11 votes

Isaac Truett avatar

Le service informatique aurait-il jamais besoin du mot de passe de domaine d'un utilisateur ?

Demandé el 24 de Mai, 2011
Quand la question a-t-elle été
8184 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Y a-t-il quelque chose qu'un administrateur de domaine Windows peut avoir à faire lors de la configuration d'un poste de travail pour un nouvel utilisateur et qui ne peut absolument pas être fait sans le mot de passe du compte de domaine de l'utilisateur ? Pour éviter de demander aux utilisateurs leur mot de passe, l'administrateur pourrait, en théorie, changer le mot de passe, se connecter en tant qu'utilisateur et faire ce qu'il veut, mais cela lui donnerait-il des autorisations supplémentaires qu'il n'a pas déjà en tant qu'administrateur de domaine ?

UPDATE :

Jusqu'à présent, les réponses ont fait référence au "tuning" ou à la modification du profil de l'utilisateur. Cependant, il y a este article de Microsoft sur la modification du profil par défaut qui est appliqué aux utilisateurs lorsqu'ils se connectent pour la première fois et ces instructions pour modifier à tout moment les paramètres du registre Windows d'un autre utilisateur. Qu'est-ce qu'un administrateur pourrait changer tout en étant connecté en tant qu'utilisateur, que l'administrateur ne pourrait pas changer en utilisant ces techniques ou d'autres techniques disponibles qui n'impliquent pas de se connecter en tant qu'utilisateur ? Le simple fait de "se connecter en tant qu'utilisateur" n'est pas une raison pour demander ou changer le mot de passe de l'utilisateur. Je cherche une pratique raison de le faire.

Demandé el 24 de Mai, 2011 par Isaac Truett

2 votes

Avatar de Isaac Truett

Avant de poser cette question, je soupçonnais que, aussi tordue que soit parfois l'administration de Windows, il n'y avait rien d'impossible pour un administrateur qui serait possible pour un utilisateur final moins privilégié. La motivation pour demander le mot de passe d'un utilisateur, ou changer son mot de passe, et se connecter avec son compte serait l'inexpérience ou la commodité ; soit l'administrateur ne sait pas comment faire quelque chose, soit il ne veut pas tripoter les registres et éditer les fichiers de configuration à la main et n'a pas d'outils disponibles pour faire les changements requis.

Commenté el 24 de Mai, 2011 par Isaac Truett

1 votes

Avatar de Rob Howard

Vous devriez peut-être réécrire cette question car, au début, vous demandez des mots de passe d'utilisateur, puis vous passez à la connexion en tant qu'utilisateur. Il s'agit de deux problèmes distincts

Commenté el 24 de Mai, 2011 par Rob Howard

0 votes

Avatar de jnthnjns

Qu'en est-il de l'installation d'une application qui nécessite l'accès au profil Outlook de l'utilisateur (comme une application CRM qui utilise Outlook) ? Vous êtes à la merci de l'installateur script du développeur de l'application.

Commenté el 24 de Mai, 2011 par jnthnjns
Afficher 7 autres commentaires

Réponses

Trop de publicités?

18voto

BMDan avatar
BMDan Points 7059

Soyons clairs : si vous êtes un administrateur de domaine, vous pouvez installer un logiciel (un pilote de périphérique, par exemple) qui peut littéralement tout faire. Cependant, il s'agit de degrés divers d'impraticabilité, allant de "Quelle est la clé de registre pour le fond d'écran, déjà ?" jusqu'à "Et puis nous nous accrochons à l'appel de lecture de fichier à l'intérieur de la couche de profil crypté afin de faire croire à Firefox qu'il a désactivé les cookies de doubleclick.net".

Vous demandez une réponse absolue, et je pense que ce n'est pas la bonne façon d'aborder la question, car la réponse sera "Vous n'avez jamais besoin du mot de passe de l'utilisateur", wirklich ce qui est très trompeur. En réalité, jusqu'à ce que Microsoft fournisse (ou que vous installiez un logiciel tiers pour permettre) une capacité comme celle de *NIX, il n'y a pas d'autre solution. su / sudo En effet, vous ne serez jamais en mesure d'imiter parfaitement le compte d'un utilisateur à toutes fins utiles tout en conservant un semblant de bon sens, sans exiger l'utilisation occasionnelle - notez que je n'ai pas dit "divulgation" - de son mot de passe.

Répondu el 24 de Mai, 2011 par BMDan (7059 Points )

0 votes

Avatar de Isaac Truett

Un point très juste. L'un des points que je soulevais dans ma propre réponse, sommairement supprimée, était qu'il semble y avoir un manque de support d'outils dans ce domaine.

Commenté el 24 de Mai, 2011 par Isaac Truett

0 votes

Avatar de Rob Howard

Pour ce qui est de sudo, le modèle de sécurité de Windows exclut l'utilisation d'un utilitaire de type sudo, car cela signifie que vous pourriez exécuter des applications dans le contexte d'un autre utilisateur sans vous authentifier d'abord en tant que cet utilisateur (il existe des moyens de contourner cela, mais ils font tous l'effort de contourner le modèle de sécurité).

Commenté el 24 de Mai, 2011 par Rob Howard

1 votes

Avatar de John Gardeniers

+1 - Cette réponse couvre bien les réalités, ainsi que la théorie.

Commenté el 25 de Mai, 2011 par John Gardeniers

11voto

user77015 avatar
user77015 Points 1

Il n'est ni acceptable ni nécessaire qu'un administrateur demande le mot de passe d'un utilisateur.

Dans les circonstances où il peut être nécessaire pour un administrateur de se connecter en tant qu'utilisateur (et je ne crois pas que de telles circonstances existent), l'utilisateur devrait se connecter et superviser les activités de l'administrateur.

La raison en est la responsabilité. Il incombe à chaque utilisateur de s'assurer que son mot de passe est sécurisé. Si une activité malveillante remontait aux informations d'identification d'un utilisateur, celui-ci pourrait être tenu pour responsable. Il doit donc s'assurer que ses informations d'identification restent sécurisées.

Il incombe également à l'organisation de veiller à ce qu'elle soit non seulement adoptée, mais aussi appliquée. Il y a eu une affaire juridique dans laquelle un membre d'une organisation a envoyé un courriel malveillant en utilisant la boîte aux lettres d'une autre personne. Le propriétaire de la boîte aux lettres a finalement été licencié. Bien qu'il ait fait valoir qu'il avait donné son mot de passe à quelqu'un d'autre, l'entreprise a insisté sur le fait qu'il lui incombait de préserver l'intégrité de ses informations d'identification et qu'il était donc responsable, conformément à la politique informatique de l'entreprise. Cette décision a ensuite été annulée par un tribunal lorsque cet utilisateur a prouvé qu'il existait une culture de partage des mots de passe endémique au sein de l'entreprise. Le tribunal a jugé que si l'entreprise ne pouvait pas être considérée comme appliquant activement sa politique informatique, elle ne pouvait pas s'appuyer sur elle pour assumer sa responsabilité dans ces circonstances.

Cela dit, il existe clairement un fossé entre la théorie et la pratique. J'ai travaillé pour une grande entreprise multinationale qui fournit, entre autres, des services de conseil en informatique, et dans le cadre de la procédure documentée pour une mise à niveau d'une entreprise publique, nous avons reçu l'instruction de demander le mot de passe de l'utilisateur final.

Personnellement, j'ai une approche très stricte à ce sujet. Je ne crois pas qu'il soit nécessaire de demander les mots de passe (ou de les redéfinir pour accéder au compte d'un utilisateur). S'il faut augmenter considérablement la charge de travail pour contourner ce problème, qu'il en soit ainsi. Ce n'est pas une excuse pour compromettre la sécurité. Je suppose que j'ai la chance de ne pas être directeur et de ne pas avoir à assumer la responsabilité de ces décisions lorsque quelqu'un de plus haut placé me demande de le faire.

Répondu el 24 de Mai, 2011 par user77015 (1 Points )

5 votes

Avatar de John Gardeniers

Suggérez-vous sérieusement que vous savez ce qui est acceptable ou nécessaire dans toutes les situations imaginables sur la planète ?

Commenté el 24 de Mai, 2011 par John Gardeniers

3 votes

Avatar de user77015

Bien sûr que non - si quelqu'un peut me donner un exemple du contraire, je l'accepterai avec plaisir. Je ne parle pas de toutes les situations imaginables sur la planète, mais cela dit, je ne peux pas concevoir un objectif qui ne puisse être atteint qu'en compromettant les informations d'identification d'un utilisateur.

Commenté el 24 de Mai, 2011 par user77015

2 votes

Avatar de John Gardeniers

Vous dites "bien sûr que non", ce qui invalide complètement la première phrase de votre réponse. Je vous suggère de la modifier en conséquence.

Commenté el 24 de Mai, 2011 par John Gardeniers
Afficher 5 autres commentaires

8voto

sysadmin1138 avatar
sysadmin1138 Points 129885

Nous sommes nombreux à avoir travaillé dans des environnements où la divulgation du mot de passe était nécessaire pour diverses raisons. J'irai même jusqu'à dire que nous considérons tous que c'est une mauvaise idée. Si cela doit être fait, l'utilisateur final doit y consentir, sans y être contraint.

À l'époque, comme en 1998, mon service informatique avait l'habitude de demander le mot de passe d'un utilisateur lorsque nous remplacions un PC afin de le configurer exactement comme l'ancien. Jusqu'à l'emplacement des icônes. Comme nous étions dans un environnement Novell NetWare sans domaine WinNT correspondant, changer le mot de passe du réseau ne changeait pas le mot de passe local, et nous devions donc avoir ce mot de passe si nous voulions fournir ce niveau de service homogène.

C'était il y a 13 ans. Vous avez spécifiquement posé une question sur les domaines Windows. Au poste que je viens de quitter, une grande université, c'était à l'utilisateur final de décider de divulguer ou non un mot de passe ou d'être présent pour le travail en cours. En d'autres termes, l'utilisateur final a opté pour plutôt que d'y être contraint par l'informatique. Certains cadres supérieurs très occupés et haut placés dans l'organigramme avaient généralement leur assistant administratif qui se connectait pour eux, ce qui permettait aux informaticiens de s'y glisser facilement (le consentement avait déjà été délégué).

Dans Windows, le seul moyen de réglage manuel le profil d'un utilisateur est de se connecter en tant que cet utilisateur. Si ce profil a besoin d'être ajusté pour une raison quelconque (une mauvaise désinstallation a laissé des restes qui empêchent une réinstallation, ou d'autres choses bizarres), le responsable informatique devra se connecter en tant que cet utilisateur. Cela peut être fait en forçant un changement de mot de passe administratif, en demandant à l'utilisateur de divulguer son mot de passe, ou en demandant à l'utilisateur de se connecter en tant qu'utilisateur et de laisser l'informaticien travailler.

Répondu el 24 de Mai, 2011 par sysadmin1138 (129885 Points )

0 votes

Avatar de Isaac Truett

Quel genre d'ajustement du profil pouvez-vous faire en tant qu'utilisateur que vous ne pourriez pas faire en modifiant le profil par défaut tel que décrit aquí avant que l'utilisateur ne se connecte ?

Commenté el 24 de Mai, 2011 par Isaac Truett

0 votes

Avatar de josy

Pour la plupart, non, il y a encore des choses qui doivent être configurées pour cet utilisateur spécifique. Par exemple, avant Outlook 2007/Exchange 2007, vous deviez configurer Outlook manuellement pour cet utilisateur. Maintenant, avec autodiscover, vous pouvez éventuellement envisager de les laisser essayer eux-mêmes, mais la plupart des administrateurs ne le feraient pas, car les utilisateurs veulent simplement qu'il démarre lorsqu'ils se connectent.

Commenté el 24 de Mai, 2011 par josy

0 votes

Avatar de Isaac Truett

@KContreau Microsoft dit aquí que les profils Outlook sont stockés dans le registre, qu'un administrateur peut modifier depuis son propre compte. D'autres idées ?

Commenté el 24 de Mai, 2011 par Isaac Truett
Afficher 6 autres commentaires

4voto

Rob Howard avatar
Rob Howard Points 636

Absolument pas. Tout ce qui doit être fait avec le compte d'un autre utilisateur doit être fait en réinitialisant le mot de passe de l'utilisateur, en se connectant, puis en demandant à l'utilisateur d'appeler le service d'assistance ou en réinitialisant le mot de passe avec quelque chose que l'utilisateur connaît et en configurant le compte pour forcer le changement du mot de passe à la prochaine connexion. J'admets que j'ai travaillé dans des environnements assez grands et sécurisés, mais divulguer votre mot de passe à quelqu'un était généralement un motif de licenciement (et cela devrait être le cas dans la plupart des situations).

Répondu el 24 de Mai, 2011 par Rob Howard (636 Points )

1 votes

Avatar de John Gardeniers

C'est une déclaration trop large. Il existe de nombreux environnements où cela ne fonctionnera pas. Je dirais peut-être 98 %, mais certainement pas 100 %.

Commenté el 24 de Mai, 2011 par John Gardeniers

1 votes

Avatar de Isaac Truett

@John Pouvez-vous donner un exemple précis de quelque chose qu'il est impossible de faire sans être connecté en tant qu'utilisateur final ?

Commenté el 24 de Mai, 2011 par Isaac Truett

1 votes

Avatar de jnthnjns

@Isaac : il y a beaucoup d'applications qui, pendant l'installation, font référence à %userprofile% pour le placement des fichiers, font peut-être des changements comme l'installation de barres d'outils dans Word ou Outlook, etc. Bien sûr, vous pourriez vous asseoir là avec procmon en marche, enregistrer diligemment chaque changement de registre, de profil, etc. mais pourquoi diable vous donner cette peine ?

Commenté el 24 de Mai, 2011 par jnthnjns
Afficher 7 autres commentaires

4voto

jnthnjns avatar
jnthnjns Points 121

Lors de l'installation, certaines applications nécessitent la possibilité d'apporter des modifications ou de faire référence au profil de l'utilisateur (par exemple, les applications CRM qui s'intègrent à Outlook) en utilisant des variables d'environnement comme %userprofile%, en modifiant HK_CURRENT_USER, etc.

Bien que vous puissiez certainement faire de la rétro-ingénierie d'une installation avec des outils tels que procmon et modifier manuellement le profil de l'utilisateur, le registre, etc. après coup, cette méthode est très inefficace, peu pratique et sujette aux erreurs.

Répondu el 24 de Mai, 2011 par jnthnjns (121 Points )

1 votes

Avatar de Isaac Truett

+1. Je pourrais certainement voir cela comme un facteur. En tant qu'ingénieur logiciel, je dirais qu'il existe de meilleures façons d'écrire des processus d'installation que d'exiger que l'utilisateur final soit connecté pendant l'installation. En fait, il existe des logiciels qui permettent des processus d'installation différents pour un seul utilisateur et pour plusieurs utilisateurs, tels que Google Chrome .

Commenté el 24 de Mai, 2011 par Isaac Truett

0 votes

Avatar de John Gardeniers

@Isaac, je crois que vous avez négligé le principe fondamental de la configuration par utilisateur, qui ne peut être pris en charge par l'installateur. Prenons l'exemple d'un paquet qui va être utilisé par plusieurs utilisateurs sur une machine donnée, où chaque utilisateur a besoin/souhaite/exige une configuration différente et qui doit être en place avant que ces utilisateurs commencent à utiliser le paquet.

Commenté el 24 de Mai, 2011 par John Gardeniers

0 votes

Avatar de jnthnjns

@John/Isaac : Je suppose, John, que vous parlez de compléter cette personnalisation au nom de l'utilisateur ? Si oui, oui, un autre bon point pour expliquer pourquoi vous voudriez ou auriez besoin de vous connecter en tant qu'utilisateur, en particulier si la configuration n'est pas modifiable en dehors de l'application (stockée dans un format binaire) et est liée à l'utilisateur actuellement connecté.

Commenté el 24 de Mai, 2011 par jnthnjns
Afficher 1 autres commentaires

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X