Irgendwie im Zusammenhang mit dieser anderen Frage. Ich habe es mit folgendem Fall zu tun: Ein mittelgroßes Unternehmen (mit etwa 200 Mitarbeitern vor Ort) wendet für alle neu eingestellten Mitarbeiter (unmittelbar vor ihrem ersten Tag im Unternehmen) das folgende Verfahren an:
- Sie generieren ein Passwort für den Benutzer (KEINE Änderung bei der ersten Anmeldung).
- Sie melden sich auf ihrem Laptop an (als Endbenutzer).
- Sie wenden einige an Konfiguration (z. B. greifen sie auf ihre Outlook-E-Mail zu, um zu überprüfen, ob alles funktioniert)
- Sie ändern das Kennwort erneut (diesmal mit einer Änderung bei der ersten Anmeldung)
- Laptop wird an den Benutzer geliefert
Es scheint, dass dieses Verfahren auch in IT-Unternehmen weit verbreitet ist.
Ich kann nicht sagen, ob die Erstkonfiguration "im Namen von Benutzer ", ist absolut notwendig oder wird nur aus praktischen Gründen diktiert (ein voll funktionsfähiger Laptop wird an einen Nicht-IT-Benutzer geliefert, wodurch viele Anfragen an die IT zur Behebung häufiger Probleme vermieden werden), aber es gibt einige Dinge, die riechen:
- Wenn ich einem Administrator niemals mein Passwort mitteilen sollte (wie es auf die genannte Frage beantwortet wurde), gibt es keinen Grund, warum ein Administrator mein Passwort bereits zu Beginn meiner Arbeit in diesem Unternehmen kennt.
- I. kann akzeptieren, dass ein Administrator mein Passwort kennt (wenn er mein Konto zum ersten Mal erstellt oder wenn er es zurücksetzt), vorausgesetzt, es ist ein Passwort beim erstmaligen Anmelden (damit ich nachweisen kann, dass es zuvor nicht verwendet wurde). Ich vermute jedenfalls, dass die meisten Legacy-Systeme (wie AD) es Administratoren ermöglichen, Kennwörter mit großer Freiheit zurückzusetzen (zum Beispiel das Festlegen von Kennwörtern, ohne den Benutzer zu benachrichtigen oder ohne sie zu zwingen, eine Änderung bei der ersten Anmeldung festzulegen). Ist dies eine akzeptierte Praxis? Dies scheint völlig anders zu sein als beispielsweise in Google (niemand kennt mein Passwort, wenn eine Aktivität erkannt wird, die ich benachrichtigt habe).
Bearbeiten: Um viele Kommentare zu beantworten, die besagen, dass "der Computer nicht Ihnen gehört, es ist der Computer des Arbeitgebers, Sie sollten keine persönlichen Informationen auf dem Firmencomputer haben", möchte ich darauf hinweisen, dass es nicht um geht persönliche Informationen, aber reservierte Informationen bezüglich des Unternehmensgeschäfts. Wenn es also richtig ist, dass ich meine Unternehmens-E-Mail nicht verwenden sollte, um meine Blutanalyseergebnisse von meinem Arzt zu erhalten, werden häufig reservierte Informationen über das Unternehmen zwischen Mitarbeiter A und Mitarbeiter B ausgetauscht.