IT-шники требуют сдавать свой доменный пароль...

[Oleg-NY]

В нашей конторе типа практика такая, что если тебе нужен новый комп, то чтобы его предварительно окучили для тебя, ты должен прислать им свои доменные credentials. Я конечно понимаю, что им нужно все настроить именно под твоим логином там, но сам способ типа просто спросить у юзера его пароль выглядит по меньшей мере странно...
Разве нет другого способа у мелкософта сделать то же самое без сдачи пароля? Как это вообще делается в "приличных" компаниях?

Я с трудом могу себе представить, чтобы в какой-нибудь, например, финансовой конторе кто-либо стал бы подставляться таким образом, предоставляя третьему лицу свой пароль в систему. Ну либо ты явно освобождаешься от ответственность за любой саботаж от твоего имени в этот период.

[thinker]

В нашей компании тоже самое. Окучить комп для тебя не спросив пароль могут только когда они подключились к компу удаленно. Во всех остальных случаях (когда нужно им отдавать комп на время или когда новый комп идет на замену старого и т.п.) спрашивают пароль.

[M. Ridcully]

Рукожопые ойтишнеги, 100%.
Абсурд кому-то свой доменный пароль сдавать.

[Oleg-NY]

Абсурд-то абсурдом, но как им это сделать по-другому?

[Slonjra]

странная какая-то политика...
мы обычно ставим временный свой пароль и отправляем его пользователю ( если ему надо со старого компа или телефона иметь доступ к его почте)

по окончании настройки нового компа, ставим ему на акк опцию - "обязан поменять пароль при первом логине"

[M. Ridcully]

Абсурд-то абсурдом, но как им это сделать по-другому?

А что именно требуется сделать-то?
Они могут "окучить" чего хотят как локальные администраторы.

[Oleg-NY]

Абсурд-то абсурдом, но как им это сделать по-другому?

А что именно требуется сделать-то?
Они могут "окучить" чего хотят как локальные администраторы.

Общие вещи да, конечно могут, но как быть с настроенными профилями VPN или Outlook именно под твоим логином? И я думаю много чего еще, включая backup.

[Oleg-NY]

странная какая-то политика...
мы обычно ставим временный свой пароль и отправляем его пользователю ( если ему надо со старого компа или телефона иметь доступ к его почте)

по окончании настройки нового компа, ставим ему на акк опцию - "обязан поменять пароль при первом логине"

Это ничего не меняет по сути. Нам они предлагают самим сменить пароль на время и сообщить им...

[Slonjra]

Абсурд-то абсурдом, но как им это сделать по-другому?

А что именно требуется сделать-то?
Они могут "окучить" чего хотят как локальные администраторы.

да тот же MS office 365 , его надо ставить непосредственно с акка конечного пользователя. Если ставить из под админа и потом просто регистрить на пользователя, то OneDrive for Bussines глючит ((((

[Slonjra]

странная какая-то политика...
мы обычно ставим временный свой пароль и отправляем его пользователю ( если ему надо со старого компа или телефона иметь доступ к его почте)

по окончании настройки нового компа, ставим ему на акк опцию - "обязан поменять пароль при первом логине"

Это ничего не меняет по сути. Нам они предлагают самим сменить пароль на время и сообщить им...

что значит не меняет.?? В данном варианте я НЕ знаю пароль пользователя, ни старый, ни новый..

если же ваш вопрос в том, что я смогу иметь доступ к вашей почте, дак при желании я и так его могу получить в любой момент )))
так что просто не имейте в корпоративной почте ничего личного и лишнего )))

[M. Ridcully]

Абсурд-то абсурдом, но как им это сделать по-другому?

А что именно требуется сделать-то?
Они могут "окучить" чего хотят как локальные администраторы.

Общие вещи да, конечно могут, но как быть с настроенными профилями VPN или Outlook именно под твоим логином? И я думаю много чего еще, включая backup.

А чего там настраивать?
У нас все сами VPN токены генерят - я вообще не уверен, что это как-то повязано на учётную запись.

[Oleg-NY]

Абсурд-то абсурдом, но как им это сделать по-другому?

А что именно требуется сделать-то?
Они могут "окучить" чего хотят как локальные администраторы.

Общие вещи да, конечно могут, но как быть с настроенными профилями VPN или Outlook именно под твоим логином? И я думаю много чего еще, включая backup.

А чего там настраивать?
У нас все сами VPN токены генерят - я вообще не уверен, что это как-то повязано на учётную запись.

Повязано в том смысле, что они не хотят, чтобы пользователь что-то делал "сам".

[Oleg-NY]

странная какая-то политика...
мы обычно ставим временный свой пароль и отправляем его пользователю ( если ему надо со старого компа или телефона иметь доступ к его почте)

по окончании настройки нового компа, ставим ему на акк опцию - "обязан поменять пароль при первом логине"

Это ничего не меняет по сути. Нам они предлагают самим сменить пароль на время и сообщить им...

что значит не меняет.?? В данном варианте я НЕ знаю пароль пользователя, ни старый, ни новый..

Не понял. Разве вы не меняете пароль на временный в юзеровском действующем доменном эккаунте? Т.е. какой-то период времени кто-то еще, кроме вас знает ваш пароль и может делать что угодно от вашего имени.

[M. Ridcully]

Абсурд-то абсурдом, но как им это сделать по-другому?

А что именно требуется сделать-то?
Они могут "окучить" чего хотят как локальные администраторы.

Общие вещи да, конечно могут, но как быть с настроенными профилями VPN или Outlook именно под твоим логином? И я думаю много чего еще, включая backup.

А чего там настраивать?
У нас все сами VPN токены генерят - я вообще не уверен, что это как-то повязано на учётную запись.

Повязано в том смысле, что они не хотят, чтобы пользователь что-то делал "сам".

То есть пойти на какой-то сайт в интранете и сгенерить токен - это пользователю нельзя?
Они у вас странные...

[Oleg-NY]

А что именно требуется сделать-то?
Они могут "окучить" чего хотят как локальные администраторы.

Общие вещи да, конечно могут, но как быть с настроенными профилями VPN или Outlook именно под твоим логином? И я думаю много чего еще, включая backup.

А чего там настраивать?
У нас все сами VPN токены генерят - я вообще не уверен, что это как-то повязано на учётную запись.

Повязано в том смысле, что они не хотят, чтобы пользователь что-то делал "сам".

То есть пойти на какой-то сайт в интранете и сгенерить токен - это пользователю нельзя?
Они у вас странные...

Не то, чтобы нельзя, а просто они хотят выпустить комп из своего департамента "ready-to-use". Это как выкатить пациента на кресле-каталке за ворота госпиталя... ))

[Slonjra]

странная какая-то политика...
мы обычно ставим временный свой пароль и отправляем его пользователю ( если ему надо со старого компа или телефона иметь доступ к его почте)

по окончании настройки нового компа, ставим ему на акк опцию - "обязан поменять пароль при первом логине"

Это ничего не меняет по сути. Нам они предлагают самим сменить пароль на время и сообщить им...

что значит не меняет.?? В данном варианте я НЕ знаю пароль пользователя, ни старый, ни новый..

Не понял. Разве вы не меняете пароль на временный в юзеровском действующем доменном эккаунте? Т.е. какой-то период времени кто-то еще, кроме вас знает ваш пароль и может делать что угодно от вашего имени.

я там поправил пост...

писать от вашего имени...да проще некуда..))) обычно стоит требование менять пароли каждые 30 дней...
с утра 30ого дня я скидываю ваш пароль на свой..захожу в вашу почту..рассылаю компромат ))))
и ставлю те же опции - "смена пароля" ))

читать почту, еще проще. Выключаю шифрование на бэкапе, поднимаю эту копию на другом компе и имею достут к ващей почте и всем документам...

да много еще разных вариантов, вот только врядли вменяемый админ будет этим заниматься )))))))))

[Oleg-NY]

Короче, мой вопрос по сути состоял в том, что разве нельзя зайти в домен под чьим-то аккаунтом используя административный логин и пароль? Т.е. такой легальный способ администратору имперсонироваться под какого угодно пользователя, но это будет соответственно отражено в логах?
Ну или какой-то еще легальный способ обойти сдачу пароля...

[Oleg-NY]

я там поправил пост...

писать от вашего имени...да проще некуда..))) обычно стоит требование менять пароли каждые 30 дней...
с утра 30ого дня я скидываю ваш пароль на свой..захожу в вашу почту..рассылаю компромат ))))
и ставлю те же опции - "смена пароля" ))

читать почту, еще проще. Выключаю шифрование на бэкапе, поднимаю эту копию на другом компе и имею достут к ващей почте и всем документам...

да много еще разных вариантов, вот только врядли вменяемый админ будет этим заниматься )))))))))

Думаю все это в правильной системе будет "засвечено" в логах...

[Slonjra]

я там поправил пост...

писать от вашего имени...да проще некуда..))) обычно стоит требование менять пароли каждые 30 дней...
с утра 30ого дня я скидываю ваш пароль на свой..захожу в вашу почту..рассылаю компромат ))))
и ставлю те же опции - "смена пароля" ))

читать почту, еще проще. Выключаю шифрование на бэкапе, поднимаю эту копию на другом компе и имею достут к ващей почте и всем документам...

да много еще разных вариантов, вот только врядли вменяемый админ будет этим заниматься )))))))))

Думаю все это в правильной системе будет "засвечено" в логах...

а кто к ним имеет доступ ??? Правильно, опять же админ. И почистить эти логи для него нет проблем.
конечно могут задать вопрос, с чего бы удалили логи, но это как говорится "к делу не пришьешь" )) может хобби у админ такое, каждый понедельник логи чистить )))

[Oleg-NY]

я там поправил пост...

писать от вашего имени...да проще некуда..))) обычно стоит требование менять пароли каждые 30 дней...
с утра 30ого дня я скидываю ваш пароль на свой..захожу в вашу почту..рассылаю компромат ))))
и ставлю те же опции - "смена пароля" ))

читать почту, еще проще. Выключаю шифрование на бэкапе, поднимаю эту копию на другом компе и имею достут к ващей почте и всем документам...

да много еще разных вариантов, вот только врядли вменяемый админ будет этим заниматься )))))))))

Думаю все это в правильной системе будет "засвечено" в логах...

а кто к ним имеет доступ ??? Правильно, опять же админ. И почистить эти логи для него нет проблем.
конечно могут задать вопрос, с чего бы удалили логи, но это как говорится "к делу не пришьешь" )) может хобби у админ такое, каждый понедельник логи чистить )))

Хобби это одно, а полиси это другое! Понятно, что против супер-админа нет приема, кроме другого супер-супер-админа, но тут речь идет, что ты сдаешь свой пароль практически админу-технику, который врядли будет иметь возможность почистить логи...

[zVlad]

я там поправил пост...

писать от вашего имени...да проще некуда..))) обычно стоит требование менять пароли каждые 30 дней...
с утра 30ого дня я скидываю ваш пароль на свой..захожу в вашу почту..рассылаю компромат ))))
и ставлю те же опции - "смена пароля" ))

читать почту, еще проще. Выключаю шифрование на бэкапе, поднимаю эту копию на другом компе и имею достут к ващей почте и всем документам...

да много еще разных вариантов, вот только врядли вменяемый админ будет этим заниматься )))))))))

Думаю все это в правильной системе будет "засвечено" в логах...

а кто к ним имеет доступ ??? Правильно, опять же админ. И почистить эти логи для него нет проблем.
конечно могут задать вопрос, с чего бы удалили логи, но это как говорится "к делу не пришьешь" )) может хобби у админ такое, каждый понедельник логи чистить )))

В правильной системе кроме "админа" есть еще уровень "аудитор" со специфическими возможностями контролировать админа. Кроме того уровень админа может быть разщеплен на более специфические слои для выполнения некоторых админских работ, но без права влиять на логи.
Для секьюрити событий должен существовать безвременный способ и средства хранения. У меня, например, за больше десяти лет хранятся записи такого рода.

[Prosche]

«Мне нужен ваш пароль» = «я рукожопый админ»
Зайти используя чужую учетную запись админ не может, это нонсенс и бричь в секьюрити. В правильной фирме все что надо ставится от имени админа, а когда пользователь логинится первый раз, то скриптами доставляется все, что положено его роли, софт, шары и т.п.

[Oleg-NY]

Ну для нашей конторы это - недостижимый уровень... у нас сетка-то лежит по часу в день. Как говаривал Филипп Филиппович - "разруха не в клозетах, а в головах"

[Flash-04]

Рукожопые ойтишнеги, 100%.
Абсурд кому-то свой доменный пароль сдавать.

+100
Увольнять сразу.