系统管理员知道用户密码的网络策略的论据是什么？[关闭]

我想知道优缺点。.支持和反对sys admin使用密码维护用户帐户列表的想法的理由。.另外，不允许这些用户更改密码。

我了解Windows之类的系统似乎鼓励这样一种想法，即用户应维护自己的密码安全性并被允许随意更改其密码。对于同事需要不同意系统日志的情况，我非常感谢对隐私的保护，以及用户有一定的辩解来保护自己。但是同时，我还可以看到，如果需要访问用户可能希望保密的某些材料，那么有人可以证明将用户密码记录在案。

我真的很想接受这个想法的教育。

除非已加密，否则系统管理员应该能够访问用户拥有的任何文件，在这种情况下，用户的Windows密码将无济于事。让系统知道密码意味着您永远无法知道用户是做了什么还是系统管理员做了，如果您遇到纠纷，可能会导致很多问题。密码必须存储在某个地方，这意味着它们可能会丢失。最后，用户将很难记住自己未创建的密码。

优点是无需重置密码，但您必须提醒用户。它还使登录用户帐户更加容易，但是除了测试或诊断问题外，这不是必需的，然后您可以逐案获取密码。

确实没有任何理由这样做，这会带来很多问题，而没有真正的收获。

没有理由。系统管理员可以根据需要更改密码，但是他们不应该知道或存储它。

有唯一的缺点。

我希望人力资源部门可以保密的私人信息呢？

找出我住的地方是因为我占用了他们的停车位...在网上发布我的薪水...将信息传递给一位前任经理..

如果一家公司写下这样的政策，我会感到惊讶。

不要混淆身份验证和授权。

密码向系统证明您是谁（身份验证）

组成员身份和文件系统权限通常指明您可以做什么（授权）。

要授予受信任的管理员对他人拥有的文件的访问权限，请提高其授权级别。您不要让他们像其他人一样登录。

管理员可以随时更改用户密码。他们没有理由知道用户的密码。如果出现问题或用户不在，并且其他人需要访问文件，则管理员可以要求当天更改密码，并且用户可以在下次访问时重新设置密码。

管理员尝试破解用户密码以防止使用弱密码，这是有好处的。

正如其他人已经在这里指出的那样：IT人员没有充分的理由知道用户的密码，相反，以几种形式访问用户的密码可能会带来负面影响。

除了已经说过的内容外，如果您确实需要知道密码，则是机器（或root）的本地管理员密码和系统的主加密密码。与用户配置文件有关的任何事情都应视为禁止访问，除非有管理请求来查询这些文件（有用于该文件的工具）

请记住，如果您要记下用户名/密码组合，则会有一个非常重要的列表。丢失该列表，或者更糟糕的是，如果有人在不知道已创建副本的情况下复制该列表，将是一个大问题。您真的不希望将文件放在某个磁盘上的某个位置，这将是常见的解决方案。

这是为什么不以明文形式记录密码的众多原因之一。

问责制是问题。

如果有人询问用户通过登录进行的活动，他们将自动退出，这是标准的操作程序，其他人无需先更改密码即可进入其帐户。

不要冒险失去系统管理员和/或用户的责任。

我没有专业人士。

我要走一点切线。

关键是，如果管理员是100％道德的，那么他是否知道用户密码也没关系，同样，如果管理员不是100％道德的，那么他是否不知道密码也没关系。他具有root，可以在其他人不知道的情况下获取密码。（他是机器的根，请记住，他是机器的标尺。他无法在那台机器上做任何事情，包括清理日志，阻塞端口，运行他想要的任何工具，等等。）

在HR看来，没有人是100％符合道德的，因此您必须假定管理员始终可以访问用户密码。

如果您认为管理员因为缺乏技能而无法执行此操作，请以有经验的人员代替。

因此，制定一项使管理员不应该访问用户密码的策略浪费了印刷的“策略和程序”文件，因为它可能无法执行。充其量它提供了一种错误的安全感，这是最糟糕的一种安全性。

我内心的一切都说“不！”

如果您认为需要它，那么您可能不了解作为其他系统管理员可用的工具和授权，如其他答案所述。

让我也向您指出SAGE道德守则。

编辑：这是经理的主意吗？无论哪种方式，都需要进行一些教育：对您自己来说，这样您就知道在技术上，法律上和道德上可以做和不能做的事情；进行管理，因此您和他们可以制定满足业务需求的策略；并为用户服务，因此他们知道自己的期望。

为了维护系统，管理员需要具备执行任何操作的能力-访问文件，更改文件等。因此，需要有一种方法来让管理员访问任何文件，但这不必一定要通过让用户密码。

对我自己来说，我看到的只有密码是负面的-失去责任感是主要的问题。如果我没有任何人的密码，那么我将无法例行访问他们的文件或电子邮件，也无法伪装成他们并以他们的名义做某事。我们公司的总裁曾经希望我们拥有他的密码，以便我们可以轻松地在他的系统上工作，但是经过大量尝试，我说服他更改了它，而没有告诉我们它是什么。

我想不出管理员可能需要更改密码才能在紧急情况下访问文件的情况。那并暂时知道人们的密码就足够了。如果我们必须以个人身份在PC上做一些工作，我们要么获取他们的密码，然后再进行更改，要么我们将其更改并让他们将其更改回来。

以服务器为中心的答案。

在以前的雇主处，管理员没有设置密码。我们仅使用SSH身份验证。在那工作之后，我非常相信两种因素的身份验证方案，例如受密码保护的客户端证书或密钥（例如SSH密钥或SSL客户端证书）。

让管理员知道所有密码的弊端是他/她可能会退出组织并随身携带所有这些数据。但是位于网络共享中的数据也可能发生同样的情况。

无论做什么，都不会以纯文本形式存储用户密码。就像在“如果忘记密码请给我们打电话”中一样。那是不行的。当用户亲自出现在服务台时，将为用户分配一个新密码，并在首次登录前被迫更改其密码。

对于真正机密的信息，我建议用户采取其他措施，例如PGP或Truecrypt，但应明确告知其信任的系统管理员无法恢复其数据。

如果管理人员担心管理员能够查看每个文档，那么他们应该让sysadmin自己工作。系统管理员应该具有几乎完全的信任。

我没有看到这里提到的内容，但只是略过了答案。很多用户对所有内容使用相同的密码。如果您有他们的网络密码，那么您就有可能获得他们的个人电子邮件，照片桶，facebook等的密码。

我认为这是个坏主意。流氓系统管理员可能会造成很多麻烦。

我倾向于违反sysadmin应该知道密码的策略。它应视具体情况而定。每当我们作为IT人员需要用户密码进行工作时，我们都应该要求他们并建议用户在完成工作后进行更改。IT部门不应该以任何格式存储任何密码。

但是，我也必须承认，有时候拥有密码表非常方便，非常方便。

工作计算机为未经授权访问存储在工作计算机上的所有者信息的人员提供了隐私。员工在使用雇主的设备时没有隐私，这就是为什么您的登录标语上说可以随时监控所有活动的原因，无论有无原因。

（如果您没有这样的登录标语，请尽快-不要走到您的公司顾问处，因为这是一个好主意。）

但是，这是另一个问题。我认为我无法说出其他答案中未提及的任何内容，尽管我认为需要明确说明密码是一个单独的标识符，因此任何密码都应该由一个人确切知道；管理员（管理员）等通用帐户密码应安全保存，并在每次使用后更改。

在数据保护，个人信息的使用等方面，也可能有法律义务。的确，作为管理员，没有什么技术可以阻止我更改用户密码并访问他们的帐户，但是在执行此操作之前，我总是会得到HR经理的书面授权（该人自己的经理还不够好）。

对我来说最大的是信任。如果您拥有至高无上的权力，那么您处于一个位置，从最低限度的咕gr声到CEO，每个人都必须相信您不要滥用它。无论背后的现实是什么，任何有助于增强信任的事物都将使您的工作变得容易得多。因此，众所周知“我们不知道您的密码，并且如果不更改您的密码就无法访问您的帐户（在这种情况下，您会知道的）”是一件好事。

为什么当有人不在且另一个人想要/需要工作时，为什么要重设密码？如今，几乎每个人都将与工作无关的数据存储在其帐户中。您应该只从其空间移动所需的数据，然后将其放入属于需要该数据的用户的空间。