ユーザーのドメインパスワードが必要になることはありますか？

10

ユーザーのドメインアカウントパスワードなしでは絶対に実行できない、新しいユーザーのワークステーションを構成するときに、Windowsドメイン管理者が行う必要があることはありますか？ユーザーにパスワードの入力を求めないようにするために、管理者は理論的にはパスワードを変更し、ユーザーとしてログインして、やりたいことをすべて実行できますが、実際にはまだ持っていない追加のアクセス許可をユーザーに与えます。ドメイン管理者であることのメリット？

更新：

これまでの回答では、「チューニング」またはユーザーのプロファイルの変更について言及してきました。しかし、があります。この、彼らが初めてとログオンするときのユーザーに適用されますデフォルトのプロファイル変更に関するマイクロソフトからの記事の手順に従って、いつでも他のユーザーのWindowsレジストリ設定を変更するには。ユーザーとしてログインしているときに管理者が変更できるのは、ユーザーとしてログインする必要がないこれらの手法やその他の利用可能な手法を使用して変更できなかったことです。「ユーザーとしてログイン」するだけでは、ユーザーのパスワードを要求したり変更したりする必要はありません。そのための実用的な理由を探しています。

windows domain

— アイザック・トゥレット
ソース

2

この質問をする前の私の疑いは、Windowsの管理が時々あるかもしれないが、管理者にとって、特権の少ないエンドユーザーが可能なことは不可能ではないということでした。ユーザーのパスワードを要求したり、パスワードを変更したり、自分のアカウントでログインしたりする動機は、経験や利便性に欠けます。管理者が何かを行う方法を知らないか、レジストリを手作業で編集して設定ファイルを編集したくなく、必要な変更を行うためのツールがありません。

— Isaac Truett、

1

最初にユーザーのパスワードについて尋ね、次にユーザーとしてログインするように変更するため、この質問を書き直したい場合があります。これらは2つの別の問題です

— ジムB

ユーザーのOutlookプロファイルへのアクセスを必要とするアプリケーション（Outlookを使用するCRMアプリなど）をインストールしてみませんか？あなたはアプリケーション開発者のインストーラースクリプトのなすがままです。

— gravyface

@ジム実際、私は元の質問の2番目の文でパスワードのリセット手段を回避しようとしました。ユーザーのパスワードをリセットすると、そのユーザーのパスワードを取得できます。古いパスワードがありません。ユーザーのプロファイルを変更することについて漠然とした回答を得ていたため、ユーザーになりすまさずにそれを行う方法を示すリンクを提供しました。また、ユーザーのパスワードを要求/変更しないと実行できないこととしてコメントに記載されているため、「ユーザーとしてログインする」ことは特に許容できる最終目標ではないと呼びました。

— Isaac Truett、

@gravyfaceそれであなたの答えは「不十分に書かれたソフトウェアをインストールすることですか？」です。面白い。回答として投稿しますか？

— Isaac Truett、

12

管理者がユーザーのパスワードを要求することは、容認も必要もありません。

管理者がユーザーとしてログインする必要がある状況（およびそのような状況が存在するとは思わない）では、ユーザーはログインして管理者のアクティビティを監視する必要があります。

これの理由は説明責任です。パスワードが安全であることを確認するのは、各ユーザーの責任です。悪意のあるアクティビティがユーザーの資格情報までさかのぼると、そのユーザーは責任を問われる可能性があります。したがって、資格情報を安全に保つ必要があります。

これが採用されるだけでなく、実施されることを保証することも組織の責任です。組織内の誰かが他の誰かのメールボックスを使用して悪意のあるメールを送信したという訴訟がありました。メールボックスの所有者は最終的に却下されました。彼らはパスワードを他人に渡したと彼らは主張したが、会社は彼らの資格情報の完全性を維持するのが彼らの責任であると主張し、それゆえ彼らは会社のITポリシーによって指示されたように責任を負う。その後、このユーザーが組織内で風土病のパスワードを共有する文化があることを証明したときに、裁判所はこれを覆しました。裁判所は、会社が自社のITポリシーを積極的に施行することができない場合、そのような状況下では説明責任を果たすことができないと判断しました。

とはいえ、理論と実践の間には明らかに隔たりがある。私は、とりわけITアドバイザリーサービスを提供する大手多国籍企業と契約しており、SOEアップグレードの文書化された手順の一部として、エンドユーザーのパスワードを要求するように指示されました。

個人的には、私はこれに対して固いアプローチをとっています。パスワードを要求する（またはユーザーのアカウントにアクセスするためにパスワードを再設定する）必要はないと思います。これを回避するために大幅に増加したワークロードがある場合は、それで十分です。セキュリティを危険にさらすのは言い訳にはなりません。私はマネージャーではないので幸運だと思うので、上層部から指示されたときにこれらの決定に責任を負う必要はありません。

— マット
ソース

5

地球上の考えられるあらゆる状況で何が許容可能であるか、または何が必要かを知っていることを真剣に提案していますか？

— ジョンガーデニアズ、

3

もちろんそうではありません。誰かが私に反対の例を示すことができれば、喜んでそれを受け入れます。地球上で考えられるすべての状況について話しているわけではありませんが、ユーザーのログイン資格情報を危険にさらすことによってのみ達成できる目標を想像することはできません。

— マット

2

「もちろん違います」と言うと、回答の最初の文が完全に無効になります。それに応じて編集することをお勧めします。

— John Gardeniers、

7

多分私ははっきりしていませんでした。私は科学的なアプローチを取っています。過去50億年間、太陽が毎日昇っていたからといって、明日は太陽が昇るとは絶対に言えません。しかし、「明日は太陽が昇るのですか？」と私に尋ねた場合、私はそれをさらに修飾する必要を感じることなく、イエスと言うでしょう。したがって、「地球上で考えられるあらゆる状況」についてのあなたの質問は、同様に仮説的で抽象的な資格であると考えています。

— マット

3

私の頭から離れて、新しいユーザー設定が頭に浮かびます-そしてあなたの心は明らかにここで行き詰まっています。新しいユーザー=「パスワードを持っているユーザーはいません」ので、ITはユーザーをセットアップし、次にユーザーにパスワードを与えます（ユーザーはすぐに変更されます）。彼らはユーザーに決して尋ねない-ああ、この時点でユーザーはパスワードを知らない。

— TomTom、2012年

18

明確にしましょう：ドメイン管理者であれば、文字通り何でもできるソフトウェア（デバイスドライバーが思い浮かぶ）をインストールできます。ただし、「デスクトップの背景のレジストリキーは何ですか？」など、実用的ではありません。「次に、暗号化されたプロファイルレイヤー内のファイル読み取り呼び出しにフックして、Firefoxがdoubleclick.netからのCookieを無効にしていると思わせるようにします」。

あなたは絶対的なものを求めているのですが、答えは「本当にユーザーのパスワードは必要ありません」となるので、これは間違った見方です。現実には、Microsoftが* NIXのsu/のような機能を提供する（またはサードパーティソフトウェアをインストールして許可する）まで、sudo時折必要とせずに、正気の類似性を維持しながら、すべての目的でユーザーのアカウントを完全に模倣することはできません。使用法-パスワードの "開示！"とは言わなかったことに注意してください。

— BMDan
ソース

非常に公平なポイントです。私が要約して削除した自分の答えで私が指摘したことの1つは、この領域ではツールのサポートが不足しているように見えることです。

— Isaac Truett、

sudoに関して言えば、Windowsセキュリティモデルは、sudoタイプユーティリティの使用を排除します。これは、最初にユーザーとして認証しなくても、別のユーザーのコンテキストでアプリケーションを実行できることを意味します（その方法はありますが、彼らはすべてセキュリティモデルを回避するために努力します）。

— ジムB

1

+1-この答えは、現実だけでなく理論もうまくカバーしています。

— John Gardeniers、

8

私たちの多くは、さまざまな理由でパスワードの開示が要求される環境で働いてきました。私たち全員がそれを悪い考えだと言うまで、私は遠くまで行きます。そのようなことを行う必要がある場合、エンドユーザーは強制するのではなく、同意する必要があります。

かつて1998年と同じように、私のIT部門はPCの交換を行っているときにユーザーのパスワードを要求して、古いパスワードとまったく同じようにセットアップできるようにしていました。アイコンの場所まで。対応するWinNTドメインのないNovell NetWare環境にいたため、ネットワークパスワードを変更してもローカルパスワードは変更されなかったため、そのレベルのシームレスなサービスを提供するには、そのパスワードが必要でした。

それは13年前のことです。Windowsドメインについて具体的に質問しました。私が去ったばかりの大きな大学での仕事で、パスワードを公開するかどうか、または行われているあらゆる作業のためにそこにいるかどうかは、エンドユーザー次第でした。つまり、エンドユーザーは ITに強制されるのではなく、オプトインを選択しました。組織図の上位にある非常に忙しい特定のエグゼクティブタイプは、一般に管理アシスタントにログインしていたため、IT担当者が簡単に侵入できました（同意はすでに委任されていました）。

Windowsでは、ユーザーのプロファイルを手動で調整する唯一の方法は、そのユーザーとしてログインすることです。何らかの理由でプロファイルを手動で調整する必要がある場合（再インストールの邪魔になっている悪いアンインストールが残っているなど）、IT担当者はそのユーザーとしてログインする必要があります。これは、管理パスワードの変更を強制する、ユーザーにパスワードを開示させる、またはユーザーにIT担当者を自分としてログインさせ、IT担当者に作業を任せることで実行できます。

— sysadmin1138
ソース

ユーザーがログインする前に、ここで説明するようにデフォルトのプロファイルを変更することによって、ユーザーが行うことができなかった、どのようなプロファイル調整を行うことができますか？

— Isaac Truett、

ほとんどの場合、いいえ、その特定のユーザー用に構成する必要があるものがまだあります。たとえば、Outlook 2007 / Exchange 2007以前は、そのユーザーに対してOutlookを手動で構成する必要がありました。。今自動検出して、あなたはおそらく彼らはそれを自分自身を試しせるが、それでも、ほとんどの管理者は、ユーザーがちょうど彼らがログインしたときに、それが起動したくないと考えることができ

— KCotreau

@KContreau Microsoftは、Outlookプロファイルはレジストリに保存され、管理者は自分のアカウントから編集できると述べています。他のアイデアは？

— Isaac Truett、

4

@IsaacTruett 技術的には、regeditまたはこれらのdesktop.iniファイルを手動で編集することにより、すべてを直接行うことができます。ただし、多くのIT担当者は、UIツールにはるかに慣れています。IT担当者は、ショートカットである可能性はありますが不適切な方法として、ユーザーに私が述べた3つのこと（ユーザーのログイン、パスワードのリセット、またはパスワードの入力）のいずれかを行い、ツールを使用するよう依頼する場合があります彼らはGUIをよく知っています。

— sysadmin1138

1

@KCotreau @Isaac 技術的には、レジストリハイブを一時的に管理者のプロファイルにコピーし、編集に必要なものをすべて使用して、元に戻すことができます。これは99％のケースでGood Idea™ではありません。最近、ユーザーのパスワードを知る必要がある状況はほとんどありません。そしてそれらすべては、（SysAdmin1138が提供したNetwareの例のように）ダムの便利さに関連しています。

— クリスS

5

インストール中の一部のアプリケーションでは、％userprofile％などの環境変数を使用したり、HK_CURRENT_USERなどを変更したりして、ユーザープロファイルを変更または参照する機能（つまり、Outlookと統合するCRMアプリケーション）が必要です。

procmonなどのツールを使用してインストールを「リバースエンジニアリング」し、事後にユーザーのプロファイルやレジストリなどを手動で変更することもできますが、これは非常に非効率的で非実用的で、エラーが発生しやすくなります。

— グレイビーフェイス
ソース

1

+1。私はこれが要因であることを間違いなく見ることができました。ソフトウェアエンジニアとして、インストール中にエンドユーザーがログインすることを要求するよりも、インストールプロセスを作成するより良い方法があると私は主張します。実際、Google Chromeなど、さまざまなシングルユーザーとマルチユーザーのインストールプロセスを可能にする既存のソフトウェア製品があります。

— Isaac Truett、

@Isaac、インストーラーでは対応できないユーザーごとの構成の基本原則を見落としていると思います。たとえば、特定のマシンで複数のユーザーが使用するパッケージを考えてみましょう。各ユーザーは異なる構成を必要とする/必要とする/必要とし、それらのユーザーがパッケージの使用を開始する前に配置する必要があります。

— ジョンガーデニアズ、

@ジョン/アイザック：私は、ジョン、あなたがユーザーに代わってこのカスタマイズを完了することについて話していると思いますか？その場合は、はい。ユーザーとしてログインする必要がある、またはログインする必要がある理由のもう1つの良いポイントです。特に、構成がアプリケーションの外部で変更できず（バイナリ形式で保存）、現在ログインしているユーザーにバインドされている場合はなおさらです。

— gravyface

それは正しいです。このような状況でユーザーのパスワードをリセットすると、問題が発生するだけでなく、別のマシンで現在実行していることをすべて実行できなくなります。

— ジョンガーデニアズ、

4

絶対に100％ではありません。別のユーザーアカウントで実行する必要があることは、ユーザーのパスワードをリセットしてログインし、ユーザーにヘルプデスクに電話をかけるか、ユーザーに通知されたパスワードを再設定して、アカウントにパスワードの変更を強制するように設定することによって実行する必要があります。次回のログイン時。私はかなり大規模で安全な環境で働いたことを認めていますが、パスワードを誰かに開示することは通常、解雇の根拠でした（そして、ほとんどの場合はそうです）

— ジムB
ソース

1

それはあまりにも広いステートメントです。それが機能しない多くの環境があります。私は多分98％行きますが、100％ではありません。

— ジョンガーデニアズ

1

@ジョンエンドユーザーとしてログインしないと実行できない特定の例を提供できますか？

— Isaac Truett

1

@Isaac：インストール中に、ファイルの配置について％userprofile％を参照する多くのアプリケーションがあります。おそらく、WordまたはOutlookにツールバーをインストールするなどの変更を行います。もちろん、procmonを実行してそこに座って、すべてのレジストリ、プロファイルを入念に記録することができます。など変更しますが、なぜ地球上であなたは気になるのですか？

— gravyface

@john、説明されているようにユーザーのパスワードをリセットできない場合の例を教えてください。ユーザーが自己満足しすぎたり、管理者が怠惰すぎたりする場所があることには同意しますが、それが単に機能しない場所にはまだ出会っていません。

— ジムB

1

@Jim、私が働いている場所では、他のユーザーとしてログオンする必要が頻繁にあり、パスワードをリセットすると、正当な理由なしに人々を怒らせるだけです。私たちは、ほとんどのユーザーのパスワードが社内で秘密にされていない環境を持っています。これは大企業で働く人にとっては不利なことであり、私がここから始めたときは本当にカルチャーショックでした。それは私の選択ではなく管理の選択であり、それはそれです。

— ジョンガーデニアズ、

3

これらの投稿のほとんどはかなり古いようですが、これが現在のトピックであり続けるように思われるので、うまくいけば、知識のある人がまだスレッドでアクティブです。

確かに、パスワードを要求する必要がないはずの議論をすることができます。私はユーザーに「共有しないでください」と伝えたいと思います...そしてはい、ほとんどの場合、設定はユーザーの管理者が処理できます。しかし、トラブルシューティングは別の問題です。

2600人の学生と500人の従業員が参加する1対1のプログラムをサポートしています。私達は「奇妙な」ソフトウェア問題に日常的に取り組んでいます。問題を解決するために（またはリロードが必要になることを確信を持って判断するために）ユーザーとして問題を経験しなければならないことがよくあります。絶対に、ユーザーが存在する状態でこれを実行しようとしますが、それが常に実用的であるとは限りません。彼らは維持するスケジュールを持っています。

スマートカードはどうですか？スマートカードをドメインアカウントに（一時的に）関連付けることができる2010/2012 AD環境の実現可能性はありますか？これにより、実際にはユーザーのアカウントへのアクセスが許可されますが、パスワードは明示的に公開されません。トラブルシューティングが完了すると、カードは非アクティブ化されます。技術者はアカウントを利用できますが、カードは十分に監視できます。

私たちは何年も指紋リーダーを使用してきましたが、特定の技術のために指紋リーダーをセットアップしてから、そのプリントをクリアするプロセスは、単に実行可能ではありません。特定のユーザーに対してスマートカードを "承認"してから "非アクティブ化"するプロセスがどれほど複雑になるかはわかりませんが、かなり妥協の可能性があるようです。

— JABlaine
ソース

StackExchangeは、従来のフォーラムとは異なるモデルで動作します。これは、これがディスカッションスレッドではなく、潜在的な回答の選択が続く質問です。欠点としては、これもFAQによる質問の良い例です。

— スコットパック

1

はい：プロファイルに対して実行する必要があるすべてのこと。その場合、パスワードを知っているか、またはパスワードを設定する必要があります。その後、あなたが終わったときに彼らはそれを変更することができます。

そのユーザーとしてログインした場合、追加のアクセス許可は付与されません。あなたは彼らの権限で彼らとしてログインしています。

— KCotreau
ソース

私をそれに打ち負かしました。特にOutlookと統合するアプリケーションを考えていました。

— gravyface

はい、明らかにユーザーに追加のアクセス許可を与えていません。問題は、管理者が個々のユーザーの権限を使用して、自分自身の管理者権限では実行できなかったことが何ができるのかということです。それでは、管理者は自分の管理者アカウントからは実行できなかったユーザーのプロファイルに対して何をするでしょうか？

— Isaac Truett、

管理者が何ができないかという質問への回答：そのユーザーとしてログインするだけです。そのユーザーがログインすると、そのユーザーに関連付けられているプロファイルに変更を加えることができます。管理者としてログインすると、管理者プロファイルを使用してログインします。

— KCotreau、2011年

私は質問を誤解していると思いましたが、プロファイルに何かをするのにユーザーのパスワードは必要ありません。

— ジムB