IT会需要用户的域密码吗？

10

Windows域管理员在为新用户配置工作站时可能需要做些什么，而没有用户的域帐户密码则绝对无法完成？为了避免向用户询问密码，理论上，管理员可以更改密码，以用户身份登录并执行他们想要执行的任何操作，但实际上这将为他们提供他们尚未拥有的任何其他权限成为域管理员的好处？

更新：

到目前为止，答案是“调整”或更改用户的个人资料。但是，Microsoft 的这篇文章是关于修改默认配置文件的信息，该默认配置文件在用户首次登录时将应用于用户，并且这些说明可随时更改另一个用户的Windows注册表设置。管理员以用户身份登录时会发生什么变化，而管理员无法使用不涉及以该用户身份登录的这些或其他可用技术来进行更改？仅仅“以用户身份登录”并不是要求或更改用户密码的理由。我正在寻找这样做的实际原因。

windows domain

— 艾萨克·特鲁特
source

2

在问这个问题之前，我的怀疑是，尽管有时Windows管理可能会有些曲折，但是对于特权较低的最终用户而言，对于管理员来说，没有什么是不可能的。要求用户输入密码或更改其密码并使用其帐户登录的动机是缺乏经验或方便的；管理员不知道如何做某件事，或者不想摆弄注册表和手动编辑配置文件，并且没有可用的工具来进行所需的更改。

— 艾萨克·特鲁特

1

您可能需要重写此问题，因为首先询问用户密码，然后再切换为以用户身份登录。这是2个单独的问题

— Jim B

如何安装需要访问用户的Outlook配置文件的应用程序（例如使用Outlook的CRM应用程序）？您受应用程序开发人员的安装程序脚本的支配。

— gravyface

@Jim实际上，我尝试在原始问题的第二句中尝试取消密码重置途径。如果您重置用户密码，那么您现在确实拥有该用户密码。您没有他们的旧密码。我在更改用户个人资料时得到模糊的答案，因此我提供了一些链接，显示了如何在不冒充用户的情况下做到这一点。我还特别指出“以用户身份登录”不是可接受的最终目标，因为在注释中提到的是您在不请求/更改用户密码的情况下无法做的事情。

— 艾萨克·特鲁特

@gravyface因此，您的答案是“安装写得不好的软件？” 有趣。愿意将其发布为答案吗？

— 艾萨克·特鲁特

12

管理员请求用户密码既不可接受，也不是必需的。

在管理员可能有必要以用户身份登录的情况下（我认为这种情况不存在），该用户应登录并监督管理员的活动。

原因是问责制。每个用户都有责任确保其密码安全。如果恶意活动被追溯到用户的凭据，则可以追究该用户的责任。因此，他们需要确保其凭据保持安全。

组织还有责任确保不仅采用该标准，而且还强制执行该标准。在一个法律案件中，组织中的某人使用别人的邮箱发送了恶意电子邮件。邮箱的所有者最终被撤职。当他们争辩说自己已将密码提供给其他人时，该公司坚持认为，保持其凭据的完整性是他们的责任，因此，根据公司的IT策略，他们必须负责。然后，当该用户证明组织内部存在一种共享密码的地方性文化时，法院对此予以了推翻。法院裁定，如果不能看到该公司积极执行其IT策略，则在这种情况下，他们不能依靠它来承担责任。

也就是说，理论与实践之间显然存在鸿沟。我已经与一家大型跨国公司签约，该公司除其他外提供IT咨询服务，作为SOE升级的书面程序的一部分，我们被指示要求最终用户的密码。

就个人而言，我对此采取强硬态度。我认为不需要输入密码（或重新设置密码以访问用户帐户）是没有必要的。如果要解决这个问题的工作量大大增加，那就这样吧。这不是破坏安全性的借口。我很幸运我不是经理，所以在上级领导的指示下，不必对这些决定负责。

— 马特
source

5

您是否在认真建议您知道地球上每种可能情况下可接受或必要的条件？

— 约翰·加迪尼尔

3

当然不是-如果有人可以给我一个相反的例子，我会很乐意接受。我并不是在谈论地球上所有可能的情况，但是我无法设想只有通过损害用户的登录凭据才能实现的任何目标。

— 马特

2

您说“当然不会”，这完全使答案的第一句话无效。我建议您进行相应的编辑。

— 约翰·加迪尼尔

7

也许我不清楚。我正在采取科学方法。仅仅因为过去50亿年中每天都有太阳升起，并不意味着我可以肯定地说明天将升起。但是，如果您问我，“明天太阳会升起吗？”，我会说“是”，而没有必要进一步限制它。因此，我认为您关于“地球上所有可能的情况”的问题都同样是假设性和抽象性。

— 马特

3

我想到了新的用户设置-您的想法显然陷在了这里。新用户=“没有用户拥有密码”，因此IT会设置用户，然后为用户提供密码（密码会立即更改）。他们从不询问用户，因为-啊，此时用户不知道密码。

— TomTom

18

让我们清楚一点：如果您是Domain Admin，则可以安装一个软件-一个可以想到的设备驱动程序-实际上可以执行任何操作。但是，这是不切实际的程度，范围从“再次是桌面背景的注册表项是什么？”。一直到“然后我们挂接到加密配置文件层内的文件读取调用，以欺骗Firefox以为他们已从doubleclick.net禁用了cookie”。

您需要一个绝对值，我认为这是错误的处理方式，因为答案将是“您确实不需要用户密码，”，这非常容易引起误解。现实情况是，除非Microsoft提供（或安装第三方软件以允许）* NIX的su/之类的功能，否则您sudo将永远无法完美地模仿用户帐户的所有用途，同时又保持理智的外观，而无需偶尔这样做。用法-请注意，我没有说出密码的“泄露！”。

— 班丹
source

非常公平的一点。我在自己的摘要删除的答案中指出的一点是，该领域似乎缺乏工具支持。

— 艾萨克·特鲁特

就sudo而言，Windows安全模型会阻止使用sudo类型的实用程序，因为这意味着您可以在其他用户的上下文中运行应用程序而无需先以该用户身份进行身份验证（有很多解决方法，但是他们都在努力解决安全模型）。

— Jim B

1

+1-这个答案很好地涵盖了现实和理论。

— 约翰·加迪尼尔

8

我们中的许多人都在出于各种原因需要披露密码的环境中工作。我什至会说我们所有人都认为这是个坏主意。如果需要这样做，则最终用户需要同意，而不是被强迫。

像1998年那样，在过去，当我进行PC更换时，我的IT部门曾经要求输入用户密码，以便我们可以像设置旧密码一样准确地进行设置。向下到图标位置。由于我们处于没有相应WinNT域的Novell NetWare环境中，因此更改其网络密码并不会更改其本地密码，因此，如果我们要提供这种水平的无缝服务，则需要使用该密码。

那是13年前。您专门询问了Windows域。在我刚离开的一所大型大学的工作中，最终用户要决定是否公开密码或是否在进行任何工作。换句话说，最终用户选择了它，而不是由IT强迫。在组织结构图中，某些非常忙碌的执行人员通常会为其登录管理员助理，因此IT人员可以轻松进入（同意已被委派）。

在Windows中，手动调整用户配置文件的唯一方法是以该用户身份登录。如果该配置文件由于某种原因需要手动调整（留下的不良卸载仍在妨碍重新安装，或其他怪异的东西），则IT人员将需要以该用户身份登录。这可以通过强制更改管理密码，让用户公开其密码或让用户以自己的身份登录IT人员并让IT人员工作来完成。

— sysadmin1138
source

通过在用户登录之前按此处所述修改默认配置文件，您可以做为用户无法执行的哪种配置文件调整？

— 艾萨克·特鲁特

在大多数情况下，没有，仍然需要为该特定用户配置某些东西。例如，在Outlook 2007 / Exchange 2007之前，您必须为该用户手动配置Outlook。现在有了自动发现功能，您可以考虑让他们自己尝试一下，但是仍然，大多数管理员不会因为用户只希望它在登录时启动而启动

— 。– KCotreau

@KContreau微软在这里说，Outlook配置文件存储在注册表中，管理员可以从其自己的帐户进行编辑。还有其他想法吗？

— 艾萨克·特鲁特

4

@IsaacTruett 从技术上讲，一切都可以直接通过regedit或手动编辑那些desktop.ini文件来完成。但是，许多IT人员对UI工具更加满意。作为一种捷径，虽然不明智，但IT人员可能会要求用户执行我提到的三件事中的任何一项（为他们登录，重置密码或提供密码）并使用工具他们很了解GUI。

— sysadmin1138

1

@KCotreau @Isaac 从技术上讲，您可以将其注册表配置单元临时复制到管理员的个人资料，使用所需的任何内容对其进行编辑，然后再放回去。在99％的情况下，这不是一个好主意。我知道现在很少有必要知道用户密码的情况。所有这些都与愚蠢的便利有关（例如SysAdmin1138给出的Netware示例）。

— 克里斯·S

5

安装过程中的某些应用程序需要具有使用诸如％userprofile％，修改HK_CURRENT_USER等环境变量来更改或引用用户的配置文件（即与Outlook集成的CRM应用程序）的能力。

您当然可以使用诸如procmon之类的工具对安装进行“反向工程”，然后在事后手动修改用户的配置文件，注册表等，但这是非常低效的，不切实际的并且容易出错。

— face面
source

1

+1。我绝对可以看到这是一个因素。作为一名软件工程师，我认为有一种更好的方法来编写安装过程，而不是要求最终用户在安装过程中登录。实际上，现有的软件产品支持不同的单用户和多用户安装过程，例如Google Chrome。

— 艾萨克·特鲁特

@Isaac，我相信您已经忽略了每个用户配置的基本原理，安装程序无法解决该基本原理。例如，一个给定机器上的多个用户将要使用的软件包，其中每个用户需要/想要/需要不同的配置，并且在这些用户开始使用软件包之前，他们需要就位。

— 约翰·加迪尼尔

@ John / Isaac：John，我假设您是要代表用户完成此自定义？如果是这样，是的，这是为什么您希望或需要以用户身份登录的另一个好处，尤其是当配置无法在应用程序外部修改（以二进制格式存储）并且绑定到当前登录的用户时。

— gravyface

那是对的。在这种情况下重置用户密码只会导致问题，并且会干扰他们在另一台计算机上执行当前操作的能力。

— 约翰·加迪尼尔

4

绝对不是100％。需要使用其他用户帐户进行的任何操作都应通过重置用户密码，登录并随后让用户致电服务台或将密码重新设置为告知用户的方式并设置帐户以强制更改密码来完成。下次登录时。尽管承认我在相当大或安全的环境中工作，但通常向他人透露您的密码是终止密码的理由（在大多数情况下应该如此）

— 吉姆·B
source

1

这太笼统了。在许多环境中，这根本行不通。我可能会争取98％，但肯定不会100％。

— 约翰·加迪尼尔

1

@John您能否提供一个具体示例，说明如果没有以最终用户身份登录就无法执行的操作？

— 伊萨克·特鲁特

1

@Isaac：在安装过程中，有许多应用程序会引用％userprofile％进行文件放置，也许会进行更改，例如在Word或Outlook中安装工具栏等。当然，您可以坐在procmon运行时，认真记录每个注册表，配置文件，等等变化，但是为什么你要打扰呢？

— gravyface

@john，您能举个例子说明无法按说明重置用户密码的地方吗？我同意在某些地方用户过于自满或管理员过于懒惰，但是我还没有遇到一个根本无法使用的地方。

— Jim B

1

@Jim，在我工作的地方，我们经常需要以其他身份登录，并且重置密码只会无缘无故激怒人们。在我们的环境中，（对于大多数用户）密码不是公司内部的秘密。我知道这对任何在大公司工作的人来说都是不对的，当我开始在这里工作时，这对我来说是一次真正的文化冲击。这是管理选择，不是我的选择，仅此而已。

— 约翰·加迪尼尔

3

这些帖子中的大多数似乎都很老，但是希望一些知识渊博的人仍然活跃在主题上，因为这似乎仍然是当前的话题。

当然可以提出一个论点，即您不必再要求输入密码。我更愿意告诉我的用户“永远不要共享”……是的，在大多数情况下，配置可以由管理员为用户处理。但是故障排除是另一回事。

我们支持2600名学生和500名员工的一对一计划。我们每天都会解决“奇怪”的软件问题。在很多情况下，我们必须以用户身份遇到问题，以便解决问题（或有把握地确定将需要重新加载）。绝对，我们尝试在用户在场的情况下执行此操作-但这并不总是可行的。他们有时间表要维护。

那智能卡呢？在2010/2012 AD环境中，可以将智能卡（临时）与域帐户相关联吗？这将允许完全现实地访问用户的帐户，而不必专门公开其密码。故障排除完成后，可以停用该卡。技术人员可以使用该帐户，但是可以对卡进行良好的监督。

我们已经使用指纹读取器多年了，但是针对特定技术进行设置，然后清除打印内容的过程根本不可行。我不确定为特定用户“授权”然后“停用”智能卡的过程将多么复杂，但是似乎这可能是一个不错的妥协。

— 贾布赖恩
source

StackExchange的运行模式与传统论坛不同，因为它不是讨论线程，而是一个问题，后面是一些可能的答案。不利的一面是，根据我们的常见问题解答，这也不是一个很好的例子。

— Scott Pack

1

是：需要对其个人资料进行任何操作。发生这种情况时，您要么必须知道他们的密码，要么按照您的说明进行设置。然后，他们可以在完成后更改它。

如果以该用户身份登录，则不会授予他们其他权限。您以他们的权限登录。

— 科特劳
source

击败我。特别是在考虑与Outlook集成的应用程序。

— gravyface

是的，显然您没有给用户额外的权限。问题是，管理员如何处理单个用户的权限，而他们（管理员）无法使用自己的管理员权限？那么，管理员将如何处理用户个人资料中他们无法通过自己的管理员帐户执行的操作？

— 艾萨克·特鲁特

您问题的答案管理员无法执行的操作：只需以该用户身份登录。该用户登录后，才可以更改与该用户关联的配置文件。以管理员身份登录时，将使用管理员配置文件登录。

— KCotreau

我以为我读错了问题，但是不，您不需要用户密码即可对配置文件执行任何操作。

— Jim B