» Пароли пользователей в Active Directory

GrabovVV
Некромант или некрофил?

Цитата:

Сделать копию базы АД с паролями, потом поменять пароль пользователя, сделать все что требуэтся, и откатить базу паролей АД назад?!

Это сильно... А можно подробнее?

Вопрос: ЧТО такое админ должен делать на компе у пользователя, что требовало бы логиниться под этим самым пользователем?

По поводу того, что если на компе зайти другим пользователем, и потом спалиться, когда придёт "родной" пользователь и увидит, что на комп кто-то логинился кроме него:

1. Вспоминаем, что реестр можно редактировать по сети.
2. Заходим в ветку HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
3. Ищем там значения параметров "AltDefaultUserName" и "DefaultUserName". Много думаем.

Цитата:

Вопрос: ЧТО такое админ должен делать на компе у пользователя, что требовало бы логиниться под этим самым пользователем?

И при этом бояться "спалиться" перед этим пользователем
Помоему этого вполне достаточно, что бы сделать вывод - вопрос не имеет отношения к системному администрированию, а следовательно к теме форума.

Действительно много этики!
Вот вам ситуация, админ дал возможность пользователю самому выбрать пароль. Пользователь работал, все нормально. Через месяц ушел в отпуск, возвращается и понимает, что забыл пароль. Потом через начальство идет накат на админа (кто же, кроме него), что он поменял пароль и поэтому пользователь не может работать и т.д., админа в тот момент не было на работе, чтобы этот пароль скинуть в итоге имеем потерянный рабочий день пользователя и звездюли от начальства! Как доказать, что пароль админ не менял (логи типа админ может и подтереть)? И как узнать пароль данного юзера?

p.s. Ситуация выдумана, но!

а не проще всем пользователям запретить изменение пароля поставить "Неограниченный срок" и записать на бумажку ?

neo121 Это несекурно. Могу сказать больше, во многих организациях есть требование раз в 2-3 месяца менять пароль в AD. Юзер самостоятельно его меняет при входе. Также включены политики, при неправильном вводе пароля 3-5 раз, учетка блочится, пока сисадмин не разблочит по заявке от руководителя отдела и это правильно имхо.