Le service informatique aurait-il besoin d'un mot de passe de domaine d'utilisateur?


10

Y a-t-il quelque chose qu'un administrateur de domaine Windows pourrait devoir faire lors de la configuration d'un poste de travail pour un nouvel utilisateur qui ne peut absolument pas être fait sans le mot de passe du compte de domaine de l'utilisateur? Pour éviter de demander aux utilisateurs leurs mots de passe, l'administrateur pourrait, en théorie, changer le mot de passe, se connecter en tant qu'utilisateur et faire tout ce qu'il voulait, mais cela leur donnerait-il réellement des autorisations supplémentaires qu'ils n'ont pas déjà en vertu d'être un administrateur de domaine?

METTRE À JOUR:

Jusqu'à présent, les réponses se référaient à «l'optimisation» ou à la modification du profil de l'utilisateur. Cependant, il y a cet article de Microsoft sur la modification du profil par défaut qui est appliqué aux utilisateurs lors de leur première connexion et ces instructions pour modifier les paramètres de registre Windows d'un autre utilisateur à tout moment. Qu'est-ce qu'un administrateur changerait lors de sa connexion en tant qu'utilisateur que l'administrateur ne pourrait pas modifier à l'aide de ces techniques ou d'autres techniques disponibles n'impliquant pas la connexion en tant qu'utilisateur? Le simple fait de se connecter en tant qu'utilisateur n'est pas une raison pour demander ou modifier le mot de passe de l'utilisateur. Je cherche une raison pratique de le faire.


2
Avant de poser cette question, je soupçonnais que, même si l'administration Windows était parfois tordue, il n'y avait rien qui serait impossible pour un administrateur qui serait possible pour un utilisateur final moins privilégié. Le facteur de motivation pour demander le mot de passe d'un utilisateur, ou changer son mot de passe et se connecter avec son compte serait l'inexpérience ou la commodité; soit l'administrateur ne sait pas comment faire quelque chose, soit il ne veut pas manipuler les registres et éditer les fichiers de configuration à la main et ne dispose pas d'outils pour effectuer les modifications requises.
Isaac Truett

1
Vous voudrez peut-être réécrire cette question car vous posez d'abord des questions sur les mots de passe des utilisateurs, puis vous vous connectez en tant qu'utilisateur. Ce sont deux problèmes séparés
Jim B

Que diriez-vous d'installer une application qui nécessite l'accès au profil Outlook de l'utilisateur (comme une application CRM qui utilise Outlook)? Vous êtes à la merci du script d'installation du développeur d'application.
gravyface

@Jim En fait, j'ai essayé de quitter l'avenue de réinitialisation de mot de passe dans la deuxième phrase de ma question d'origine. Si vous réinitialisez le mot de passe d'un utilisateur, vous disposez désormais du mot de passe de cet utilisateur. Vous n'avez pas leur ancien mot de passe. J'obtenais des réponses vagues sur la modification du profil d'un utilisateur, j'ai donc fourni des liens montrant comment vous pouvez le faire sans usurper l'identité de l'utilisateur. J'ai également spécifiquement appelé «se connecter en tant qu'utilisateur» comme n'étant pas un objectif final acceptable car cela a été mentionné dans un commentaire comme quelque chose que vous ne pourriez pas faire sans demander / changer le mot de passe de l'utilisateur.
Isaac Truett

@gravyface Votre réponse est donc "d'installer un logiciel mal écrit?" Intéressant. Voulez-vous l'afficher comme réponse?
Isaac Truett

Réponses:


12

Il n'est ni acceptable ni nécessaire qu'un administrateur demande le mot de passe d'un utilisateur.

Dans les circonstances où il peut être nécessaire qu'un administrateur se connecte en tant qu'utilisateur (et je ne pense pas que de telles circonstances existent), l'utilisateur doit se connecter et superviser les activités de l'administrateur.

La raison en est la responsabilité. Il est de la responsabilité de chaque utilisateur de s'assurer que son mot de passe est sécurisé. Si une activité malveillante remontait aux informations d'identification d'un utilisateur, cet utilisateur pourrait être tenu responsable. Par conséquent, ils doivent s'assurer que leurs informations d'identification restent sécurisées.

Il est également de la responsabilité de l'organisation de veiller à ce que cela soit non seulement adopté, mais appliqué. Il y a eu un cas juridique où quelqu'un dans une organisation a envoyé un e-mail malveillant en utilisant la boîte aux lettres de quelqu'un d'autre. Le propriétaire de la boîte aux lettres a finalement été licencié. Bien qu'ils aient fait valoir qu'ils avaient donné leur mot de passe à quelqu'un d'autre, l'entreprise a insisté sur le fait qu'il était de leur responsabilité de maintenir l'intégrité de leurs informations d'identification, et qu'ils étaient donc responsables, comme le dictait la politique informatique de leur entreprise. Cela a ensuite été annulé par un tribunal lorsque cet utilisateur a prouvé qu'il existait une culture de partage de mots de passe endémique au sein de l'organisation. Le tribunal a statué que si l'entreprise ne pouvait pas être considérée comme appliquant activement sa politique informatique, elle ne pouvait pas compter sur elle pour rendre des comptes dans ces circonstances.

Cela dit, il y a clairement un fossé entre la théorie et la pratique. J'ai passé un contrat pour une grande entreprise multinationale qui fournit, entre autres, des services de conseil informatique, et dans le cadre de la procédure documentée pour une mise à niveau SOE, on nous a demandé de demander le mot de passe de l'utilisateur final.

Personnellement, j'adopte une approche dure à ce sujet. Je ne pense pas qu'il soit nécessaire de demander des mots de passe (ou de les redéfinir pour accéder au compte d'un utilisateur). S'il y a une charge de travail considérablement accrue pour contourner cela, alors tant pis. Ce n'est pas une excuse pour compromettre la sécurité. Je suppose que je suis juste chanceux de ne pas être un manager, et donc je n'ai pas à assumer la responsabilité de ces décisions lorsque quelqu'un me le demande.


5
Suggérez-vous sérieusement de savoir ce qui est acceptable ou nécessaire dans toutes les situations imaginables de la planète?
John Gardeniers

3
Bien sûr que non - si quelqu'un peut me donner un exemple du contraire, je l'accepterai volontiers. Je ne parle pas de toutes les situations imaginables sur la planète, mais cela dit, je ne peux imaginer aucun objectif qui ne soit réalisable qu'en compromettant les informations de connexion d'un utilisateur.
Matt

2
Vous dites «bien sûr que non», ce qui invalide complètement la première phrase de votre réponse. Je vous suggère de le modifier en conséquence.
John Gardeniers

7
Peut-être que je n'étais pas clair. J'adopte une approche scientifique. Ce n'est pas parce que le soleil s'est levé chaque jour au cours des cinq derniers milliards d'années que je peux dire avec une certitude absolue qu'il se lèvera demain. Mais si vous me demandez "le soleil se lèvera-t-il demain?", Je répondrai oui sans ressentir le besoin de nuancer davantage. Je considère donc votre question concernant "toutes les situations imaginables sur la planète" comme une qualification tout aussi hypothétique qu'abstraite.
Matt

3
je pense à la nouvelle configuration utilisateur - et votre esprit est évidemment coincé ici. Nouvel utilisateur = "Aucun utilisateur n'a le mot de passe", donc le service informatique configure l'utilisateur, puis lui donne le mot de passe (qui change immédiatement). Ils ne demandent jamais à l'utilisateur parce que - ah l'utilisateur à ce stade ne connaît pas le mot de passe.
TomTom

18

Soyons clairs: si vous êtes administrateur de domaine, vous pouvez installer un logiciel - un pilote de périphérique me vient à l'esprit - qui peut littéralement faire n'importe quoi. Cependant, il s'agit de divers degrés d'impraticabilité, allant de "Quelle est la clé de registre pour l'arrière-plan du bureau, encore?" jusqu'à "Et puis nous accrochons à l'appel de lecture de fichier à l'intérieur de la couche de profil crypté afin de faire croire à Firefox qu'ils ont désactivé les cookies de doubleclick.net".

Vous demandez un absolu, et je pense que ce n'est pas la bonne façon de voir les choses, parce que la réponse va être "Vous n'avez jamais vraiment besoin du mot de passe de l'utilisateur ", ce qui est très trompeur. La réalité est que tant que Microsoft ne fournira pas (ou que vous n'installez pas de logiciel tiers pour permettre) une capacité comme * NIX's su/ sudo, vous ne pourrez jamais imiter parfaitement le compte d'un utilisateur à toutes fins tout en conservant un semblant de raison, sans nécessiter occasionnellement utilisation – note je n'ai pas dit "divulgation!" - de leur mot de passe.


Un point très juste. Un point que je faisais dans ma propre réponse supprimée sommairement était qu'il semble y avoir un manque de support d'outils dans ce domaine.
Isaac Truett

sur le point de sudo dans la mesure où cela va, le modèle de sécurité Windows empêche l'utilisation d'un utilitaire de type sudo, car cela signifie que vous pouvez exécuter des applications dans le contexte d'un autre utilisateur sans vous authentifier en tant qu'utilisateur en premier (il existe des moyens de contourner ce problème, mais ils font tous des efforts pour contourner le modèle de sécurité).
Jim B

1
+1 - Cette réponse couvre bien les réalités, ainsi que la théorie.
John Gardeniers

8

Beaucoup d'entre nous ont travaillé dans des environnements où la divulgation des mots de passe était requise pour diverses raisons. J'irai même jusqu'à dire que nous considérons tous que c'est une mauvaise idée. Si cela doit être fait, l'utilisateur final doit y consentir, ne pas être contraint.

À l'époque, comme en 1998, mon service informatique demandait le mot de passe d'un utilisateur lorsque nous faisions un remplacement de PC afin que nous puissions le configurer exactement comme il avait l'ancien. Jusqu'aux emplacements des icônes. Comme nous étions dans un environnement Novell NetWare sans domaine WinNT correspondant, la modification de leur mot de passe réseau n'a pas changé leur mot de passe local, nous avions donc besoin de ce mot de passe si nous voulions fournir ce niveau de service transparent.

C'était il y a 13 ans. Vous avez spécifiquement posé des questions sur les domaines Windows. Au poste que je venais de quitter, une grande université, c'était à l'utilisateur final de divulguer ou non un mot de passe ou d'être là pour tout travail en cours. En d'autres termes, l'utilisateur final y a opté plutôt que d'être forcé par l'informatique. Certains types de cadres très occupés en haut de l'organigramme avaient généralement leur assistant d'administration connecté pour eux, il était donc facile pour les informaticiens de se connecter (le consentement avait déjà été délégué).

Sous Windows, la seule façon de régler manuellement le profil d'un utilisateur est de se connecter en tant qu'utilisateur. Si ce profil a besoin d'être ajusté manuellement pour une raison quelconque (il reste une mauvaise désinstallation qui gêne une réinstallation ou d'autres choses étranges), l'informaticien devra se connecter en tant qu'utilisateur. Cela peut être fait en forçant un changement de mot de passe administratif, en demandant à l'utilisateur de divulguer son mot de passe, ou en demandant à l'utilisateur de connecter le technicien informatique en tant que lui-même et de laisser le technicien informatique travailler.


Quel type de réglage de profil pourriez-vous faire en tant qu'utilisateur que vous ne pouviez pas faire en modifiant le profil par défaut comme décrit ici avant que l'utilisateur ne se connecte?
Isaac Truett

Pour la plupart, non, il y a encore des choses qui doivent être configurées pour cet utilisateur spécifique. Par exemple, avant Outlook 2007 / Exchange 2007, vous deviez configurer Outlook manuellement pour cet utilisateur. Maintenant, avec la découverte automatique, vous pourriez éventuellement envisager de les laisser essayer eux-mêmes, mais la plupart des administrateurs ne voudraient pas que les utilisateurs le démarrent lorsqu'ils se connectent.
KCotreau

@KContreau Microsoft indique ici que les profils Outlook sont stockés dans le registre, qu'un administrateur peut modifier à partir de son propre compte. D'autres idées?
Isaac Truett

4
@IsaacTruett Techniquement, tout peut être fait directement via regedit ou l'édition manuelle de ces fichiers desktop.ini. Cependant, de nombreux informaticiens sont beaucoup plus à l'aise avec les outils d'interface utilisateur. En tant que raccourci, peu judicieux, le responsable informatique peut demander à un utilisateur de faire l'une des trois choses que j'ai mentionnées (se connecter pour lui, effectuer une réinitialisation du mot de passe ou donner le mot de passe) et utiliser les outils ils connaissent bien l'interface graphique.
sysadmin1138

1
@KCotreau @Isaac Techniquement, vous pouvez copier temporairement leur ruche de registre dans le profil de l'administrateur, utiliser tout ce qui est nécessaire pour le modifier, puis le remettre. Ce n'est pas une bonne idée ™ dans 99% des cas. Je connais très peu de circonstances où la connaissance du mot de passe des utilisateurs est nécessaire de nos jours; et tous sont liés à des commodités stupides (comme l'exemple Netware SysAdmin1138 a donné).
Chris S

5

Certaines applications pendant l'installation nécessitent la possibilité d'apporter des modifications ou de référencer le profil de l'utilisateur (c'est-à-dire les applications CRM qui s'intègrent avec Outlook) en utilisant des variables d'environnement comme% userprofile%, en modifiant HK_CURRENT_USER, etc.

Bien que vous puissiez certainement "désosser" une installation avec des outils comme procmon, puis modifier manuellement le profil de l'utilisateur, le registre, etc. après coup, cela est très inefficace, peu pratique et sujet aux erreurs.


1
+1. Je pouvais certainement voir cela comme un facteur. En tant qu'ingénieur logiciel, je dirais qu'il existe de meilleures façons d'écrire les processus d'installation que d'exiger que l'utilisateur final soit connecté pendant l'installation. Il existe, en fait, des produits logiciels existants qui permettent différents processus d'installation mono-utilisateur et multi-utilisateurs, tels que Google Chrome .
Isaac Truett

@Isaac, je crois que vous avez ignoré le principe fondamental de la configuration par utilisateur, qui ne peut pas être pris en charge par l'installateur. Prenons par exemple un package qui va être utilisé par plusieurs utilisateurs sur une machine donnée, où chaque utilisateur a besoin / veut / nécessite une configuration différente et ils doivent être en place avant que ces utilisateurs commencent à utiliser le package.
John Gardeniers

@ John / Isaac: Je suppose, John, que vous parlez de terminer cette personnalisation au nom de l'utilisateur? Si oui, oui, un autre bon point pour savoir pourquoi vous souhaitez ou devez vous connecter en tant qu'utilisateur, surtout si la configuration n'est pas modifiable en dehors de l'application (stockée dans un format binaire) et est liée à l'utilisateur actuellement connecté.
gravyface

c'est exact. La réinitialisation du mot de passe de l'utilisateur dans une telle situation ne fait que causer des problèmes et interfère avec sa capacité à faire tout ce qu'il fait actuellement sur une autre machine.
John Gardeniers

4

Absolument pas à 100%. Tout ce qui doit être fait avec un autre compte d'utilisateurs doit être fait en réinitialisant le mot de passe des utilisateurs, en se connectant, puis en demandant à l'utilisateur d'appeler le service d'assistance ou en restituant le mot de passe à quelque chose aux utilisateurs et en définissant le compte pour forcer le mot de passe à changer lors de la prochaine connexion. Tout en admettant que j'ai travaillé dans des environnements assez grands et / ou sécurisés, la divulgation de votre mot de passe à quiconque était généralement un motif de résiliation (et cela devrait être le cas dans la plupart des situations)


1
C'est une déclaration trop large. Il existe de nombreux environnements où cela ne fonctionne tout simplement pas. J'irais pour peut-être 98% mais certainement pas 100%.
John Gardeniers

1
@John Pouvez-vous offrir un exemple spécifique de quelque chose qui est impossible à faire sans être connecté en tant qu'utilisateur final?
Isaac Truett

1
@Isaac: il existe de nombreuses applications qui, lors de l'installation, font référence à% userprofile% pour le placement de fichiers, peut-être apporter des modifications telles que l'installation de barres d'outils dans Word ou Outlook, etc. etc. changer, mais pourquoi diable voudriez-vous déranger?
gravyface

@john, pouvez-vous me donner un exemple où il serait impossible de réinitialiser le mot de passe des utilisateurs comme expliqué? Je conviens qu'il y a des endroits où les utilisateurs sont trop complaisants ou les administrateurs trop paresseux, mais je n'ai pas encore rencontré un endroit où cela ne pourrait tout simplement pas fonctionner.
Jim B

1
@Jim, où je travaille, nous devons fréquemment nous connecter en tant qu'autres et réinitialiser les mots de passe fait chier les gens sans raison valable. Nous avons un environnement où les mots de passe (pour la plupart des utilisateurs) ne sont pas secrets au sein de l'entreprise. Je sais que cela va à contre-courant pour quiconque travaille dans de grandes entreprises et ce fut un véritable choc culturel pour moi lorsque j'ai commencé ici. C'est un choix de gestion, pas le mien, et c'est tout.
John Gardeniers

3

La plupart de ces messages semblent assez anciens, mais j'espère que certaines personnes bien informées sont toujours actives sur le fil, car cela semble continuer à être un sujet d'actualité.

On peut certainement affirmer que vous ne devriez jamais avoir à demander un mot de passe. Je préférerais de loin dire à mes utilisateurs "ne jamais partager" ... et oui, la configuration peut dans la plupart des cas être gérée par un administrateur pour un utilisateur. Mais le dépannage est une autre affaire.

Nous soutenons un programme individuel avec 2600 étudiants et 500 employés. Nous traitons quotidiennement des problèmes logiciels "bizarres". Il est assez fréquent que nous devions rencontrer le problème en tant qu'utilisateur afin de résoudre le problème (ou déterminer avec une certaine confiance qu'un rechargement va être nécessaire). Absolument, nous essayons de le faire avec l'utilisateur présent - mais ce n'est pas toujours pratique; ils ont un calendrier à respecter.

Et les cartes à puce? Existe-t-il une possibilité dans un environnement AD 2010/2012 qu'une carte à puce puisse être associée (temporairement) à un compte de domaine? Cela permettrait d'accéder au compte de l'utilisateur en réalité, sans exposer spécifiquement son mot de passe. La carte pourrait alors être désactivée une fois le dépannage terminé. Les techniciens pouvaient utiliser le compte, mais les cartes pouvaient être bien surveillées.

Nous utilisons des lecteurs d'empreintes digitales depuis des années, mais le processus pour configurer cela pour une technologie spécifique, puis effacer cette impression n'est tout simplement pas possible. Je ne sais pas à quel point le processus serait complexe pour "autoriser" puis "désactiver" une carte à puce pour un utilisateur particulier, mais il semble que cela pourrait être un compromis décent.


StackExchange fonctionne sur un modèle différent des forums traditionnels en ce qu'il ne s'agit pas d'un fil de discussion mais plutôt d'une question suivie d'une sélection de réponses potentielles. À la baisse, c'est aussi un mauvais exemple de question selon notre FAQ .
Scott Pack

1

Oui: tout ce qui doit être fait pour leur profil. Lorsque cela se produit, vous devez soit connaître leur mot de passe, soit le définir, comme vous l'avez dit. Ensuite, ils peuvent le changer lorsque vous avez terminé.

Si vous vous connectez en tant qu'utilisateur, vous ne leur accordez pas d'autorisations supplémentaires. Vous vous connectez avec eux avec leurs autorisations.


me battre à elle. Pensait particulièrement aux applications qui s'intègrent à Outlook.
gravyface

Oui, évidemment, vous n'accordez pas à l'utilisateur des autorisations supplémentaires. La question est, que pourrait faire un administrateur avec les autorisations d'un utilisateur individuel que lui, l'administrateur, ne pourrait pas faire avec ses propres autorisations d'administrateur? Alors, que ferait un administrateur au profil d'un utilisateur qu'il ne pourrait pas faire à partir de son propre compte d'administrateur?
Isaac Truett

La réponse à votre question ce que l'administrateur ne peut pas faire: Connectez-vous simplement en tant qu'utilisateur. Lorsque cet utilisateur se connecte, ce n'est qu'alors que des modifications peuvent être apportées au profil associé à cet utilisateur. Lorsque vous vous connectez en tant qu'administrateur, vous vous connectez avec votre profil d'administrateur.
KCotreau

Je pensais avoir mal lu la question, mais non, vous n'avez pas besoin du mot de passe des utilisateurs pour faire quoi que ce soit au profil.
Jim B
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.