IT-шники требуют сдавать свой доменный пароль...

[Flash-04]

Рукожопые ойтишнеги, 100%.
Абсурд кому-то свой доменный пароль сдавать.

+100
Увольнять сразу.

[Flash-04]

я там поправил пост...

писать от вашего имени...да проще некуда..))) обычно стоит требование менять пароли каждые 30 дней...
с утра 30ого дня я скидываю ваш пароль на свой..захожу в вашу почту..рассылаю компромат ))))
и ставлю те же опции - "смена пароля" ))

читать почту, еще проще. Выключаю шифрование на бэкапе, поднимаю эту копию на другом компе и имею достут к ващей почте и всем документам...

да много еще разных вариантов, вот только врядли вменяемый админ будет этим заниматься )))))))))

Думаю все это в правильной системе будет "засвечено" в логах...

а кто к ним имеет доступ ??? Правильно, опять же админ. И почистить эти логи для него нет проблем.
конечно могут задать вопрос, с чего бы удалили логи, но это как говорится "к делу не пришьешь" )) может хобби у админ такое, каждый понедельник логи чистить )))

В правильных конторах есть log collection system, у которой админ - совсем другой человек

[Flash-04]

Как это вообще делается в "приличных" компаниях?

Очень просто:
1. Ставится image с набором приложений.
2. Нужные приложения ставятся через свою какую-то апликуху, которая управляет добавлением/удалением приложений. "нормальные" пользователи ничего поставить или удалить не могут.
Ваш пароль нафиг никому не нужен.

[zVlad]

Кстати, давайте разберемся что именно защищает пароль доступа к индивидуальному аккаунту?
Всю информацию админ может видеть. Все ходки на сайты в интернете тоже.

Так что мы так блюдем отказываясь предоставлять свой пароль? Я, конечно, не имею в виду пароли администраторов и других привелигированных пользователей.

Мне недавно сменили пароль для одного из моих доменных аккаунтов, который я использую только чтобы удаленно логиниться на пару Wintel серверов, на которых делаю свою работу. Я попросил их не инфорсать смену пароля при первом логине потому что я был дома и мог логиниться только через Remote Desktop, a RD менять пароли не умеет (по крайней мере тот, который у меня установлен в Шин 7). Mой рабочий компьютер в офисе в том домене не прописан и меня выкидывают когда я пытаюсь логиниться чтобы сменить пароль. Я решил пароль, данный мне каким-то оператором не менять (строго говоря у меня нет способа его поменять, кроме как снова звонить в Help Desk и просить их пароль сменить снова, без отмены первого логина) и использую несекретный пароль. Я знаю что знание этого моего пароля никому ничего не дает.

Так что мы защищаем паролями?

[Oleg-NY]

Саботаж или воровство от вашего имени.
Гипотетически что если кто-то возьмет и скачает данные или код под вашим логином? Хорошо если у вас окажется железное алиби на этот момент, а если нет?

[Palych]

Так что мы защищаем паролями?

Пароль защищает имя (identity).

[zVlad]

Так что мы защищаем паролями?

Пароль защищает имя (identity).

И то что (и это главное) делается под именем. В тоже время непросто доказать что делалось не владельцем, а злоумышленником, тем же админом, как уже здесь показывалось выше можно проделать как бы незаметно.

[Flash-04]

Саботаж или воровство от вашего имени.
Гипотетически что если кто-то возьмет и скачает данные или код под вашим логином? Хорошо если у вас окажется железное алиби на этот момент, а если нет?

Именно.

[ak3]

... я был дома и мог логиниться только через Remote Desktop, a RD менять пароли не умеет (по крайней мере тот, который у меня установлен в Шин 7). ...

Умеет.
На удалённом компе открываете экранную клаву (osk.exe в коммандой строке, чтобы не искать по менюшкам).
На своём компе нажимаете Ctrl+Alt, а на экранной клаве - Del.
Работает через матрёшку RDPs.

[zVlad]

... я был дома и мог логиниться только через Remote Desktop, a RD менять пароли не умеет (по крайней мере тот, который у меня установлен в Шин 7). ...

Умеет.
На удалённом компе открываете экранную клаву (osk.exe в коммандой строке, чтобы не искать по менюшкам).
На своём компе нажимаете Ctrl+Alt, а на экранной клаве - Del.
Работает через матрёшку RDPs.

Для старого мэйнфрэймщика это слишком сложно.

на самом деле происходит следущее:

- мне сменили пароль на домене, который я при первом логине должен поменять !!!
- RDC предлагает мне ввести credentials (<domain>\<userid> и пароль, одна штука) и это не desktop ремот компьютерa еще где бы я мог запустить экранную клаву, а простенькое окошечко "Enter your credentials".
- я ввожу тот, временный, пароль и получаю сообщение о том что пароль expired, но поменять его мне RDC не предлагает, а предлагает каким-то чудом (с локального компа, на самом деле) это сделать иначе. И на этом общение с RDC заканчивается. Таким образом удаленно я пароль через RDC поменять не могу - вилы.

Сейчас я как раз в этой ситуации и наxожусь у локального компа, но этот комп не прописан в том домене где мой userid с expired password находится, хотя физический вход имеет. Сейчас я еще раз попробую пароль поменять (раньше это получалось) и доложу. Для этого, как понимаете, мне надо отлогинится от домена в котором я сейчас. Так что это возьмет некоторое время.

P.S. 3.14здец полный. Раньше я со своего десктопа в офисе начинал логинится в другой домен, получал сообщение что мой аккаунт expired i мне предлагалось его изменить. После измениня я вышвыривался с сообщением что мой комп в том домене не прописан. Но! пароль был изменен и не expired уже и я шел к нужным мне серверам через RDC со своего домена. Теперь что-то в очередной раз поменялось и этот номер не проходит.

Я конечно с этим разберусь, но согласитесь ситуация идиотская: мэйнфрэмщик, единственный в не мелкой конторе кроме МФ делов еще и нагружен делами на Wintel серверах. Идиотизм в чистом виде!
Когда я предлагаю нашему MS SQL DBA взять на себя ету софтину что стоит на Wintel и соединяет DB2 с MS SQL то этот DBA (русскоговорящий, кстати) падает в обморок. Видите ли он не знает МФ. А почему я должен знать Wintel, и разгребать его (ее?) говнище там?
Это наследство от той, нашей, DB2 DBA что ушла на пенсию год назад и которая на старости лет, не понятно за каким хером, захотела порезвиться с Wintel и взяла это говно на себя. Нет, мне не сложно, я знаю и понимаю все что нужно для этого софта и спокойно управляюсь с этой задачей, но такие вот гримасы поведения "мэйнстрим" платформ меня бесят.

[ak3]

>> И на этом общение с RDC заканчивается.
Странно. А просто со своего компьютера поменять пароль в том домене нельзя?
Хотя вполне знакомо. Кому надо, тот и делает .

По теме топика - при завершении контрактов я тоже оставлял свои пароли, естественно, поменяв их на что-то тривиальное перед этим. Но это другой сценарий, ибо я уходил надолго, если не навсегда.

[Flash-04]

Действительно, фигня какая-то. Я спокойно захожу через vpn в рабочую сетку предварительно залогинившись локально с "протухшим" паролем (другого то нет), а потом уже выскакивает сообщение что нужно сменить пароль, что и делается. Короче, админы у вас криворукие [emoji14]

[zVlad]

Все в порядке. Проблема решена. Лошки нашли. Но осадочек остался.

[Flash-04]

Как решили?

[zVlad]

Как решили?

Коллега из Wintel подсказал наш сайт, Citrix сайт, с которого можно менять пароль в том домене.

[Amirko]

дичь какая-то, каменный век. Если нужно обязательно войти как юзер, для расследования и т п -- бывает но супер редко -- в таких клинических случаях мы просто ресетим пароль, делаем что надо и потом, когда и если юзер появляется и говорит "забыл пазывной", ресетим опять для юзера. Спрашивать пароль некошерно, у людей любимые слова для паролей, они их могут ещё где-то использовать...в общем полная дичь.

[Flash-04]

А на него как заходите?

[Oleg-NY]

дичь какая-то, каменный век. Если нужно обязательно войти как юзер, для расследования и т п -- бывает но супер редко -- в таких клинических случаях мы просто ресетим пароль, делаем что надо и потом, когда и если юзер появляется и говорит "забыл пазывной", ресетим опять для юзера. Спрашивать пароль некошерно, у людей любимые слова для паролей, они их могут ещё где-то использовать...в общем полная дичь.

Ну наши таки проявили гуманность и предложили сначала сменить его на что-нить неперсональное, а потом уже им сообщить... )))

[Amirko]

...

[zVlad]

А на него как заходите?

Бери цитатой хоть что-нибудь. Иначе хрен когда узнаешь что диалог продолжается, а так в "Notificatiions" можно увидеть.

Захожу в браузере по url в нашей локальной сети.

[Flash-04]

Звиняйте, ленюсь
Понятно.