Я хотел бы знать плюсы и минусы .. причины и против того, чтобы системный администратор поддерживал списки учетных записей пользователей с паролями .. и, кроме того, не позволял этим пользователям изменять свои пароли.
Я понимаю, что такие системы, как Windows, похоже, поощряют идею о том, что пользователи должны поддерживать собственную безопасность паролей и иметь возможность изменять свой пароль по своему желанию. Я понимаю необходимость конфиденциальности и пользователей, имеющих алиби, чтобы защитить себя в случае, если слово коллеги не согласуется с журналами системы. Но в то же время я также вижу, как некоторые люди могут оправдать сохранение паролей пользователей в файле в случае, если требуется доступ к некоторым материалам, которые пользователи могут захотеть сохранить в тайне.
Мне бы очень хотелось узнать об этой идее.
Системный администратор должен смочь получить доступ к любым файлам, которые имеет пользователь, если они не будут зашифрованы, в этом случае пароль Windows пользователя не поможет. Наличие системы, зная пароли означает, что Вы никогда не можете знать, сделал ли пользователь что-то, или системный администратор сделал, который мог бы вызвать много проблем, если Вы когда-либо входите в спор. Пароли должны были бы быть сохранены где-нибудь, что означает, что существует потенциал для них, чтобы быть потерянным. Наконец, пользователи найдут, что он тяжелее помнит пароль, который они не создали.
Профессионалы - то, что нет никакой потребности изменить пароли, но необходимо будет напомнить пользователям о них. Это также помогает войти в пользовательские учетные записи, но за пределами тестирования или диагностирования проблемы, это не необходимо, и можно получить пароли на индивидуальной основе затем.
Действительно нет никакой причины сделать это, она создает много проблем ни для какого реального усиления.
Почему Вы изменяете someones пароль, когда кто-то отсутствует, и другой человек хочет/нуждается работу? почти каждый человек хранит не связанные с работой данные в их учетных записях в эти дни. Необходимо перемещать только необходимые данные из их пространства и помещать его в пространство, которое принадлежит пользователю, который требует его.
Могут быть юридические обязательства также, с точки зрения защиты данных, использования персональных данных, и т.д. Правда, поскольку администратор там является ничем техническим для остановки меня изменяющий пользовательский пароль и получающий доступ к их учетной записи, но я всегда получал бы записанное разрешение от Менеджера отдела кадров (собственный менеджер человека не достаточно хорош) прежде, чем сделать это.
Большой для меня доверителен. Если Вы имеете высшую власть, Вы в состоянии, где все от самого непритязательного пехотинца генеральному директору должны доверять Вам для не неправильного использования ее. Независимо от действительности позади него что-либо, что помогает укрепить то доверие, сделает вещи намного легче для Вас. Так делая это известным, что "мы не знаем Ваших паролей и мы не можем получить доступ к Вашей учетной записи, не изменяя Ваши пароли (в этом случае, Вы будете знать об этом)", хорошая вещь.
Рабочие компьютеры обеспечивают конфиденциальность от людей, которые не разрешены получить доступ к информации владельца, которая хранится на них. У сотрудников нет конфиденциальности при использовании оборудования работодателя, которое является, почему баннер входа в систему говорит, что все действие может контролироваться в любое время, с или без причины.
(Если Вы не имеете такого баннера входа в систему, работаете — не идут — Вашему корпоративному адвокату как можно скорее, потому что это - Действительно Хорошая Идея.)
Однако это - другой вопрос. Я не думаю, что могу сказать что-либо, что не было сказано в другом ответе, хотя я думаю, что нужно явно указать, что пароль является отдельным идентификатором, и поэтому любой пароль должен быть известен точно одному человеку; универсальный Администратор и т.д. считает, пароли должны быть сохранены в сейфе и измененные после каждого использования.
Я склоняюсь к против политики, где системный администратор должен знать пароль. Это должно быть на основе индивидуального. Каждый раз, когда нам как человек IT нужен пароль пользователей, чтобы сделать работу, мы должны просить их и советовать пользователю изменять их, после того как мы заканчиваем нашу работу. И IT не должен хранить пароли ни в каком формате.
Однако я также должен признать, что когда-то наличие листа пароля очень удобно, очень очень удобно.
Я не видел упомянутый здесь, но я только просмотрел ответы. Много пользователей использует те же пароли для ВСЕГО. Если у Вас есть их сетевой пароль затем, возможности - Вы, имеют пароль для их персональной электронной почты, Photobucket, Facebook, безотносительно.
Я думаю, что это - плохая идея. Системный администратор жулика мог доставить много неприятностей.
Чтобы к обслуживает системы, администраторам нужна способность сделать что-либо - файлы доступа, изменить их, и т.д. Так должен быть способ для администратора получить доступ к любому файлу, но это не должно быть при наличии паролей пользователей.
Для меня я вижу только отрицательные стороны к наличию людей пароли - потеря отслеживаемости, являющейся основной. Если у меня нет ничьего пароля, я не могу обычно получать доступ к их файлам или электронным письмам, я не могу симулировать быть ими и делать что-то на их имя. Наш президент компании раньше хотел, чтобы у нас был его пароль, таким образом, мы могли легко работать над его системой, но после большой попытки я убедил его изменять его и НЕ говорить нам, каково это было.
Я не могу думать о вероятной ситуации, где администратору нужны что-то большее чем способность изменить пароль, таким образом, они могут получить доступ к файлам в чрезвычайной ситуации. Это и пароли временно знающих людей были всегда достаточно. В случаях, где мы должны были сделать некоторую работу над ПК как человек, мы или получим их пароль и затем изменим ее после, или мы изменили бы ее и заставили бы их возвращать ее.
Сервер сфокусировал ответ.
В предыдущем работодателе администраторскому коллективу не установили пароли. Мы использовали только аутентификацию SSH. После работы там, я стал крупным сторонником схем двухфакторной аутентификации, таких как пароль защитил клиентский сертификат или ключ (как ключ SSH или клиентский сертификат SSL).
Я собираюсь уходить на касательной немного.
Дело в том, что, если администратор является на 100% нравственным, не имеет значения, если он знает пароли пользователя, аналогично если администратор не является на 100% нравственным, то не имеет значения, если он не знает пароля. У него есть корень, он может получить пароль ни с кем больше знание. (Он - корень, помните, линейка машины. Нет ничего, что он не может сделать на той машине, включая очистку журналов, блокирующих портов, выполнение безотносительно инструмента, который он хочет, и т.д.),
Нет никого, который является на 100% нравственным в глазах HR, поэтому необходимо предположить, что у администратора всегда есть доступ к паролям пользователя.
Если Вы думаете, что администратор не может сделать этого, потому что он испытывает недостаток в навыках, замените его кем-то, кто делает.
Также - политика, что у администратора не должно быть доступа к паролям пользователя, является тратой печатной политики и бумаги Процедур, так как это не могло быть возможно быть осуществленным. В лучшем случае это предлагает ложное чувство защищенности, и это - худший вид безопасности.
Отслеживаемость является проблемой.
Если пользователи когда-либо опрашиваются о действии, проводимом от их входа в систему, у них есть автоматическое, если это - стандартная рабочая процедура, что кто-то еще может войти в их учетную запись без первого изменения пароля.
Не рискуйте терять отслеживаемость своих системных администраторов и/или своих пользователей.
Я не вижу профессионалов.
Следует иметь в виду, что, если Вы идете для того, что записали комбинации имени пользователя/пароля, у Вас есть очень важный список. При потере того списка, или, хуже все же, наличии кого-то копия, которые перечисляют без Вас знающий, что копия была сделана, будет большой большой проблемой. И Вы действительно действительно не хотите это в файле один некоторый диск где-нибудь, который был бы общим решением.
Это - одна из многих причин, почему каждый не записывает пароли в открытом тексте.
Поскольку другие уже отметили здесь: Никакое серьезное основание для IT для знания пароля пользователя вместо этого доступ пароля пользователя мог бы служить отрицательной ситуации в нескольких формах.
В дополнение к тому, что было уже сказано, если действительно необходимо знать, пароль является паролем локального администратора для машины (или корень), и основной пароль шифрования для Системы. Что-либо имеющее отношение к профилям пользователей нужно считать запрещенным, если нет административный запрос для запросов этих файлов (существуют инструменты для этого),
Администраторы могут всегда изменять пароль пользователя. У них нет причины знать пароль пользователя. Если существует проблема, или пользователь отсутствует, и кому-то еще нужен доступ к файлам, то менеджер может попросить пароль быть измененным в течение дня, и пользователь может установить их пароль, отступают в следующий раз, когда они находятся в.
Существует преимущество в администраторах, пытающихся взломать пароли пользователей для предотвращения используемых слабых паролей.
Не перепутывайте аутентификацию и авторизацию.
Пароль доказывает системе, кто Вы (аутентификация)
Состав группы и полномочия файловой системы обычно dicates, что можно сделать (авторизация).
Для предоставления доверенного доступа администратора к файлам, которые принадлежат кому-то еще Вы увеличиваете их уровень авторизации. Вы не позволяете им войти в систему, как будто они были другим человеком.
Нет никакого выравнивания. Системный администратор может изменить пароль в случае необходимости, но они не должны знать или хранить его.
Существуют только недостатки.
Что относительно моей частной информации, что я ожидаю, что HR сохранит частным?
Обнаружение, где я живу, потому что я взял их парковочное место... отправляющее мою зарплату в Интернете... передающем информацию исключая.. отправленному по электронной почте порно к управлению присоединили мое имя...
Я был бы удивлен, записали ли компании такую политику.
Все во мне говорит "Нет!"
Если Вы думаете, что Вам нужен он затем, Вы, вероятно, не понимаете инструменты и авторизации, доступные Вам как системный администратор, как указано в других ответах.
Позвольте мне также указать на Вас на Моральный кодекс SAGE.
Править: Действительно ли это было идеей менеджера? Так или иначе некоторое образование в порядке: для себя, таким образом, Вы знаете то, что может и не может быть сделано, технически, по закону и этически; для управления, таким образом, Вы и они можете разработать политику, которая встречает бизнес-потребности; и для пользователей, таким образом, они знают то, что они могут ожидать.
Оборотная сторона к разрешению администратору знать все пароли - то, что он мог бы выходить из организации и брать с собой все те данные. Но то же может быть, происходят с данными, расположенными в сетевых ресурсах.
Независимо от того, что Вы делаете не, хранят пароли пользователей в простом тексте. Как в "звонят нам, если Вы забываете свой пароль". Это - остановка. Пользователю присвоят новый пароль при разоблачении в справочной службе лично и вызовут для изменения их пароля перед первым входом в систему.
Для получения информации это является действительно конфиденциальным, я предлагаю, чтобы пользователи приняли дополнительные меры как PGP или Truecrypt, но затем должны были быть сказаны явно, что их данные не могут быть восстановлены их доверяемыми системными администраторами.
Если беспокойство управления об администраторской способности посмотреть в каждый документ затем они должны системному администратору работать сами. У системного администратора, как предполагается, есть почти полное доверие.