システム管理者がユーザーのパスワードを知っているネットワークポリシーの賛否両論は何ですか？[閉まっている]

長所と短所を知りたい。システム管理者がパスワードを使用してユーザーアカウントリストを保持するという考えに賛成する理由と、それらのユーザーにパスワードの変更を許可しない理由。

Windowsのようなシステムは、ユーザーが自分のパスワードセキュリティを維持し、自由にパスワードを変更できるようにするという考えを奨励しているように思えます。プライバシーの必要性と、同僚の言葉がシステムのログに同意しない場合に自分自身を保護するためのアリバイを持っているユーザーの必要性を高く評価できます。しかし同時に、ユーザーが非公開にしたい資料へのアクセスが必要な場合に、ユーザーのパスワードをファイルに保存することを正当化する人もいます。

私はこのアイデアについて教育を受けたいと思っています。

sysadminは、暗号化されていない限り、ユーザーが所有するファイルにアクセスできる必要があります。暗号化されていない場合、ユーザーのWindowsパスワードは役に立ちません。システムがパスワードを知っているということは、ユーザーが何かをしたのか、システム管理者がしたのかを決して知ることができないことを意味します。パスワードはどこかに保存する必要があるため、パスワードが失われる可能性があります。最後に、ユーザーは自分が作成しなかったパスワードを覚えるのが難しくなります。

長所は、パスワードをリセットする必要がないことですが、ユーザーにパスワードを思い出させる必要があります。また、ユーザーアカウントへのログインが簡単になりますが、テストまたは問題の診断以外では、これは必要ではなく、ケースバイケースでパスワードを取得できます。

本当にこれを行う理由はありません、それは多くの問題を作成しますが、本当の利益はありません。

正当化はありません。システム管理者は、必要に応じてパスワードを変更できますが、パスワードを知ったり保存したりするべきではありません。

短所のみがあります。

HRが非公開にすることが期待される個人情報はどうですか？

私は彼らの駐車スペースを取ったので、私が住んでいる場所を見つけます...インターネットに私の給料を掲示します...元に情報を渡します..管理者にポルノをメールで送信しました...

企業がそのようなポリシーを書き留めているとしたら、私は驚かれることでしょう。

認証と承認を混同しないでください。

パスワードは、あなたが誰であるかをシステムに証明します（認証）

通常、グループメンバーシップとファイルシステムのアクセス許可は、ユーザーにできること（認証）を示します。

信頼できる管理者に、他の誰かが所有するファイルへのアクセスを許可するには、その認証レベルを上げます。他の人のようにログインさせないでください。

管理者はいつでもユーザーのパスワードを変更できます。ユーザーのパスワードを知る理由はありません。問題があるか、ユーザーが不在で他の誰かがファイルにアクセスする必要がある場合、マネージャーはその日のパスワードを変更するように要求でき、ユーザーは次にログインしたときにパスワードを元に戻すことができます。

弱いパスワードが使用されないように、ユーザーのパスワードを解読しようとする管理者には利点があります。

他の人がすでにここで指摘しているように、ITがユーザーのパスワードを知る正当な理由はありません。代わりに、ユーザーのパスワードへのアクセスは、いくつかの形で否定的な状況に役立つ可能性があります。

既に述べたことに加えて、パスワードがマシン（またはルート）のローカル管理者のパスワードであり、システムのマスター暗号化パスワードであることを知る必要がある場合。これらのファイルを照会する管理要求がない限り、ユーザープロファイルに関係するものはすべて立ち入り禁止と見なされる必要があります（そのためのツールがあります）

ユーザー名とパスワードの組み合わせを書き留めておくと、非常に重要なリストがあることに注意してください。そのリストを失うか、さらに悪いことに、コピーが作成されたことを知らずに誰かがそのリストをコピーすることは大きな大きな問題です。そして、あなたは本当にそれをどこかのディスクにあるファイルに入れたくないのです。これは一般的な解決策です。

これは、パスワードをクリアテキストで書き留めない多くの理由の1つです。

説明責任が問題です。

ユーザーがログインから実行されたアクティビティについて質問された場合、他の誰かが最初にパスワードを変更せずにアカウントにアクセスできるのが標準の操作手順である場合、自動的に出力されます。

システム管理者やユーザーの説明責任を失うリスクはありません。

賛成派はいない。

私は少し接線に行くつもりです。

重要なのは、管理者が100％倫理的であれば、ユーザーのパスワードを知っていてもかまいません。同様に、管理者が100％倫理的でなければ、パスワードを知らなくてもかまいません。彼にはルートがあり、他の誰にも知られずにパスワードを取得できます。（彼はマシンのルーラーであり、ルートです。ログのクリーニング、ポートのブロック、必要なツールの実行など、マシン上でできないことは何もありません。）

HRの目には100％倫理的な人はいないため、管理者は常にユーザーパスワードにアクセスできると想定する必要があります。

管理者がスキルを欠いているために管理者がそれを実行できないと思われる場合は、管理者を管理者に置き換えてください。

そのため、管理者がユーザーのパスワードにアクセスしてはいけないというポリシーを設定することは、印刷されたポリシーと手順書の無駄です。せいぜい誤ったセキュリティの感覚を提供し、それは最悪の種類のセキュリティです。

私の中のすべてが「いいえ」と言っています。

他の回答で指摘されているように、システム管理者として使用できるツールと承認については、必要と思われる場合はおそらく理解していないでしょう。

また、SAGE倫理綱領にも触れさせていただきます。

編集：これはマネージャーのアイデアでしたか？いずれにせよ、いくつかの教育は整然としています。自分のために、技術的に、法的に、そして倫理的に、何ができて何ができないかを知っています。管理のため、あなたと彼らはビジネスニーズを満たすポリシーを作成できます。そしてユーザーのために、彼らは彼らが期待できることを知っています。

システムを維持するために、管理者はファイルへのアクセス、ファイルの変更など、何でもできる必要があります。したがって、管理者が任意のファイルにアクセスする方法が必要ですが、ユーザーが持っている必要はありません。パスワード。

私にとっては、人々のパスワードを持っていることに対するマイナス面だけが見えます-主な理由は説明責任の喪失です。誰かのパスワードを持っていない場合、私は定期的に彼らのファイルやメールにアクセスできず、彼らのふりをして彼らの名前で何かをすることはできません。弊社の社長は以前、システムで簡単に作業できるようにパスワードを求めていましたが、何度も試してみた後、パスワードを変更するように説得しました。

管理者が緊急時にファイルにアクセスできるようにパスワードを変更する機能以上のものを必要とする可能性のある状況は考えられません。それと、一時的に人々のパスワードを知るだけで十分でした。人としてPCで何らかの作業を行わなければならない場合は、パスワードを取得してから変更するか、変更して元に戻すようにします。

サーバー重視の回答。

以前の雇用主では、管理スタッフにパスワードが設定されていませんでした。SSH認証のみを使用しました。そこで働いた後、パスフレーズで保護されたクライアント証明書またはキー（SSHキーやSSLクライアント証明書など）などの2要素認証スキームを強く信じました。

管理者にすべてのパスワードを知らせることのマイナス面は、彼/彼女が組織を辞めて、そのすべてのデータを取り込んでしまう可能性があることです。ただし、ネットワーク共有にあるデータについても同じことが起こります。

ユーザーのパスワードをプレーンテキストで保存しないでください。「パスワードを忘れた場合はお電話ください」のように。それは禁止です。ユーザーは、ヘルプデスクに個人的に表示されるときに新しいパスワードを割り当てられ、最初のログインの前にパスワードの変更を強制されます。

機密情報については、ユーザーがPGPやTruecryptなどの追加の対策を講じることをお勧めしますが、信頼できるシステム管理者がデータを回復できないことを明示的に伝える必要があります。

管理者がすべてのドキュメントを覗くことができると管理者が心配する場合は、システム管理者自身が作業する必要があります。システム管理者はほぼ完全な信頼を持っているはずです。

ここではこれについて言及していませんでしたが、答えをざっと読みました。多くのユーザーがすべてに同じパスワードを使用しています。あなたが彼らのネットワークパスワードを持っているなら、チャンスはあなたが彼らの個人的な電子メール、photobucket、facebook、何でもパスワードを持っているということです。

それは悪い考えだと思います。不正なシステム管理者は多くの問題を引き起こす可能性があります。

私は、システム管理者がパスワードを知っておくべきポリシーに反対する傾向があります。ケースバイケースに基づいている必要があります。IT担当者として作業を行うためにユーザーのパスワードが必要なときはいつでも、作業を終了したらユーザーにパスワードを要求し、ユーザーに変更するようにアドバイスする必要があります。また、IT部門はパスワードをいかなる形式でも保存すべきではありません。

ただし、パスワードシートはいつでも非常に便利で非常に便利であることを認めなければなりません。

職場のコンピューターは、そのコンピューターに保存されている所有者の情報へのアクセスを許可されていない人からプライバシーを提供します。従業員は雇用主の機器を使用する際にプライバシーを持っていません。そのため、ログオンバナーには、理由の有無にかかわらず、すべてのアクティビティをいつでも監視できると書かれています。

（このようなログオンバナーがない場合は、早急に企業顧問に向かってください。これは本当に良いアイデアだからです。）

しかし、それは別の質問です。パスワードは個別の識別子であると明示的に述べる必要があるため、別の答えで言われていないことは何も言えないと思います。一般的な管理者などのアカウントパスワードは安全な場所に保管し、使用するたびに変更する必要があります。

データ保護、個人情報の使用などの観点から、法的義務もあります。確かに、管理者としてユーザーのパスワードを変更してアカウントにアクセスするのを止める技術的なことは何もありませんが、これを行う前に、人事マネージャーから書面による許可を常に取得します（その人のマネージャーでは不十分です）。

私にとって大きなものは信頼です。あなたが最高の力を持っているなら、あなたは最も卑劣なうなり声からCEOまで誰もがそれを誤用しないようにあなたを信頼しなければならない立場にいます。その背後にある現実に関係なく、その信頼を強化するのに役立つものはすべて、物事をはるかに簡単にします。そのため、「パスワードがわからないため、パスワードを変更しないとアカウントにアクセスできない（この場合、それについて知ることができます）」というのは良いことです。

誰かが不在で別の人が仕事を望んでいる/必要としているときに、誰かのパスワードをリセットするのはなぜですか？最近では、ほぼすべての人が仕事以外のデータをアカウントに保存しています。必要なデータのみをスペースから移動し、それを必要とするユーザーに属するスペースに配置する必要があります。