Frage:
Ist es in Ordnung, dass ein Systemadministrator das Passwort für einen Neuling kennt / als Benutzer fungiert (unmittelbar nach seiner Einstellung)?
Diego Pascotto
2018-11-21 16:08:46 UTC
view on stackexchange narkive permalink

Irgendwie im Zusammenhang mit dieser anderen Frage. Ich habe es mit folgendem Fall zu tun: Ein mittelgroßes Unternehmen (mit etwa 200 Mitarbeitern vor Ort) wendet für alle neu eingestellten Mitarbeiter (unmittelbar vor ihrem ersten Tag im Unternehmen) das folgende Verfahren an:

  • Sie generieren ein Passwort für den Benutzer (KEINE Änderung bei der ersten Anmeldung).
  • Sie melden sich auf ihrem Laptop an (als Endbenutzer).
  • Sie wenden einige an Konfiguration (z. B. greifen sie auf ihre Outlook-E-Mail zu, um zu überprüfen, ob alles funktioniert)
  • Sie ändern das Kennwort erneut (diesmal mit einer Änderung bei der ersten Anmeldung)
  • Laptop wird an den Benutzer geliefert

Es scheint, dass dieses Verfahren auch in IT-Unternehmen weit verbreitet ist.

Ich kann nicht sagen, ob die Erstkonfiguration "im Namen von Benutzer ", ist absolut notwendig oder wird nur aus praktischen Gründen diktiert (ein voll funktionsfähiger Laptop wird an einen Nicht-IT-Benutzer geliefert, wodurch viele Anfragen an die IT zur Behebung häufiger Probleme vermieden werden), aber es gibt einige Dinge, die riechen:

  • Wenn ich einem Administrator niemals mein Passwort mitteilen sollte (wie es auf die genannte Frage beantwortet wurde), gibt es keinen Grund, warum ein Administrator mein Passwort bereits zu Beginn meiner Arbeit in diesem Unternehmen kennt.
  • I. kann akzeptieren, dass ein Administrator mein Passwort kennt (wenn er mein Konto zum ersten Mal erstellt oder wenn er es zurücksetzt), vorausgesetzt, es ist ein Passwort beim erstmaligen Anmelden (damit ich nachweisen kann, dass es zuvor nicht verwendet wurde). Ich vermute jedenfalls, dass die meisten Legacy-Systeme (wie AD) es Administratoren ermöglichen, Kennwörter mit großer Freiheit zurückzusetzen (zum Beispiel das Festlegen von Kennwörtern, ohne den Benutzer zu benachrichtigen oder ohne sie zu zwingen, eine Änderung bei der ersten Anmeldung festzulegen). Ist dies eine akzeptierte Praxis? Dies scheint völlig anders zu sein als beispielsweise in Google (niemand kennt mein Passwort, wenn eine Aktivität erkannt wird, die ich benachrichtigt habe).

Bearbeiten: Um viele Kommentare zu beantworten, die besagen, dass "der Computer nicht Ihnen gehört, es ist der Computer des Arbeitgebers, Sie sollten keine persönlichen Informationen auf dem Firmencomputer haben", möchte ich darauf hinweisen, dass es nicht um geht persönliche Informationen, aber reservierte Informationen bezüglich des Unternehmensgeschäfts. Wenn es also richtig ist, dass ich meine Unternehmens-E-Mail nicht verwenden sollte, um meine Blutanalyseergebnisse von meinem Arzt zu erhalten, werden häufig reservierte Informationen über das Unternehmen zwischen Mitarbeiter A und Mitarbeiter B ausgetauscht.

Wenn der Computer der Domäne beigetreten ist und MDM-Software installiert ist, können die Domänenadministratoren jederzeit die Kennwörter ändern und je nach Einrichtung auch alle gespeicherten Dateien lesen und bearbeiten, ohne sich als Benutzer anzumelden.Solange sie kein Passwort kennen, das der Mitarbeiter möglicherweise an anderer Stelle verwendet, erhalten sie hier nicht mehr Zugriff als wahrscheinlich bereits.
J.A.K., der einzige Grund, einem Administrator mein Passwort nicht mitzuteilen, besteht darin, dass er Zugriff auf ein anderes System erhalten könnte (wenn ich dasselbe Passwort für meinen Bank-Webzugriff verwende, sagen wir mal)?
Nein - Sobald Daten mit dem Konto verknüpft wurden, können sie darauf zugreifen, ohne dass dies als Administratorzugriff protokolliert wird.Im obigen Szenario zeigen Protokolle die Generierung der Änderung bei der ersten Verwendung des Kennworts an, und Aktionen davor können dem Administrator zugewiesen werden.Aktionen, nachdem das Passwort geändert wurde, können ebenfalls dem Benutzer zugeordnet werden.Wenn Sie dem Administrator das neue Kennwort mitteilen, gilt diese Zuordnung in Protokolldateien nicht mehr.Ein weiteres Risiko besteht darin, dass nicht der Administrator danach fragt - ein echter Administrator benötigt das Kennwort in einem vernünftigen System nicht.
@DiegoPascotto Nein. Wie ich in meiner Antwort sagte, gilt diese Regel, da Administratoren nicht auf Ihre vertraulichen Daten zugreifen sollten, die mit Ihrem Konto verknüpft sind, z. B. E-Mails.Zu diesem Zeitpunkt sind dem Konto keine Daten zugeordnet.
@KolappanNathan Aber sie können auf die Mail zugreifen ... Sie können nicht ohne Beweise in einem vernünftigen System, aber der Systemadministrator könnte mit ziemlicher Sicherheit auf die Daten zugreifen, die für die Rekonstruktion des Posteingangs erforderlich sind.
@wizzwizz4: Als Systemadministrator kann ich alle Daten lesen, ohne Beweise aus den Produktionssystemen zu hinterlassen.Lassen Sie dies einwirken. Als Systemadministrator habe ich die Möglichkeit, das Betriebssystem zu ändern und Protokolleinträge nach Belieben zu löschen, aber ich muss nichts davon tun, sondern nur der Sicherungsagent werden und Dateien nach Belieben lesen.
@wizzwizz4 Wenn Sie Ihr Mailsystem nicht an Dritte auslagern, wird es immer jemanden geben, der auf einer Ebene arbeitet, die auf das Postfach zugreifen kann, ohne Spuren von Beweisen zu hinterlassen, die Sie sehen können (oder die die Protokolle manipulieren oder deaktivieren können, wenn sie dies wünschenzu).Wenn Sie an Dritte auslagern, funktioniert dieser Systemadministrator einfach nicht für Sie.Der einzige Weg, sich davor zu schützen, besteht darin, für alle E-Mails eine clientseitige Verschlüsselung zu verlangen, obwohl dadurch immer noch Metadaten verloren gehen (wer sendet an wen und wann).
@Joshua Sicherlich sollte es ein Protokoll aller Befehle geben, einschließlich des Befehls "Protokoll deaktivieren", das an einen geschützten Server gesendet wird, den Sie nicht kontrollieren?
Für diejenigen, die über Automatisierung streiten - Sie leben wahrscheinlich in einer Traumwelt.Zumindest da Laptop-Anbieter je nach Preis für dieselbe Laptop-Serie unterschiedliche Hardware verwenden, gibt es keine Garantie dafür, dass ein Image auf einem anderen Laptop mit derselben Konfiguration ausgeführt wird.Andere gibt es unzählige weitere Fallstricke, bei denen ein bestimmter Benutzername, ein Windows-Update, eine Kombination von Rollen usw. zu neuen Problemen auf der "gleichen" Hardware mit der "gleichen" automatischen Konfiguration führen können.
@wizzwizz4: Ich bin nicht so dumm, die Protokolle zu deaktivieren, indem ich den Befehl zum Deaktivieren von Protokollen ausführe.Es ist eher wie "mmc.exe mit erhöhtem Token gestartet".
Sehr sehr sehr großes Problem.Es gibt selten eine Einstellung für "Änderung beim ersten Anmelden".Es ist "change-at - *** NEXT *** - use".In Windows, Ihrem Hauptkennwortszenario, wissen Sie als Endbenutzer nicht, ob sich zuvor jemand mit diesem Kennwort angemeldet hat.Ein Administrator kann dies morgen für Ihr aktuelles Passwort festlegen, und Sie würden es nicht wissen.
@DiegoPascotto in Bezug auf Ihre Bearbeitung.Als der Systemadministrator eingestellt wurde, vertraute ein Teil davon ihnen die Art von Informationen an, die Sie beschreiben.Da der Typ, der Ihre Systeme einrichtet, oder der Typ, der Ihr Netzwerk oder Ihre E-Mails betreibt, sowieso alles stehlen könnte, wurden sie auf der Grundlage eingestellt, dass sie es einfach nicht tun.
Identifizieren Sie sich niemals als Benutzer.Nach dem Erstellen eines Kontos für einen neuen Benutzer ist es üblich, dass sich ein neuer Benutzer bei den zugewiesenen Hardwarekonten anmeldet.Dabei wird das Profil auf dem Computer erstellt.Natürlich sollte der Systemadministrator den Benutzer so einstellen, dass er das Kennwort ändert, nachdem er sich zum ersten Mal erfolgreich angemeldet hat.Auf jeden Fall ist es wichtig, dass der neue Benutzer seine Einstellungen, Konfigurationen, Anpassungen usw. einrichtet, wenn er sich bei allem anmeldet.Die CIA-Triade (Vertraulichkeit, Integrität und Verfügbarkeit) wird sofort verletzt, wenn Sie sich als Benutzer ausgeben.
Was ist das Anliegen hier?"Hey, warum hat Nick, der Neue, die Produktdatenbank gelöscht? Und warum hat er das zwei Tage vor seiner Arbeit hier gemacht?"
Zehn antworten:
Kolappan N
2018-11-21 17:05:48 UTC
view on stackexchange narkive permalink

Wenn ich einem Administrator niemals mein Passwort mitteilen sollte (da es auf die genannte Frage beantwortet wurde), gibt es keinen Grund, warum ein Administrator mein Passwort bereits zu Beginn meiner Arbeit in diesem Unternehmen kennt

Einer der Hauptgründe für diese Regel ist, dass Administratoren nicht auf Ihre vertraulichen Daten wie E-Mails usw. zugreifen sollten. Da dem Konto zu Beginn keine Daten zugeordnet sind, handelt es sich nicht um eine Problem.

Sie generieren ein Kennwort für den Benutzer (KEINE Änderung bei der ersten Anmeldung).

Die Verwendung eines einzelnen Anmeldekennworts wird verwendet Fragen Sie nach einem normalen Passwort, bevor Sie die Konfiguration ändern können. Daher ist ein Kennwort erforderlich, bevor Sie auf die Konfiguration zugreifen können.

Ich vermute trotzdem, dass die meisten Legacy-Systeme es Administratoren ermöglichen, Kennwörter mit großer Freiheit zurückzusetzen. Ist es eine akzeptierte Praxis?

Dies ist eine akzeptierte Praxis. Nicht alte Systeme, sondern neuere Systeme wie Office 365 ermöglichen es den Administratoren auch, das Benutzerkennwort zurückzusetzen, ohne den Benutzer zu benachrichtigen. Solche Zurücksetzungen werden jedoch im System protokolliert und der Administrator wird für alle Probleme verantwortlich gemacht.

Beachten Sie auch, dass nicht alle Konfigurationen auf Administratorebene geändert werden können. Einige Dinge können nur vom Benutzer ausgeführt werden. Anstatt jeden Benutzer anzuweisen, eine Reihe von Schritten auszuführen, tun sie dies im Voraus.


Einige andere Bedenken hinsichtlich der Freigabe eines Kennworts gelten hier nicht, z. B.

  • Die Wiederverwendung des Passworts ist irrelevant, da das Passwort nicht Ihnen gehört.
  • Keine Ihrer persönlichen Daten ist mit dem Passwort verknüpft.
  • ol>

    To Beantworten Sie einige Kommentare.

    Ich vermute, dass "zu Beginn keine Daten mit dem Konto verknüpft sind". Dies ist nicht absolut richtig: Ich könnte einige E-Mails in meiner Mailbox haben (jemand hätte meine senden können Einige vertrauliche Informationen zu meiner E-Mail-Adresse, da das Postfach aktiviert wurde, bevor ich mich zum ersten Mal anmelde.

    von Diego Pascotto

    Die E-Mail-ID sollte vor der Konfiguration von den Administratoren nicht an Dritte weitergegeben werden. Das Postfach muss beim Einrichten von Outlook aktiviert worden sein. E-Mail-IDs werden erst freigegeben, nachdem das Kennwort für die einmalige Anmeldung festgelegt wurde. Wie von James Snell ausgeführt, ist es unwahrscheinlich, dass innerhalb von Minuten nach der Kontoerstellung eine E-Mail empfangen wird.

    Ein kompetentes Unternehmen verfügt über Bilder und Verfahren über die Automatisierung, die sich darum kümmern diese Dinge, ohne sich jemals als neuer Benutzer anzumelden.

    von Sokel

    Kleine Unternehmen nicht immer / strong> in die Automatisierung investieren. Wenn ein Unternehmen etwa 10 Mitarbeiter pro Jahr mit jeweils einer anderen Rolle einstellt, ist der Aufwand für die Automatisierung und Wartung höher als der manuelle Aufwand. Die Automatisierung ist nur dann die Mühe wert, wenn Sie Arbeiten ausführen, die wiederholt in großer Anzahl ausgeführt werden. Mit anderen Worten, der für die Automatisierung erforderliche Aufwand sollte geringer sein als der für die manuelle Arbeit erforderliche Aufwand.

    Wenn der Administrator zu einem bestimmten Zeitpunkt keinen überwachten Zugriff auf Ihr Konto hatte. Sie hätten alles unter Ihrem Namen einrichten können, um eine Rückkehr zu ihnen zu verhindern.

    von UKMonkey

    Alle von den Administratoren ergriffenen Maßnahmen Während dieser Zeit kann eine Verknüpfung zu ihnen hergestellt werden, da klar ist, dass das Konto erst dann an den Benutzer übergeben wird, wenn der Benutzer das Kennwort mithilfe des Einmalanmeldekennworts zurücksetzt.

    Ok, ich verstehe den Punkt, aber ich vermute, dass "zu Beginn keine Daten mit dem Konto verknüpft sind", es ist nicht absolut wahr: Ich könnte einige E-Mails in meiner Mailbox haben (jemand hätte meine vertraulichen Informationen an meine E-Mail senden könnenAdresse, da das Postfach aktiviert wurde, bevor ich mich zum ersten Mal anmelde)
    @DiegoPascotto Ihre E-Mail-ID sollte vor der Konfiguration von den Administratoren nicht an Dritte weitergegeben werden.Das Postfach wird aktiviert, wenn Outlook eingerichtet wird.E-Mail-IDs werden erst freigegeben, nachdem das Einzelanmeldekennwort festgelegt wurde.
    @DiegoPascotto - da sie wahrscheinlich erst vor der Anmeldung Ihr Benutzerkonto eingerichtet haben, um zu überprüfen, ob es funktioniert, ist dies unwahrscheinlich.
    Was meinst du mit "deine E-Mail-ID nicht teilen"?Wenn die Unternehmensrichtlinie für die Zuweisung der E-Mail-Adresse name.surname@mycompany.com lautet, kann jeder meine E-Mail-Adresse erraten und mir eine Nachricht senden, bevor ich mich tatsächlich anmelde.
    Beachten Sie, dass das E-Mail-Konto beim Einrichten von Outlook aktiviert wird.Alle E-Mails, die vor diesem Zeitpunkt an die Adresse gesendet wurden, werden zurückgeschickt.
    Beachten Sie auch: Im Allgemeinen sind Unternehmens-E-Mails Eigentum des Arbeitgebers, keine privaten Daten des Arbeitnehmers, und (abhängig von anderen Vereinbarungen im Arbeitsvertrag, im nationalen Recht, in Vereinbarungen des Betriebsrats usw.) hat der Arbeitgeber (oder sein Vertreter als Administrator) immer das Rechtum darauf zuzugreifen.
    Die Antwort ignoriert eine sehr verbreitete Richtlinie - was mit Ihrem Konto passiert, liegt in Ihrer Verantwortung.Die Rechenschaftspflicht ist 99% des Grundes für die Passwörter;Dem Unternehmen ist es wirklich egal, ob der Administrator auf Ihre persönlichen Daten zugreift - das sollte überhaupt nicht auf den PCs des Unternehmens sein.und der Administrator kann normalerweise für Sicherungen usw. auf alle Daten im Netzwerk zugreifen. Wenn der Administrator zu irgendeinem Zeitpunkt nicht überwacht auf Ihr Konto zugegriffen hat;Sie hätten alles unter Ihrem Namen einrichten können - um jegliche Rückkehr zu ihnen zu verhindern.Also nein;Es ist für den Systemadministrator nicht in Ordnung, das Passwort zu irgendeinem Zeitpunkt zu haben.
    Das einzige Problem kann sein, dass der Benutzer sein Kennwort ändert und erfährt, dass das Kennwort bereits verwendet wurde. In diesem Fall ist das von den Administratoren verwendete Kennwort durchgesickert.Daher verwenden die Administratoren besser ein temporäres Kennwort, das sich von allen an anderer Stelle im System verwendeten Kennwörtern unterscheidet.
    @UKMonkey Aber wenn der Administrator all dies einrichtet, bevor der Benutzer das System überhaupt geliefert hat, gibt es eine Aufzeichnung, dass alles, was passiert ist, nicht vom Benutzer getan wurde.Alles, was vor dem Passwort für die Änderung beim ersten Anmelden getan wurde, wurde vom Administrator ausgeführt.
    "Solche Zurücksetzungen werden im System protokolliert und der Administrator wird für alle Probleme verantwortlich gemacht."Darüber hinaus kann der Administrator es nicht ZURÜCK ändern, sodass der Benutzer selbst weiß, dass es passiert ist.
    @DiegoPascotto `Wenn die Unternehmensrichtlinie für die Zuweisung der E-Mail-Adresse name.surname@mycompany.com lautet, kann jeder meine E-Mail erraten und mir eine Nachricht senden, bevor ich mich tatsächlich anmelde .` Niemand wird eine E-Mail senden, bevor er weiß, dass ein Konto erstellt wurde.Im Falle einer solchen Richtlinie wissen sie, dass dies Ihre E-Mail-Adresse ist, aber sie wissen nicht, dass sie erstellt wurde, bis die IT-Abteilung dies ihnen mitteilt.
    @KolappanNathan vielleicht albern, vielleicht realistisch, Beispiel je nach Benutzer: Ich weiß, dass ich ChrisH@example.com bekommen werde, weil mir mein Manager gesagt hat / das ist die Form aller E-Mail-Adressen im Beispiel und ChrisH ist ein ungewöhnlicher Name (hypothetisch).Ich weiß auch, weil mir die Personalabteilung mitgeteilt hat, dass ich meine Bankdaten auf ihrem System aktualisieren muss, damit ich bezahlt werden kann.Deshalb sende ich sie mir bei der Arbeit per E-Mail zusammen mit einem Link zum Teilen meines persönlichen Kalenders, damit ich Familientermine sehen kann, bevor ich an meinem ersten Tag, aber vorher, anfange.Der Systemadministrator führt die endgültige Einrichtung durch.(Offensichtlich würde * ich * nicht)
    @ChrisH ** Sie wissen nicht einmal, ob diese E-Mail existiert oder nicht, Sie kennen ihr Passwort nicht. ** Sie wissen nur, dass dies Ihre E-Mail in den ** kommenden Tagen ** sein wird.Diese E-Mail wird Ihnen in Zukunft gehören, aber noch nicht Ihre.Sofern Sie keine Information erhalten haben, dass Ihnen * diese * E-Mail zugewiesen wurde und * dies * Ihr temporärer Pass ist, wird Ihnen überhaupt keine E-Mail zugewiesen.Warum würden Sie Ihre vertraulichen Informationen per E-Mail an eine solche E-Mail senden, die nicht Ihre ist?
    @DavidK Versuchen Sie mir zu sagen, dass ein Systemadministrator nicht weiß, wie er das Erstellungs- / letzte Bearbeitungsdatum einer Datei ändern soll?Wenn sie auch nur ein bisschen gut in ihrer Arbeit sind, können sie die Beweise verbergen.
    Für die E-Mail und "böse Dinge unter Ihrem Konto tun" - 1. Ein Administrator, der mit Administratorrechten auf Ihre Hardware zugreift, kann bereits jedes gewünschte Backdoor / Rootkit installieren.2. Es gibt einen festen Zeitpunkt, zu dem Ihr Konto an Sie übergeben wird. Nur Maßnahmen, die nach diesem Zeitpunkt mit dem Konto ergriffen werden, liegen in Ihrer Verantwortung.
    @KolappanNathan * würde ich * nicht.Viele ansonsten intelligente Leute würden (ich arbeite in der Wissenschaft, wo die Leute klug, aber ziemlich vertrauensvoll sind und in den meisten Fällen die Sicherheit nicht kennen).Ich musste die Geschichte in der ersten Person erzählen, um das Zeichenlimit zu erreichen.
    @Sokel Wenn sich die Automatisierung immer zu 100% lohnt, gehe ich davon aus, dass Sie Ihr Auto (falls vorhanden) bereits automatisiert haben, um selbst zu fahren?Haben Sie eine KI erstellt, um automatisch auf alle Ihre E-Mails zu antworten?Ihren gesamten Job automatisiert?Sie haben eine Maschine gebaut, mit der Sie Ihre Haare unter der Dusche shampoonieren können?Oder Sie haben entschieden, dass einige Dinge zu zeitaufwändig sind (möglicherweise bis zur Unmöglichkeit), um zu automatisieren und strategische Entscheidungen zu treffen, basierend auf der Zeit, der Komplexität und den Fehlermodi einer Aufgabe, wann zu automatisieren und wann Dinge zu tun sindmanuell?
    @Sokel: Ich arbeite in einem Unternehmen mit 7 Mitarbeitern und habe in den letzten zwei Jahren nur 1 Person eingestellt.Wollen Sie mir wirklich sagen, dass sich Automatisierung immer lohnt?Nehmen Sie an, wir haben ein ganzes Desktop- / IT-Support-Team * und nicht nur einen einzigen Mitarbeiter, der das ab und zu erledigt?Nicht jeder arbeitet in einem massiven Unternehmen.
    @Sokel Die Automatisierung des Hinzufügens eines Mitarbeiters umfasst die Integration mit E-Mail-Anbietern, aktiven Verzeichnissen, Diensten wie Slack, Aufgabenverwaltung, Code-Hosting usw. Das Konto sollte nur in die erforderlichen Dienste integriert werden.Diese Automatisierung bricht mit Änderungen an einem dieser Dienste oder wenn ein neuer Dienst hinzugefügt oder ersetzt wird.zusätzlich zu Windows / Mac / Android OS Änderungen.Beachten Sie auch, dass der Windows-Aktualisierungszyklus jetzt alle zwei Jahre stattfindet.Ich verstehe die Vorteile der Automatisierung klar, aber ** der für die Automatisierung erforderliche Aufwand sollte geringer sein als der für die manuelle Arbeit erforderliche Aufwand. **
    @Sokel [Ah, der alte Automatisierungsfehler] (https://xkcd.com/1319/).Niemand hier argumentiert, dass Automatisierung für größere Unternehmen nicht wert ist.Die einfache Tatsache ist jedoch, dass kleine Unternehmen dies nicht sehr oft benötigen und überhaupt nicht über das Fachwissen verfügen.Das heißt, es ist einfach ein sehr schlechter ROI.
    @Sokel Sie haben weder auf Kolappans noch auf Voos tatsächliche Argumente geantwortet.Der bloße Hinweis auf das Vorhandensein von technischen Schulden und Automatisierung geht nicht auf ihre Bedenken ein.Wenn der Zeit- und Geldaufwand für die Automatisierung größer ist als der Zeit- und Geldaufwand für den manuellen Prozess, ist die Automatisierung dumm.Zeitraum.
    Lie Ryan
    2018-11-21 20:59:37 UTC
    view on stackexchange narkive permalink

    In einem kleinen Unternehmen ist der Administrator, der den Computer eines neuen Mitarbeiters einrichtet, wahrscheinlich auch der Administrator der E-Mails und Dokumentenserver des Unternehmens. In diesem Fall kann der Administrator Ihre E-Mails bereits jederzeit lesen oder eine E-Mail senden, ohne jemals Zugriff auf Ihren Computer zu benötigen.

    Wenn dies der Fall ist, liegt kein neues Sicherheitsproblem vor hier, obwohl es stimmt, dass die Praxis irgendwie überflüssig ist. Theoretisch sollte sich ein Administrator niemals mit einem aktiven Passwort bei Ihrem Konto anmelden müssen. Sie können sich stattdessen als Administratorkonto anmelden und so ziemlich alles tun, was sie von dort aus tun müssen.

    In der Praxis, es sei denn, Ihr IT-Team ist gut genug geübt, um neue Maschinen wiederholbar, korrekt und korrekt einzurichten Jedes Mal zuverlässig ist es oft erheblich einfacher, sich als Benutzer anzumelden, um das Setup zu testen und einige Konfigurationen vorzunehmen, die als tatsächlicher Benutzer einfacher sind, als zu versuchen, den Effekt zu simulieren, während Sie als Administrator angemeldet sind. Viele Unternehmenssysteme sind so konzipiert, dass Administratoren ein anderes Benutzerkennwort zurücksetzen oder sich als ein anderer Benutzer ohne das Kennwort des Benutzers ausgeben können. Dies wird häufig protokolliert, um die Überwachung zu ermöglichen. In kleineren Unternehmen hat derselbe Administrator wahrscheinlich auch Zugriff auf das System, auf dem er sich befindet kann das Überwachungsprotokoll manipulieren.

    Der Hauptgrund für das Sprichwort "Sag einem Administrator niemals mein Passwort" besteht darin, zu verhindern, dass Benutzer Opfer von Social Engineering werden, denn wenn Benutzern ständig mitgeteilt wird, dass es sich um ein echtes handelt Der Administrator würde Ihr Passwort niemals benötigen oder fragen. Es wird zu einer automatischen Antwort, dass nur jemand, der vorgibt, ein Administrator zu sein, Sie jemals nach Ihrem Passwort fragen muss. Der zweite Grund ist, dass viele Leute ihr Passwort wiederverwenden. In diesem Fall können sie viel mehr teilen, als sie erkennen. Beides gilt in dieser Situation nicht.

    "Sie können sich stattdessen als Administratorkonto anmelden und so ziemlich alles tun, was sie von dort aus tun müssen."IT-Mitarbeiter haben mir ausdrücklich mitgeteilt, dass etwas an AutoCAD oder einigen seiner Plug-Ins dies unmöglich gemacht hat.Leider kenne ich die genauen Details nicht.
    @jpmc26: Ich weiß davon.Grundsätzlich mussten Sie AutoCAD mit Administratorrechten als Benutzer installieren, der es verwenden würde, damit es funktioniert.Die Software hat während der Installation alle möglichen Dinge an HKCU geschrieben.
    Als Administrator ist mein dritter Grund, den Benutzer niemals nach seinem Passwort zu fragen, dass ich es mit der Übergabe der Schlüssel für sein Auto oder zu Hause vergleiche ... Dann hätten sie keinen Beweis dafür, dass ich oder sie etwas Schändliches getan haben.
    Dies macht es jedoch nicht wirklich unmöglich. Ein Administrator kann die HKCU eines anderen Benutzers ändern.Obwohl es wahrscheinlich viel einfacher ist, die Software dies tun zu lassen, als herauszufinden, welche Schlüssel geändert werden.
    @LieRyan Lassen wir es einfach bei "unerschwinglich teuer", da der Versuch, die Logik des AutoCAD-Installationsprogramms (das sich wahrscheinlich je nach Version ändert) zu duplizieren, eine völlig unvernünftige Angelegenheit ist.;)
    @jpmc26 Ich stimme zu
    Ich finde es gut, dass diese Antwort auf die Frage kommt, warum Administratoren Ihr Passwort nicht kennen sollten.Oft ist die Realität der Sicherheit nuancierter als die einfache Geschichte, die wir unseren Kunden erzählen.
    barbecue
    2018-11-22 06:28:07 UTC
    view on stackexchange narkive permalink

    Ich werde diese Frage aus einer anderen Richtung angehen.

    Ihre Frage basiert auf der Annahme, dass das Konto zum Zeitpunkt der Erstellung in der Verantwortung und / oder im Eigentum des neuen Benutzers liegt, aber das stimmt nicht wirklich.

    Wenn das Konto erstellt wird, gehört es der IT-Abteilung und nicht dem Benutzer .

    Die von Ihnen beschriebene Ersteinrichtung erfolgt bevor der neue Benutzer das Konto in Besitz nimmt.

    Die Tatsache, dass auf dem Konto der Name des neuen Benutzers steht, ändert daran nichts. Der Administrator kann ein Konto für Donald Duck erstellen und später den Namen des neuen Benutzers ändern.

    Der Benutzer nimmt das Konto nur in Besitz und wird dafür verantwortlich, wenn er sich anmeldet und sein eigenes Passwort zuweist. Das ist die Übergabe des Kontos.

    Angenommen, Sie bestellen eine Pizza zur Lieferung. Der Laden schreibt Ihren Namen auf und beginnt mit dem Kochen der Pizza. Sie könnten die falschen Beläge darauf legen oder es verbrennen oder fallen lassen. Ist dies ein Sicherheitsrisiko, weil sie Zugriff auf Ihre Pizza haben? Nein, denn es ist noch nicht deine Pizza . Es wurde Ihnen nicht übergeben. Wenn der Shop einen Fehler macht, ist er für die Korrektur verantwortlich.

    Sobald Sie dafür bezahlt und die Lieferung angenommen haben, liegt es in Ihrer Verantwortung. Wenn Sie es fallen lassen oder auf Ihren Nachbarn werfen, ist die Pizzeria nicht verantwortlich.

    In Bezug auf E-Mail-Bedenken spielt es keine Rolle, ob E-Mails vor dem ersten Login des Benutzers im Konto vorhanden sind, da es noch nicht seine E-Mail ist. E-Mail ist sowieso nicht sicher Es ist leicht von einer beliebigen Anzahl von Personen zu sehen. In den meisten Ländern ist die E-Mail-Adresse des Unternehmens Eigentum des Unternehmens und nicht des Einzelnen.

    Jedoch;Wenn Ihr Unternehmen Ihnen einen Laptop übergibt, den Sie für den privaten Gebrauch verwenden können, gelten in den meisten Ländern Datenschutzgesetze, um den Benutzer vor Spionage durch das Unternehmen zu schützen, auch wenn er den Laptop möglicherweise technisch besitzt.Sie haben Privatsphäre bei der Arbeit und Privatsphäre, wenn Sie nicht arbeiten.Nach Ihrer Theorie bedeutet dies, dass das Unternehmen nur RAT-Software installieren kann, weil es den Laptop besitzt, und ihn dann dem Benutzer geben kann, ohne Schaden zuzufügen?
    @KevinVoorn: Ich bereitete mich darauf vor, in einem ähnlichen Szenario mit einem einfachen Szenario zu antworten - der zukünftige Mitarbeiter entscheidet, dass sich der Job nicht lohnt, und beginnt nie mit der Arbeit. Jetzt gibt es Aktivitäten unter einem Benutzernamen, der von ihm verwendet worden wäreHatte er tatsächlich angefangen zu arbeiten? Wofür ist der nie Beschäftigte am Haken? Nichts, weil er nie Zugang hatte und nichts getan hat, und es kann nicht vernünftigerweise behauptet werden, dass er es getan hat. Dasselbe für Dinge, die vorher passiert sinder fing an zu arbeiten.Was die E-Mail und die Privatsphäre betrifft, wenden Sie sich an die physische: Er stürmte ohne einen von Ihnen in meinen Würfel und durchsuchte meinen Aktenschrank.
    @KevinVoorn Die ganze Frage, ob ein IT-Administrator illegale oder schändliche Dinge tun könnte oder nicht, ist irrelevant, da es sich um inhärente Risiken des beschriebenen Verfahrens handelt, NICHT um inhärente Risiken beim Vertrauen in IT-Mitarbeiter.Wenn Ihre IT-Administratoren schändliche Software auf Ihrem Computer installieren möchten, benötigen sie dazu IHR Login nicht.
    @jmoreno Hier ist ein Beispiel aus meiner eigenen Erfahrung.Ein Benutzer wurde für eine Position eingestellt, ein Konto wurde erstellt, der Computer wurde überwacht usw. Kurz bevor er anfangen sollte, kam ein positiver Drogentest zurück, der ihn für den Job unzulässig machte.Zu diesem Zeitpunkt wurde der Zweitplatzierte für die Position kontaktiert.Sie nahm den Job sofort an.Das vorhandene Konto, das für den ersten Mitarbeiter erstellt wurde, wurde einfach für den neuen Mitarbeiter umbenannt.Keiner der Mitarbeiter besaß das Konto bisher.Das Konto stand noch unter der Kontrolle der IT-Abteilung.
    @barbecue Das stimmt, aber ich habe ein anderes Beispiel gegeben, wie Sie es mit Pizza getan haben, warum Ihre Logik meiner Meinung nach Fehler aufweist.Ich stimme der Schlussfolgerung zu, nur nicht den Argumenten, die dorthin geführt haben ;-)
    @KevinVoorn Wenn Sie genauer sagen können, was Sie als Fehler in meiner Argumentation ansehen, werde ich versuchen, es anzugehen.Ich gehe speziell auf die Frage ein, ob die Anmeldung unter den Anmeldeinformationen anderer Benutzer ein inhärentes Sicherheitsrisiko darstellt, bevor sie das Konto in Besitz nehmen, und ich kann keine sehen, die nicht existieren, wenn ein anderes Verfahren vorliegtwird gefolgt.
    Was Sie sagen, ist richtig, obwohl "der Computer noch nicht im Besitz des Benutzers ist, damit die IT alles tun kann, was sie wollen" nicht in allen Fällen wahr ist, das war sowieso mein Gedanke.
    [Eine US-Pizzakette] (https://www.dominos.com/de/pages/carryout-insurance/) scheint [nicht einverstanden] zu sein (https://www.adweek.com/creativity/dominos-offers-to-Schlaglöcher in deiner Nachbarschaft reparieren, um Pizzen sicher nach Hause zu bringen /) (um natürlich Aufmerksamkeit zu erregen)
    Luc
    2018-11-21 16:55:17 UTC
    view on stackexchange narkive permalink

    Im Allgemeinen wird empfohlen, für alles, was Sie tun, ein persönliches Konto zu verwenden. Protokolle zeigen, wer was getan hat. Aus diesem Grund melden sich Administratoren nicht nur mit "root" oder "Administrator" an, sondern haben auch eigene Konten: Sie können feststellen, wer was getan hat, und Sie können die Anmeldeinformationen des Administrators einfach widerrufen, ohne das Kennwort für alle Administratoren zu ändern.

    Benutzer haben Probleme bei der Auswahl sicherer Kennwörter. Wenn sie sich ein paar sichere Passwörter merken und diese für alles verwenden, können Sie sie wahrscheinlich bereits als überdurchschnittlichen Benutzer betrachten. Wenn Administratoren das Kennwort des Benutzers kennen, können sie sich möglicherweise bei den privaten Konten des Benutzers anmelden (z. B. persönliche E-Mail-Adresse, Musik-Streaming-Dienst usw.). Der Administrator kann sich jederzeit als Benutzer ausgeben: Er kann das Kennwort zurücksetzen, und häufig ist es auch möglich, sich einfach als dieser Benutzer anzumelden, ohne das Kennwort zu kennen. Auf Unix-ähnlichen Systemen können Sie den Befehl su john ausführen, um sich als john anzumelden: Wenn Sie ein normaler Benutzer sind, werden Sie nach dem Passwort von john gefragt. Wenn Sie root sind, werden Sie einfach als John angemeldet, ohne dass Sie das entsprechende Passwort benötigen. Dies wird aus dem im ersten Absatz genannten Grund nicht empfohlen, ist jedoch auf vielen Systemen durchaus möglich.

    Die letzte relevante Information ist, dass die Konfiguration für den Benutzer, der sie benötigt, einfacher ist. Wenn John Outlook benötigt, können Sie ein Skript schreiben und die Ausführung bei der ersten Anmeldung planen. In kleineren Organisationen ist es jedoch möglicherweise effizienter, sich nur einmal als John anzumelden und Outlook manuell einzurichten. Insbesondere Windows eignet sich nicht gut für Skripte: Das meiste davon ist möglich, aber es ist nicht gut etabliert und einige Dinge sind nur über die grafische Benutzeroberfläche (GUI) zugänglich.

    Zusammenfassend sehe ich unter der Annahme, dass dies das etablierte Verfahren ist, kein Risiko darin. Die Administratoren können sich ohnehin als jeder Benutzer anmelden, sodass sie dadurch keine weiteren Berechtigungen erhalten. Sie lernen auch nicht das persönliche Passwort des Benutzers. Das einzige Problem ist, dass Protokolle kurz Aktivitäten unter dem falschen Namen anzeigen, aber ich sehe keinen Vorteil für einen böswilligen Administrator: Es gibt tausend andere (einfachere) Möglichkeiten, böswillige Dinge zu tun.

    Aus Ihrer Antwort geht hervor, dass es eine akzeptierte Praxis ist, dass ein Administrator ein Kennwort für den Benutzer festlegt und sich als Benutzer bei einem System anmeldet (ich beschränke mich nur auf das Windows-System).Wenn ein böswilliger Administrator dann die E-Mails des Benutzers liest, muss dies als akzeptables Risiko angesehen werden (er erhält mit dieser Aktion keine weiteren Berechtigungen).Was ist mit dem * Senden * einer E-Mail als Benutzer?
    @DiegoPascotto - es gibt keinen Grund, es auf Windows zu beschränken.Für die IT ist es durchaus sinnvoll zu überprüfen, ob die Benutzerumgebung ordnungsgemäß funktioniert, bevor das Konto / der Computer an sie übergeben wird.Es ist normalerweise nicht notwendig, aber in einem kleinen / mittleren Unternehmen wie diesem ist es kaum ungewöhnlich.
    @DiegoPascotto In der Antwort sagte ich: "Es gibt tausend andere (einfachere) Möglichkeiten, böswillige Dinge zu tun."Ein Beispiel hierfür ist das Lesen / Senden von E-Mails im Namen des Benutzers: Der Administrator kann dies bereits tun, ohne sich als Benutzer anzumelden.Entweder meldet sich der Administrator mit seinem Administratorkonto an und liest Ihre Mail-Datei (z. B. PST-Datei), oder er sucht in Ihrem Postfach auf der Serverseite.Das Senden kann über Telnet erfolgen.Bei böswilligen Aktionen ist es nicht vorteilhaft, das Kennwort des Benutzers vorübergehend zu ändern und sich dann als Benutzer anzumelden.
    @DiegoPascotto * "Wenn ein böswilliger Administrator dann die E-Mails des Benutzers liest" * Warten Sie was?Vorhin haben Sie gesagt, dass es eine einmalige Sache ist, wenn Sie ein Konto erstellen.Jetzt sagen Sie, dass das Benutzerkonto eine E-Mail enthält, was bedeutet, dass der Administrator diese nicht lesen sollte.Wenn Sie die Frage ändern, sollten Sie nicht erwarten, dass meine Antwort immer noch übereinstimmt.Das Lesen / Senden von E-Mails unterscheidet sich vom Abschluss einer Kontoeinrichtung.
    Ich ändere die Frage nicht, es ist eigentlich eine einmalige Sache.Ich denke, es ist keine häufige Situation, aber es kann vorkommen, dass während dieses Vorgangs (der Outlook-Konfiguration) der Posteingang bereits einige eingehende Nachrichten enthält.In diesem Fall wäre das Lesen (freiwillig oder nicht) einer E-Mail fast unvermeidlich (stellen Sie sich das standardmäßig festgelegte Vorschaufenster vor).Meine Frage lautet immer noch: "Ist die von admin AS THE USER vorgenommene Konfiguration eine akzeptable Vorgehensweise?"
    @DiegoPascotto Dies kann in einem Szenario wie dem folgenden passieren: Die IT wird darüber informiert, dass John Doe in einigen Tagen mit der Arbeit beginnt und an Projekt X arbeiten muss. Die IT erstellt das Konto, einschließlich der E-Mail jdoe@example.org.Aus irgendeinem Grund wird die tatsächliche Einstellung von John Doe um einige Wochen verschoben, aber andere interne (oder vorzeitig informierte externe) Mitglieder senden bereits E-Mails.Kurz vor dem tatsächlichen Datum überprüft die IT das Setup erneut.- Ich würde sagen, dies ist immer noch die Schuld der Absender oder insbesondere der Personen, die die (versehentlich) falschen Informationen über John Does Status verbreiten.
    Frank Hopkins
    2018-11-22 00:03:30 UTC
    view on stackexchange narkive permalink

    Ist die von admin AS THE USER vorgenommene Konfiguration eine akzeptable Vorgehensweise?

    Ja, das ist es.

    Wie bei Alle Praktiken hängen vom Kontext ab. Im Allgemeinen ist dies jedoch eine gängige und akzeptable Praxis, da Sie ein grundlegendes Maß an Vertrauen in Ihre Administratoren haben und kein besonders hohes Sicherheitsbedürfnis, wie wenn Sie Staatsgeheimnisse schützen.

    Es ist in Ordnung , trotz der allgemeinen Regel, da Ihr Konto anfangs keine sensiblen Daten enthält. Es gibt zwar ein kurzes Zeitfenster, in dem E-Mails eingehen können, bevor Sie das Kennwort geändert haben. Dies ist jedoch in der Regel so unwahrscheinlich, dass a) dies der Fall ist und b) wirklich vertrauliche Daten enthalten, die normalerweise nicht als Problem angesehen werden. P. >

    Beachten Sie, dass viele Unternehmen das Recht behalten, auf Ihre E-Mails und / oder Dateien auf Ihrem Arbeitscomputer zuzugreifen . Ethische Unternehmen schützen diesen Zugriff entweder mit der Anforderung, dass Sie anwesend sind oder dass mindestens zwei Administratoren anwesend sind, wenn sie sich in Ihrem Konto anmelden, um sicherzustellen, dass sie nur im Einklang mit ihrer Verwaltungsaufgabe handeln , z.B Entfernen Sie einen Virus, suchen Sie im Urlaub nach einer unbedingt erforderlichen Datei usw. Die gleichen Sicherheitsvorkehrungen können für diese kurze Zeit getroffen werden, wenn sie direkten Zugriff auf Ihr neues Konto haben.

    Beachten Sie, dass Sie Ihrer Verwaltungsabteilung im Allgemeinen vertrauen müssen - sie könnte einfach ein beschädigtes System installieren. Das Risiko eines Identitätswechsels innerhalb des kurzen Zeitrahmens ist jedoch minimal, da dies aus Ihrem Vertrag und dem Zeitstempel Ihrer anfänglichen Kennwortänderung hervorgeht, sobald Sie die Kontrolle über Ihr Konto hatten.

    Ob die Praxis ohne weitere Schutzmaßnahmen akzeptabel ist, z. Das 4-Augen-Prinzip hängt von den Sicherheitsanforderungen Ihres Unternehmens / Jobs ab. Je wichtiger die Sicherheit ist, desto strenger müssen die Sicherheitsvorkehrungen sein - und desto mehr würde man darauf abzielen, diese Prozesse zu automatisieren, um die Möglichkeit zu minimieren, dass jemand Ihren Computer / Ihr Konto beschädigen oder vorübergehend auf Ihre Daten zugreifen kann. Beachten Sie, dass Letzteres auch erreicht werden kann, indem Sie einfach Ihre E-Mail-Adresse aktivieren, sobald Sie das Kennwort zurückgesetzt haben.

    DoubleD
    2018-11-22 00:49:46 UTC
    view on stackexchange narkive permalink

    Akzeptabel, aber nicht ideal

    Damit dies akzeptabel ist, sollte es Teil eines dokumentierten Verfahrens sein. Dies dient dazu, den Grund für das Verhalten zu erläutern und Vorwürfe der Unangemessenheit auszuschließen.

    Dokumente werden im Allgemeinen genehmigt, wenn sie abgemeldet oder anderweitig abgeschlossen werden. Dies würde auch eine offizielle Genehmigung der Praxis begründen.

    Bessere Idee ...

    Wenn es Aktionen gibt, die mit den Anmeldeinformationen des Benutzers ausgeführt werden müssen, ist es vorzuziehen, den Prozess zu automatisieren. Die Automatisierung kann in Form eines Skripts, eines Setup-Assistenten oder eines Self-Service-Portals erfolgen - unabhängig davon, was die Organisation bevorzugt.

    Dies bietet mehrere Vorteile:

    Erstens die Die Benutzerinteraktion wird minimiert, um Fehlkonfigurationen zu vermeiden. Zweitens wird die "Berührungszeit" des Administrators reduziert. Drittens leidet die Konfiguration nicht unter menschlichen Fehlern oder Inkonsistenzen zwischen Bereitstellungen. Und schließlich werden Ihre Bedenken hinsichtlich der Kontonutzung beseitigt.

    Vorsichtsmaßnahmen

    Für die Automatisierung sind zusätzliche Kenntnisse erforderlich (im Vergleich zur manuellen Installation) Ihre Organisation verfügt möglicherweise nicht über diese Fähigkeiten. Einige Plattformen sind schwer zu automatisieren, obwohl dies weniger problematisch ist als früher. Oder das Unternehmen versteht die Vorteile der Automatisierung einfach nicht.

    Tom K.
    2018-11-21 21:35:18 UTC
    view on stackexchange narkive permalink

    Was die anderen Antworten vermissen, ist IMO:

    Warum ist dieser Prozess nicht automatisiert?

    Die Bereitstellung von Benutzerkonten (unabhängig vom Betriebssystem) ist nichts für einen Administrator sollte immer und immer wieder von Hand tun. Die Erstkonfiguration eines Benutzerkontos und die Bereitstellung von Software kann über die Automatisierung erfolgen. Die Einstellung des jeweiligen Passworts des Benutzerkontos erfolgt ebenfalls automatisch. Dies sollte "nach dem ersten Gebrauch ändern" sein. Dieser Automatisierungsprozess muss regelmäßig überprüft und nach dem Vier-Augen-Prinzip implementiert werden.

    Alles, was ein Administrator auf einem Computer tut, sollte protokolliert sein. Wenn sich ein Administrator vor der Bereitstellung nur frei auf einem System bewegt, kann es zu "schlechten Administrator" -Szenarien kommen.

    Bearbeiten:

    Da diese Antwort einige Konversationen ausgelöst hat, lassen Sie mich Fügen Sie Folgendes hinzu:

    Hier einige Tools zum Bereitstellen von Windows-Images für Unternehmenshardware, für Windows 8 das Microsoft Deployment Toolkit und den System Center Configuration Manager für Windows 10. Diese Tools sind offizielle Microsoft-Tools, sie sind kostenlos (soweit ich das beurteilen kann) und auf den ersten Blick ziemlich gut dokumentiert. Dort können Sie alle Prozesse zur Bereitstellung von Windows 8/10 auf Unternehmenshardware einfach implementieren und dokumentieren. Alle Administratorzugriffe auf einen Computer sollten über solche Tools erfolgen und mit einem Protokollierungsserver protokolliert werden. Dann gibt es weniger Möglichkeiten für einen einzelnen Administrator, einen einzelnen Computer zu manipulieren.

    Wenn ein Administrator jeden Computer von Hand handhabt, ist 1) eine Manipulation möglich und 2) es müssen Fehler auftreten. Ein automatisierter Prozess kann überprüft und geprüft werden, ein manueller Prozess kann nicht kontrolliert werden.

    Die Verpflichtung zu solchen Tools ist ein Schritt in Richtung einer sichereren Bereitstellung von Betriebssystemen und Benutzerkonten in einer Unternehmensumgebung.

    Wie kann das Verfahren wie das Einrichten der Outlook-App auf dem Laptop einer Person automatisiert werden?Auch kleine Unternehmen investieren nicht immer in die Automatisierung.Wenn ein Unternehmen etwa 10 Mitarbeiter pro Jahr einstellt, ist der Aufwand für die Automatisierung und Wartung größer als der manuelle Aufwand.
    Die Automatisierung eines 10-minütigen Systemkonfigurationsprozesses dauert ** weit ** mehr als 10 Minuten und erfordert definitiv einen viel teureren Systemadministrator.Wenn Sie einen inkompetenten Admin für die Automatisierung bekommen, wird das besten Fall-Szenario nicht funktionieren.Im schlimmsten Fall öffnen sie jedes System für Schwachstellen.Sie benötigen auch einen Manager, der den Unterschied erkennt und weiß, wie man für die Automatisierung einstellt.Es ist ein viel teureres Unterfangen.Haben Sie jemals versucht, eine benutzerdefinierte Windows-Installations-CD mit bestimmten vorinstallierten Treibern zu erstellen?Das erste Mal habe ich mehrere Stunden gebraucht ...
    @Nelson Ich bin nicht sicher, wo Sie ankommen?Laut [this] (https://xkcd.com/1205/) wissenschaftlichem Diagramm (!) Kann man 21 Stunden investieren, wenn man wöchentlich 30 Minuten spart (was ich ziemlich sicher bin, dass diese Aufgabe dauert, wenn ich OP richtig lese)das sehr gut finden.
    @KolappanNathan Ich weiß es nicht.Ich bin kein Windows-Systemadministrator, aber ich bin mir sicher, dass es einen Weg gibt.
    Ich kann Ihnen versichern, dass 21 Stunden Automatisierung vielleicht 1 Monat dauern werden. Dann müssen Sie es erneut tun, wenn neue Dinge herauskommen.Es ist viel komplizierter, wenn das Unternehmen kein dummes Terminal betreibt.Unterschiedliche Abteilungen, unterschiedliche Softwarepakete usw. Es ist eine enorme Zeitspanne, die sich mindestens jährlich in jeder Abteilung ändert.
    1. Das glaube ich wirklich nicht.2. Auch wenn, na und?Nur weil die Dinge schwierig sind, heißt das nicht, dass ich meine Maschine von einem Administrator von Hand einrichten möchte.
    @TomK.Ich habe viele Jahre in großen und kleinen Organisationen gearbeitet.Sie können nicht alles automatisieren.Es kann für den Administrator viel effizienter sein, dies von Hand zu tun, bevor der Benutzer hereinkommt, anstatt den neuen Benutzer am ersten Tag durch den gesamten Prozess zu führen.Für eine "neue Benutzererfahrung" ist es ein schlechter erster Eindruck, sie mit einem komplexen und fehleranfälligen Prozess zu treffen.Und sie sind Admins, sie haben sowieso Zugang zu allem.
    @schroeder 1. Richtig, Sie können nicht alles automatisieren.Aber ich bin mir ziemlich sicher, dass dies automatisierbar ist (?), Da es in meiner Firma automatisch gemacht wird.2. Jeder andere Zugriff eines Administrators sollte protokolliert und rechenschaftspflichtig sein.Wenn ein Laptop an die IT-Abteilung übergeben wird und ein zufälliger Administrator damit umgeht, weiß niemand, wer mit welchem Computer umgegangen ist.
    @TomK.außer dass der Administrator, der dies tut, bekannt wäre."Tom hat neue Geräte konfiguriert".Und ich bin mir nicht sicher, warum eine weitere Zuordnung erforderlich ist, wenn kein Zugriff gewährt oder ausgeübt wird.
    Ich habe meine Antwort bearbeitet, um die Dinge zu klären.
    Automatisierung ist immer 100% die Mühe wert.Es spielt keine Rolle, ob es sich um einen Linux- oder Windows-Server oder eine Linux- oder Windows-Workstation handelt.Sie verfügen über eine Automatisierung, die Zeit spart.Ja, es gibt eine Lernkurve, @KolappanNathan, aber wenn Sie es einmal gemacht haben, ist es das.Sie können jetzt immer wieder wiederholbare Prozesse und Verfahren ausführen und wissen, was zu tun oder zu erwarten ist, wodurch die Haftung verringert wird.
    "Dort können Sie alle Prozesse zur Bereitstellung von Windows 8/10 auf Unternehmenshardware einfach implementieren und dokumentieren", wie jemand, der anscheinend noch nie ein Tool verwendet hat oder sich mit dem Versuch befassen musste, die Dutzende anderer Tools zu automatisieren, die Sie in Ihrem Unternehmen benötigentägliche Arbeit.Nein im Ernst, in welcher Umgebung haben Sie diese Tools verwendet und wie lange haben Sie gebraucht, um herauszufinden, wie Sie die Installation der üblichen Tools von Drittanbietern automatisieren können, die Sie benötigen würden?
    Ich frage, weil aus Erfahrung normalerweise nur die Leute, die nie herausfinden mussten, warum MSSQL nicht automatisch korrekt installiert wurde, obwohl es einwandfrei funktioniert, wenn Sie dieselben Befehlszeilenparameter in der interaktiven CLI-Sitzung ausprobieren, dies für trivial haltenund an einem Nachmittag fertig.Machbar?Absolut.Aber eine ziemlich große Investition, die eine ständige Beteiligung erfordert (Sie benötigen sehr regelmäßig neue Bilder und die Einrichtungsverfahren ändern sich ständig).Für ein kleines Unternehmen existiert der ROI meiner Erfahrung nach einfach nicht.
    nigel222
    2018-11-22 17:36:16 UTC
    view on stackexchange narkive permalink

    Hier scheint die falsche Annahme zu bestehen, dass ein tragbarer PC eines Arbeitgebers und ein E-Mail-Konto, das in gewisser Weise von einem Arbeitgeber bereitgestellt und bezahlt wird, dem Arbeitnehmer gehören. Sie tun es nicht! Die Situation ist, dass Sie angestellt und bezahlt werden, um ihre Geräte zu betreiben und ihre Daten zu verarbeiten. (Das Gleiche gilt für die Systemadministratoren).

    Die einzige Möglichkeit, sich der Privatsphäre sicher zu sein, besteht darin, private Angelegenheiten auf Hardware zu erledigen, die Sie persönlich besitzen. Ihr mit dem Mobilfunknetz verbundenes Mobiltelefon ist wahrscheinlich dieses Gerät du bist bei der Arbeit. Wenn Ihr Arbeitgeber die persönliche Nutzung seiner Internetverbindung im Allgemeinen zulässt, ist die sichere (https) Kommunikation mit einem persönlichen Konto in einem externen E-Mail-Dienst wie Google Mail fast genauso sicher - solange Sie Ihrem Arbeitgeber vertrauen, dass dies nicht der Fall ist Machen Sie alles, was offensichtlich unmoralisch ist, wie die Installation eines Tastenanschlag-Loggers auf Ihrem arbeitgebereigenen PC, um Ihr privates Passwort abzufangen, und eines Bildschirmrekorders, damit der Arbeitgeber Ihren Bildschirm später ansehen kann. In der EU wäre dies offensichtlich illegal, es sei denn, die Arbeitgeberrichtlinien (auf die Sie aufmerksam gemacht wurden und die Teil Ihres Arbeitsvertrags sind) warnen davor. Es ist wahrscheinlich illegal, auch wenn dies der Fall ist, es sei denn, Sie arbeiten in einer besonders sensiblen Umgebung (in diesem Fall ist der persönliche Gebrauch der Hardware des Arbeitgebers aus vernünftigen Sicherheitsgründen wahrscheinlich verboten).

    Die Sysadmins werden vom Arbeitgeber bezahlt, um sein Vermögen gemäß seinen Richtlinien zu erhalten. Diese Richtlinien sollten dem Gesetz entsprechen. In der EU besteht daher die Erwartung des Datenschutzes in Bezug auf E-Mails, die durch Maßnahmen abgesichert sind, die der Arbeitgeber ausführen muss. Ein Systemadministrator muss sich möglicherweise "private" E-Mails ansehen, um ein Mailserversystem zu verwalten, sollte jedoch niemals offenlegen oder darauf reagieren, was er sieht, es sei denn, es zeigt schwerwiegendes Fehlverhalten oder Verbrechen. Er sollte sich niemals absichtlich E-Mails ansehen, die außerhalb der vom Arbeitgeber festgelegten und dem Arbeitnehmer bekannten Richtlinien liegen.

    Ein schlechter oder korrupter Systemadministrator ist jedoch privilegiert, sodass Sie nichts tun können, um sich davor zu schützen ihm. Wenn Sie Ihrem Arbeitgeber nicht voll vertrauen, verwenden Sie die Hardware zumindest nicht für private Zwecke, die Sie verletzen würden, wenn sie veröffentlicht würden. Sie sollten maximal nach einem neuen Job suchen!

    Nebenbei bin ich ein Systemadministrator in kleinen Unternehmen und richte PCs so ziemlich wie beschrieben ein. Bei einem früheren Arbeitgeber war es s.o.p. Um eine einzelne E-Mail vom neu konfigurierten PC an das E-Mail-Konto des Systemadministrators zu senden, antworten Sie darauf und löschen Sie die Antwort, um sicherzustellen, dass alles ordnungsgemäß funktioniert. Es war auch s.o.p. eine längere E-Mail vom Systemadministrator an das Konto des neu erstellten Mitarbeiters zu senden, ihn im Allgemeinen in der Organisation willkommen zu heißen und Standardinformationen zu den ersten Schritten bereitzustellen. Es würde auf sie warten, nachdem sie sich zum ersten Mal angemeldet und ihr Passwort zurückgesetzt haben.

    blahblah
    2018-11-24 06:50:28 UTC
    view on stackexchange narkive permalink

    Ich habe das Gefühl, dass diese Frage nur die Dichotomie zwischen "wie wir uns wünschen, dass die IT funktioniert" und "wie es wirklich funktioniert" aufzeigt.

    Irgendwann in der Geschichte haben die IT-Mitarbeiter wahrscheinlich eine eingerichtet Laptop für eine exec. Als sie den Laptop weitergaben, war der Manager verärgert, als er nicht funktionierte oder zusätzliche Einstellungen benötigte. Also werden sie angeschrien, und das war wahrscheinlich der Zeitpunkt, an dem eine Richtlinie für "Anmelden und sicherstellen, dass sie vor der Übergabe vollständig eingerichtet ist und funktioniert" gestartet wurde.

    Ist dies ideal? Nein. Aber niemand in der IT ist jemals überrascht, wie viele Unterkünfte die IT bereitstellt, um einen reibungslosen Ablauf in einem Unternehmen zu gewährleisten, insbesondere wenn es sich um höhere Unternehmen handelt.

    Es ist so ähnlich wie bei einem Auftragnehmer eingestellt, aber dem Mieter immer wieder schlechte Nachrichten zu geben, wird aus dem Geschäft sein. Nun, eine IT-Abteilung, die die Dinge immer wieder auf den neuesten Stand bringt und die Leute, die sie einstellen, verärgert, wird irgendwann ersetzt.

    IT läuft oft auf Eierschalen und muss seine Schlachten auswählen.

    Richten Sie einen Laptop ein und melden Sie sich an, um nachträgliche Einstellungen für ungerade Programme vorzunehmen, und überprüfen Sie noch einmal, ob alles funktioniert (QS) vor der Übergabe ... das ist etwas, wofür die IT gerade ein Zugeständnis gemacht hat, um das Leben aller einfacher zu machen. Solange IT-Administratoren die einzigen waren, die dies taten, war dies eine "sichere Sache".

    Aber wenn Führungskräfte jemanden bitten, sich für sie anzumelden und zu arbeiten (wofür der Administrator dies könnte) Lassen Sie sich dazu bringen, die Bücher für jemanden zu kochen, ohne es zu merken) .. oder einen Manager / Manager, der die IT auffordert, sich über eine Richtlinie zu entspannen, die Benutzer vor sich selbst schützen soll, oder die Server vor Viren zu schützen (z. B.: "Lassen Sie einfach meine Leute ihre Passwörter behalten." auf Post-its neben dem Computer "... ähm, nein.)

    Sie müssen Ihre Schlachten auswählen. Sie können den ganzen Tag über keine Richtlinien auswählen, und wenn Sie sich weiter mit Richtlinien befassen, werden Sie frustriert sein, wenn Sie all die kleinen Tröstungen sehen, die die IT-Abteilung macht, um einen reibungslosen Ablauf zu gewährleisten.

    Das andere Problem dabei ist, dass die IT-Abteilung, wenn sie Trost spendet, als eine Gruppe angesehen werden kann, die bereit ist, Regeln zu biegen. Einige Leute nehmen Regeln daher möglicherweise nicht so ernst oder erwarten, dass sie sie bis zum Punkt biegen Brechen.

    Also, IT, ähnlich wie Bruce Lees Jeet Kun Do-Philosophie, ist "sei wie Wasser". Sie möchten die Bedürfnisse und Wünsche des Unternehmens erfüllen, für das Sie arbeiten, um einen reibungslosen Ablauf zu gewährleisten und gleichzeitig Ihren Hauptzweck zu erfüllen. Sie möchten aber auch eine Kraft sein, mit der man rechnen muss, wenn jemand Sie in eine Richtung drängt, die eindeutig schlecht für sich selbst oder das Unternehmen ist.

    Aus diesem Grund gibt es in Unternehmen einen heiklen Spagat. Sie möchten vertrauenswürdige Mitarbeiter in der IT einstellen. Ich hätte lieber mittelmäßige IT-Mitarbeiter, denen ich vertraue, als Rockstars, die besorgt sind, Wege zu finden, um nebenbei Geld zu unterschlagen oder die Server zu pimpen, um nachts an Vertragsarbeiten zu arbeiten.

    Auf der anderen Seite Ich möchte auch nicht, dass Führungskräfte glauben, sie könnten überall in der IT herumlaufen. Der Umgang mit IT sollte wie der Umgang mit der Polizei sein. Sie müssen vertrauenswürdig sein, dass sie genug Macht haben, um sich gegen arrogante Menschen zu wehren, aber auch vertrauenswürdig genug, dass sie ihre Macht nicht missbrauchen.

    Also, tl; dr ... ich denke du ' Sie bleiben bei einer Richtlinie hängen, die aus akademischer / idealer Sicht nicht ideal aussieht, aber wahrscheinlich aus einem früheren Fauxpas hervorgegangen ist und jetzt als IT-Abteilung fungiert, die sich genug um die Qualitätssicherung kümmert, bevor sie blind weitergegeben wird.

    Kwisatz Haderach
    2018-11-22 18:57:10 UTC
    view on stackexchange narkive permalink

    Sie kaufen ein neues Auto. Mindestens einmal im Jahr bringen Sie es zur Wartung zum Mechaniker (Ölkontrolle usw.). Die meisten von uns geben dem Mechaniker einen Schlüssel und machen etwas (Einkaufen, Kaffee usw.). Sie haben einen vollständigen Zugang zu Ihrem Auto. Sie können alles machen. Betrachten Sie es als ein großes Problem, wenn Sie Ihren privaten / Büro-Laptop oder einige persönliche Dokumente im Inneren lassen / vergessen oder ... ??

    Genau wie die Wartung Ihres Autos muss auch die Vorbereitung Ihres Kontos durchgeführt werden. Sie können zusehen, zuschauen und so tun, als ob Sie wissen, was sie tun, oder sie es selbst tun lassen, indem Sie ihnen vertrauen, dass sie Profis sind und wissen, was sie tun.

    Wenn ich zu einem neuen Job wechsle, wäre ich mehr besorgt über mein volles Postfach, das bei einem alten Job übrig bleibt, als für ein leeres bei einem neuen Job.

    Paranoid zu sein ist in Ordnung. Solange Sie sicher sind, dass Sie wissen, warum Sie paranoid sind.

    Dies erinnert mich an einen GDPR-Witz:
    In der Arztpraxis kommt die Krankenschwester heraus und sagt: "Aufgrund der GDPR darf ich nicht Sagen Sie Ihre Namen in der Öffentlichkeit, aber derjenige mit Syphilis kann zum Arzt gehen ... "

    Dies beantwortet die Frage nicht und die Analogie passt nicht.Die Analogie wäre: "Ist es in Ordnung, dass das Autohaus beim Kauf eines Autos zuerst die Schlüssel hatte?"
    Falsches Beispiel!Nachdem ich mich zu oft mit nicht professionellen Mechanikern beschäftigt habe, werde ich jetzt die IT-Leute mit einem anderen Auge betrachten!


    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
    Loading...