¿Alguna vez necesitará la contraseña de dominio de un usuario?

10

¿Hay algo que deba hacer un administrador de dominio de Windows al configurar una estación de trabajo para un nuevo usuario que no se pueda hacer sin la contraseña de la cuenta de dominio del usuario? Para evitar pedir a los usuarios sus contraseñas, el administrador podría, en teoría, cambiar la contraseña, iniciar sesión como usuario y hacer lo que sea que quisieran hacer, pero eso en realidad les daría permisos adicionales que aún no tienen virtud de ser un administrador de dominio?

ACTUALIZAR:

Las respuestas hasta ahora se han referido a "afinar" o cambiar el perfil del usuario. Sin embargo, existe este artículo de Microsoft sobre la modificación del perfil predeterminado que se aplica a los usuarios cuando inician sesión por primera vez y estas instrucciones para cambiar la configuración del registro de Windows de otro usuario en cualquier momento. ¿Qué cambiaría un administrador mientras está conectado como usuario que el administrador no podría cambiar usando estas u otras técnicas disponibles que no implican iniciar sesión como usuario? Simplemente "iniciar sesión como usuario" no es una razón para pedir o cambiar la contraseña del usuario. Estoy buscando una razón práctica para hacerlo.

windows domain Isaac Truett
fuente
2
Mi sospecha antes de hacer esta pregunta era que, aunque la administración de Windows podría estar torcida a veces, no había nada que fuera imposible para un administrador que fuera posible para un usuario final menos privilegiado. El motivador para solicitar la contraseña de un usuario, o cambiar su contraseña, e iniciar sesión con su cuenta sería inexperiencia o conveniencia; o el administrador no sabe cómo hacer algo o no quiere jugar con los registros y editar archivos de configuración a mano y no tiene herramientas disponibles para realizar los cambios necesarios.
Isaac Truett
1
Es posible que desee volver a escribir esta pregunta, ya que al principio pregunta sobre las contraseñas de los usuarios y luego cambia para iniciar sesión como usuario. Estos son 2 problemas separados
Jim B
¿Qué tal instalar una aplicación que requiere acceso al perfil de Outlook del usuario (como una aplicación CRM que usa Outlook)? Estás a merced del script de instalación del desarrollador de la aplicación.
gravyface
@ Jim En realidad, traté de evitar la vía de restablecimiento de contraseña en la segunda oración de mi pregunta original. Si restablece la contraseña de un usuario, entonces SI tiene la contraseña de ese usuario. No tienes su contraseña ANTIGUA. Estaba recibiendo respuestas vagas sobre cómo cambiar el perfil de un usuario, así que proporcioné enlaces que mostraban cómo podía hacerlo sin hacerse pasar por el usuario. También llamé específicamente "iniciar sesión como usuario" porque no es un objetivo final aceptable porque eso se mencionó en un comentario como algo que no se puede hacer sin solicitar / cambiar la contraseña del usuario.
Isaac Truett
@gravyface ¿Entonces su respuesta es "instalar software mal escrito?" Interesante. ¿Quieres publicarlo como respuesta?
Isaac Truett

Respuestas:

12

No es aceptable ni necesario que un administrador solicite la contraseña de un usuario.

En las circunstancias en que puede ser necesario que un administrador inicie sesión como usuario (y no creo que existan tales circunstancias), el usuario debe iniciar sesión y supervisar las actividades del administrador.

La razón de esto es la responsabilidad. Es responsabilidad de cada usuario asegurarse de que su contraseña sea segura. Si la actividad maliciosa se remonta a las credenciales de un usuario, ese usuario podría ser considerado responsable. Por lo tanto, deben asegurarse de que sus credenciales permanezcan seguras.

También es responsabilidad de la organización asegurarse de que esto no solo se adopte, sino que se haga cumplir. Hubo un caso legal en el que alguien de una organización envió un correo electrónico malicioso utilizando el buzón de otra persona. El propietario del buzón fue finalmente despedido. Si bien argumentaron que le habían dado su contraseña a otra persona, la compañía insistió en que era su responsabilidad mantener la integridad de sus credenciales y, por lo tanto, eran responsables, como lo dictaba la política de TI de su compañía. Esto fue revocado por un tribunal cuando este usuario demostró que había una cultura de intercambio de contraseñas endémicas dentro de la organización. El tribunal dictaminó que si no se podía ver a la compañía hacer cumplir activamente su política de TI, no podían confiar en ella para la rendición de cuentas en estas circunstancias.

Dicho esto, claramente hay un abismo entre la teoría y la práctica. Contraté a una importante empresa multinacional que brinda, entre otras cosas, servicios de asesoramiento de TI, y como parte del procedimiento documentado para una actualización SOE, se nos indicó que solicitemos la contraseña del usuario final.

Personalmente, adopto un enfoque de línea dura para esto. No creo que sea necesario solicitar contraseñas (o volver a configurarlas para acceder a la cuenta de un usuario). Si hay una carga de trabajo enormemente aumentada para evitar esto, entonces que así sea. No es excusa para comprometer la seguridad. Supongo que soy afortunado de no ser un gerente, por lo que no tengo que asumir la responsabilidad de estas decisiones cuando alguien más alto me lo indique.

Mate
fuente
55
¿Estás sugiriendo seriamente que sabes lo que es aceptable o necesario en cada situación concebible en el planeta?
John Gardeniers
3
Por supuesto que no, si alguien me puede dar un ejemplo de lo contrario, lo aceptaré con mucho gusto. No estoy hablando de todas las situaciones concebibles en el planeta, pero dicho esto no puedo concebir ningún objetivo que solo se pueda lograr comprometiendo las credenciales de inicio de sesión de un usuario.
Matt
2
Dices "por supuesto que no", lo que invalida por completo la primera oración de tu respuesta. Le sugiero que lo edite en consecuencia.
John Gardeniers
77
Quizás no estaba claro. Estoy tomando un enfoque científico. El hecho de que el sol haya salido todos los días durante los últimos cinco mil millones de años no significa que pueda decir con absoluta certeza que saldrá mañana. Pero si me preguntas, "¿saldrá el sol mañana?", Diré que sí sin sentir la necesidad de calificarlo aún más. Así que considero que su pregunta sobre "cada situación concebible en el planeta" es una calificación igualmente hipotética y abstracta.
Matt
3
Me viene a la mente una nueva configuración de usuario, y su mente obviamente está estancada aquí. Nuevo usuario = "Ningún usuario tiene la contraseña", por lo que TI configura al usuario y luego le da la contraseña (que cambia de inmediato). Nunca le preguntan al usuario porque, ah, el usuario en este momento no conoce la contraseña.
TomTom
18

Seamos claros: si usted es un administrador de dominio, puede instalar una pieza de software, se le ocurre un controlador de dispositivo, que literalmente puede hacer cualquier cosa. Sin embargo, es poco práctico, desde "¿Cuál es la clave de registro para el fondo de escritorio?" todo el camino hasta "Y luego nos conectamos a la llamada de lectura de archivo dentro de la capa de perfil cifrado para engañar a Firefox para que piense que han deshabilitado las cookies de doubleclick.net".

Estás pidiendo un absoluto, y creo que esa es la forma incorrecta de ver esto, porque la respuesta será "Nunca necesitas la contraseña del usuario, realmente ", lo cual es muy engañoso. La realidad es que hasta que Microsoft entregue (o instale un software de terceros para permitir) una capacidad como * NIX's su/ sudo, nunca podrá imitar perfectamente la cuenta de un usuario para todos los propósitos mientras mantiene una apariencia de cordura, sin requerir ocasionales uso - nota No dije "divulgación" - de su contraseña.

BMDan
fuente
Un punto muy justo. Un punto que estaba haciendo en mi propia respuesta sumariamente eliminada fue que parece haber una falta de soporte de herramientas en esta área.
Isaac Truett
en lo que respecta a sudo en lo que respecta a eso, el modelo de seguridad de Windows impide el uso de una utilidad de tipo sudo, ya que significa que podría ejecutar aplicaciones en el contexto de otro usuario sin autenticarse como ese usuario primero (hay formas de evitarlo, pero todos se esfuerzan por dar la vuelta al modelo de seguridad).
Jim B
1
+1: esta respuesta cubre muy bien las realidades, así como la teoría.
John Gardeniers
8

Muchos de nosotros hemos trabajado en entornos donde se requería la divulgación de la contraseña por varias razones. Incluso iré tan lejos como para decir que todos lo consideramos una mala idea. Si es necesario hacerlo, el usuario final debe consentirlo, no ser forzado.

En el pasado, como 1998, mi departamento de TI solía solicitar la contraseña de un usuario cuando estábamos haciendo un reemplazo de PC para poder configurarlo exactamente como tenían la anterior. Abajo a las ubicaciones de los iconos. Como estábamos en un entorno Novell NetWare sin el dominio WinNT correspondiente, cambiar su contraseña de red no cambió su contraseña local, por lo que necesitábamos tener esa contraseña si queríamos ofrecer ese nivel de servicio sin interrupciones.

Eso fue hace 13 años. Usted preguntó específicamente sobre los dominios de Windows. En el trabajo que acabo de dejar, una gran universidad, dependía del usuario final si revelar o no una contraseña o estar allí para cualquier trabajo que se estuviera haciendo. En otras palabras, el usuario final optó por él en lugar de ser forzado por TI. Ciertos tipos ejecutivos muy ocupados en la parte superior del organigrama general generalmente tenían su asistente de administrador para iniciar sesión, por lo que fue fácil para las personas de TI ingresar (el consentimiento ya se había delegado).

En Windows, la única forma de ajustar manualmente el perfil de un usuario es iniciar sesión como ese usuario. Si ese perfil necesita ajuste manual por alguna razón (queda una mala desinstalación que se interpone en el camino de una reinstalación u otras cosas extrañas), la persona de TI deberá iniciar sesión como ese usuario. Esto se puede hacer forzando un cambio de contraseña administrativa, haciendo que el usuario revele su contraseña o haciendo que el usuario registre a la persona de TI como ellos mismos y permitiendo que la persona de TI trabaje.

sysadmin1138
fuente
¿Qué tipo de ajuste de perfil podría hacer como usuario que no podría hacer modificando el perfil predeterminado como se describe aquí antes de que el usuario inicie sesión?
Isaac Truett
En su mayor parte, no, todavía hay cosas que deben configurarse para ese usuario específico. Por ejemplo, antes de Outlook 2007 / Exchange 2007, tenía que configurar Outlook manualmente para ese usuario. Ahora, con detección automática, que posiblemente podría considerar dejar que ellos tratan a sí mismos, pero aún así, la mayoría de los administradores no tendría ya que los usuarios sólo quieren que se inicie cuando se conectan.
KCotreau
@KContreau Microsoft dice aquí que los perfiles de Outlook se almacenan en el registro, que un administrador puede editar desde su propia cuenta. ¿Alguna otra idea?
Isaac Truett
44
@IsaacTruett Técnicamente, todo se puede hacer directamente mediante regedit o editando manualmente esos archivos desktop.ini. Sin embargo, muchas personas de TI se sienten mucho más cómodas con las herramientas de IU. Como atajo, aunque no sea aconsejable, la persona de TI puede pedirle a un usuario que haga cualquiera de las tres cosas que mencioné (iniciar sesión para ellas, restablecer la contraseña o dar la contraseña) y usar las herramientas ellos saben bien, la GUI.
sysadmin1138
1
@KCotreau @Isaac Técnicamente , podría copiar temporalmente su sección de registro en el perfil del administrador, usar lo que sea necesario para editarlo y luego volver a colocarlo. Esta no es una buena idea ™ en el 99% de los casos. Sé de muy pocas circunstancias en las que es necesario conocer la contraseña del usuario en estos días; y todos están relacionados con conveniencias tontas (como el ejemplo de Netware que dio SysAdmin1138).
Chris S
5

Algunas aplicaciones durante la instalación requieren la capacidad de realizar cambios o hacer referencia al perfil del usuario (es decir, aplicaciones CRM que se integran con Outlook) mediante el uso de variables ambientales como% userprofile%, modificando HK_CURRENT_USER y similares.

Si bien podría "realizar ingeniería inversa" en una instalación con herramientas como procmon y luego modificar manualmente el perfil del usuario, el registro, etc. después del hecho, esto es altamente ineficiente, poco práctico y propenso a errores.

salsa
fuente
1
+1. Definitivamente podría ver que esto es un factor. Como ingeniero de software, diría que hay mejores formas de escribir procesos de instalación que exigir que el usuario final inicie sesión durante la instalación. De hecho, existen productos de software existentes que permiten diferentes procesos de instalación de usuario único y multiusuario, como Google Chrome .
Isaac Truett
@ Isaac, creo que ha pasado por alto el principio fundamental de la configuración por usuario, que no puede ser atendido por el instalador. Tomemos, por ejemplo, un paquete que será utilizado por múltiples usuarios en una máquina determinada, donde cada usuario necesita / quiere / requiere una configuración diferente y deben estar en su lugar antes de que esos usuarios comiencen a usar el paquete.
John Gardeniers
@ John / Isaac: Supongo, John, ¿estás hablando de completar esta personalización en nombre del usuario? Si es así, sí, otro buen punto de por qué querría o necesitaría iniciar sesión como usuario, especialmente si la configuración no se puede modificar fuera de la aplicación (almacenada en formato binario) y está vinculada al usuario actualmente conectado.
gravyface
eso es correcto. Restablecer la contraseña del usuario en tal situación simplemente causa problemas, e interfiere con su capacidad de hacer lo que está haciendo actualmente en otra máquina.
John Gardeniers
4

Absolutamente 100% no. Cualquier cosa que deba hacerse con la cuenta de otro usuario debe hacerse restableciendo la contraseña de los usuarios, iniciando sesión y luego haciendo que el usuario llame al servicio de asistencia o colocando la contraseña en algo que le indiquen a los usuarios y configurando la cuenta para forzar el cambio de contraseña. en el próximo inicio de sesión. Si bien admití que he trabajado en entornos bastante grandes o seguros, revelar su contraseña a cualquier persona fue motivo de terminación (y ese debería ser el caso en la mayoría de las situaciones)

Jim B
fuente
1
Esa es una declaración demasiado amplia. Hay muchos entornos donde eso simplemente no funcionará. Yo iría por quizás el 98% pero ciertamente no el 100%.
John Gardeniers
1
@John ¿Puede ofrecer un ejemplo específico de algo que es imposible de hacer sin iniciar sesión como usuario final?
Isaac Truett
1
@Isaac: hay muchas aplicaciones que, durante la instalación, hacen referencia a% userprofile% para la ubicación de archivos, tal vez hacen cambios como instalar barras de herramientas en Word o Outlook, etc. Seguro, puede sentarse allí con Procmon en ejecución, registrar diligentemente cada registro, perfil, etc. cambian, pero ¿por qué te molestarías?
gravyface
@ John, ¿puede darme un ejemplo de dónde sería imposible restablecer la contraseña de los usuarios como se explica? Estoy de acuerdo en que hay lugares donde los usuarios son demasiado complacientes o los administradores demasiado flojos, pero aún no he encontrado un lugar en el que eso simplemente no podría funcionar.
Jim B
1
@Jim, donde trabajo, con frecuencia necesitamos iniciar sesión como otros y restablecer las contraseñas simplemente molesta a las personas sin una buena causa. Tenemos un entorno donde las contraseñas (para la mayoría de los usuarios) no son secretas dentro de la empresa. Sé que eso va en contra de cualquier persona que trabaje en compañías más grandes y fue un verdadero choque cultural para mí cuando comencé aquí. Es una opción de gestión, no mía, y eso es todo.
John Gardeniers
3

La mayoría de estas publicaciones parecen bastante antiguas, pero es de esperar que algunas personas conocedoras todavía estén activas en el hilo, ya que esto parece seguir siendo un tema actual.

Ciertamente se pueden hacer argumentos para que nunca deba solicitar una contraseña. Prefiero decirles a mis usuarios "nunca compartan" ... y sí, la configuración puede ser manejada en la mayoría de los casos por un administrador para un usuario. Pero la solución de problemas es otro asunto.

Apoyamos un programa individual con 2600 estudiantes y 500 empleados. Abordamos los problemas de software "extraños" a diario. Es muy frecuente que tengamos que experimentar el problema como usuario para resolver el problema (o determinar con cierta confianza que será necesaria una recarga). Absolutamente, tratamos de hacer esto con el usuario presente, pero eso no siempre es práctico; Tienen un horario que mantener.

¿Qué pasa con las tarjetas inteligentes? ¿Existe alguna posibilidad en un entorno de AD 2010/2012 de que una tarjeta inteligente pueda asociarse (temporalmente) con una cuenta de dominio? Esto permitiría el acceso a la cuenta del usuario en realidad, sin exponer su contraseña específicamente. La tarjeta podría desactivarse cuando se completara la resolución de problemas. Los técnicos podrían utilizar la cuenta, pero las tarjetas podrían estar bien supervisadas.

Hemos utilizado lectores de huellas dactilares durante años, pero el proceso para configurarlo para una tecnología específica y luego eliminar esa impresión simplemente no es factible. No estoy seguro de cuán complejo sería el proceso para "autorizar" y luego "desactivar" una tarjeta inteligente para un usuario en particular, pero parece que podría ser un compromiso decente.

JABlaine
fuente
StackExchange opera en un modelo diferente al de los foros tradicionales, ya que este no es un hilo de discusión sino una pregunta seguida de una selección de posibles respuestas. En el lado negativo, este también es un mal ejemplo de una pregunta según nuestras preguntas frecuentes .
Scott Pack
1

Sí: cualquier cosa que deba hacerse en su perfil. Cuando eso suceda, debe conocer su contraseña o establecerla, como dijo. Luego pueden cambiarlo cuando haya terminado.

Si inicia sesión como ese usuario, no le está otorgando permisos adicionales. Estás iniciando sesión como ellos con sus permisos.

KCotreau
fuente
vencerme Estaba pensando en aplicaciones que se integran especialmente con Outlook.
gravyface
Sí, obviamente no le está dando al usuario permisos adicionales. La pregunta es, ¿qué podría hacer un administrador con los permisos de un usuario individual que ellos, el administrador, no podrían hacer con sus propios permisos de administrador? Entonces, ¿qué haría un administrador al perfil de un usuario que no podría hacer desde su propia cuenta de administrador?
Isaac Truett
La respuesta a su pregunta: ¿qué no puede hacer el administrador? Simplemente inicie sesión como ese usuario. Cuando ese usuario inicia sesión, solo entonces se pueden realizar cambios en el perfil asociado con ese usuario. Cuando inicia sesión como administrador, inicia sesión con su perfil de administrador.
KCotreau
Pensé que había leído mal la pregunta, pero no, no necesita la contraseña de los usuarios para hacer nada al perfil.
Jim B