다고 생각하도록 Firefox를 스푸핑하기 위해 암호화 된 프로파일 계층 내부의 파일 읽기 호출에 연결합니다."

당신은 절대적인 것을 요구하고 있으며, 이것이 잘못 보는 방법이라고 생각합니다. 왜냐하면 대답은 "사용자 암호는 정말로 필요하지 않습니다 ."는 매우 오도되기 때문입니다. 실제로 Microsoft가 * NIX 's su/ 와 같은 기능을 제공 할 때까지 (또는 타사 소프트웨어를 설치할 때까지) sudo간헐적으로 요구하지 않고 온전한 느낌을 유지하면서 모든 목적을 위해 사용자 계정을 완벽하게 모방 할 수는 없습니다. 사용법 – 참고로 "공개!"라고 말하지 않았습니다.

우리 중 많은 사람들이 여러 가지 이유로 암호 공개가 필요한 환경에서 일했습니다. 나는 우리 모두가 그것을 나쁜 생각이라고 생각하기까지 갈 것입니다. 이러한 작업을 수행해야하는 경우 최종 사용자는 이에 대해 동의하지 말고 동의해야합니다.

1998 년과 마찬가지로 당시 IT 부서에서는 PC 교체를 할 때 사용자의 비밀번호를 요청하여 이전과 동일한 방식으로 설정할 수있었습니다. 아이콘 위치까지. 해당 WinNT 도메인이없는 Novell NetWare 환경에 있었기 때문에 네트워크 암호를 변경해도 로컬 암호가 변경되지 않았으므로 해당 수준의 완벽한 서비스를 제공하려면 해당 암호가 필요했습니다.

그것은 13 년 전이었습니다. Windows 도메인에 대해 구체적으로 질문했습니다. 방금 떠난 직장인 대형 대학교에서 암호를 공개할지 또는 어떤 작업을하든 거기에 있는지 여부는 최종 사용자에게 달려있었습니다. 다시 말해, 최종 사용자 는 IT 부서에 의해 강제되는 것이 아니라 선택했습니다 . 조직도가 매우 높은 특정 매우 바쁜 임원 유형은 일반적으로 관리자 보조 관리자가 로그인하여 IT 담당자가 쉽게 참여할 수 있도록했습니다 (이미 위임 된 경우).

Windows에서 사용자 프로필 을 수동으로 조정 하는 유일한 방법 은 해당 사용자로 로그인하는 것입니다. 어떤 이유로 프로필을 수동으로 조정해야하는 경우 (다시 설치하거나 다른 이상한 일이 발생하는 잘못된 제거가 남아있는 경우) IT 담당자는 해당 사용자로 로그인해야합니다. 관리 비밀번호 변경을 강제 실행하거나, 사용자가 비밀번호를 공개하도록하거나, IT 담당자를 스스로 로그인하여 IT 담당자가 작업하게함으로써이를 수행 할 수 있습니다.

설치 중 일부 응용 프로그램은 % userprofile %, HK_CURRENT_USER 수정 등과 같은 환경 변수를 사용하여 사용자 프로필 (예 : Outlook과 통합되는 CRM 응용 프로그램)을 변경하거나 참조하는 기능이 필요합니다.

procmon과 같은 도구를 사용하여 설치를 "역 엔지니어링"한 다음 사실 후에 사용자의 프로필, 레지스트리 등을 수동으로 수정할 수는 있지만 이는 매우 비효율적이며 실용적이지 않으며 오류가 발생하기 쉽습니다.

절대 100 %는 아닙니다. 다른 사용자 계정으로 수행해야하는 모든 작업은 사용자 암호를 재설정하고 로그인 한 다음 사용자가 헬프 데스크에 전화를 걸거나 사용자에게 알려주는 내용으로 암호를 변경하고 암호를 강제로 변경하도록 계정을 설정하여 수행해야합니다. 다음에 로그인 할 때 본인의 비밀번호를 다른 사람에게 공개하는 것은 상당히 크고 안전한 환경에서 근무했음을 인정하지만 일반적으로 해지 사유가되었습니다 (대부분의 경우에 해당됨).

이 게시물의 대부분은 꽤 오래 된 것처럼 보이지만 일부 지식이 풍부한 사람들이 여전히 스레드에서 활발히 활동하고 있기를 희망합니다. 이것이 현재의 주제 인 것처럼 보이기 때문입니다.

암호를 요구할 필요 가 없다는 주장을 확실히 할 수 있습니다 . 사용자에게 "공유하지 마십시오"라고 말하고 싶습니다. 예, 대부분의 경우 구성은 사용자의 관리자가 처리 할 수 있습니다 . 그러나 문제 해결은 또 다른 일입니다.

우리는 2600 명의 학생과 500 명의 직원으로 구성된 일대일 프로그램을 지원합니다. 우리는 "이상한"소프트웨어 문제를 매일 해결합니다. 문제를 해결하기 위해 (또는 새로 고침이 필요할 것이라는 확신을 가지고) 사용자로서 문제를 겪어야하는 경우가 종종 있습니다. 당연히, 우리는 사용자가있는 상태에서이 작업을 시도하지만 항상 실용적이지는 않습니다. 그들은 유지할 일정이 있습니다.

스마트 카드는 어떻습니까? 2010/2012 AD 환경에서 스마트 카드가 도메인 계정과 (일시적으로) 연결될 수있는 가능성이 있습니까? 이렇게하면 암호를 구체적으로 노출시키지 않으면 서 사용자 계정에 완전히 액세스 할 수 있습니다. 문제 해결이 완료되면 카드를 비활성화 할 수 있습니다. 기술자는 계정을 사용할 수 있지만 카드를 잘 감독 할 수 있습니다.

우리는 수년간 지문 판독기를 사용해 왔지만 특정 기술에 맞게 지문을 설정 한 다음 그 인쇄물을 지우는 것은 불가능합니다. 특정 사용자에 대해 스마트 카드를 "권한 부여"한 다음 "비활성화"하는 과정이 얼마나 복잡한 지 잘 모르겠지만 적절한 타협이 될 수 있습니다.

예 : 프로필에 필요한 모든 것. 이 경우 암호를 알고 있거나 말한대로 설정해야합니다. 그런 다음 완료되면 변경할 수 있습니다.

해당 사용자로 로그인하면 추가 권한이 부여되지 않습니다. 권한으로 로그인했습니다.