Назад | Перейти на главную страницу

Создание учетной записи Active Directory

Мы автоматически создаем учетную запись AD и пароль. Служба поддержки не знает пароль и не использует его каким-либо образом. Я ищу другие компании, которые, возможно, проводят такие же процедуры. Мы будем просить конечного пользователя прийти в службу поддержки для сброса пароля. Я ищу другие типы вариантов, для которых мы еще не знаем пароль, но должны предоставить поддержку конечному пользователю.

Предполагая, что ваша HR-система может публиковать данные, вы можете взять что-то из этого (например, DOB) в качестве исходного пароля пользователя и один для сброса паролей пользователей, и написать инструмент, позволяющий службе поддержки сбрасывать пароль пользователя на их DOB, не сообщая служба поддержки, что такое DOB на самом деле. (Этот инструмент должен установить флаг «пользователь должен сменить пароль при следующем входе в систему», заставляя пользователя сменить пароль на более безопасный при входе в систему)

Затем они могут сказать пользователю: «Ваш пароль - это ваш DOB в следующем формате ../../ ..», не зная фактического DOB. Очевидно, что, учитывая, что большинство людей не считают свой DOB государственной тайной, служба поддержки / злоумышленник не должны возиться со службой поддержки / злоумышленником, поэтому вам следует быть осторожными. Но тогда как еще вы сможете заставить holdpesk сообщать пользователю «ваш пароль сброшен» и пользователь узнает, на какой пароль был сброшен, если служба поддержки не знает новый временный пароль ».

Мы делаем что-то подобное в колледже, в котором я работаю, за исключением того, что служба поддержки может видеть DOB пользователя как перенесенное из наших студенческих записей при сбросе пароля (наши студенты, кажется, выдают нам свой DOB достаточно часто, чтобы это было необходимо для устранения неполадок для нас).

Вам действительно нужно тщательно обдумать это - если это делается для удовлетворения чьей-то теоретической идеи о «безопасной» системе, тогда мне интересно, действительно ли этот человек думал о влиянии на ваших конечных пользователей и обходных путях, которые они и служба поддержки иметь использовать только для выполнения работы, которая не только подорвет идею, но и приведет к ухудшению безопасности в целом.

Вам не нужна служба поддержки, чтобы знать пароль конечного пользователя. Что вы можете сделать:

  1. создать учетную запись с помощью генератора паролей - никому не сообщать пароль
  2. в дату начала работы нового пользователя одна из обязанностей службы поддержки - сбросить пароль пользователя, когда пользователь звонит и служба поддержки сообщает пользователю этот новый пароль. В это время служба поддержки также устанавливает параметр «пользователь должен сменить пароль при следующем входе в систему». Обратите внимание, что это подлежит аудиту и его следует регулярно проверять.
  3. пользователь входит в систему на своей рабочей станции и вынужден сгенерировать новый пароль.

Ваш вопрос вызывает несколько вопросов:

  1. если пароль создается автоматически, каков механизм получения конечным пользователем начального пароля?
  2. Как вы сейчас справляетесь с забытыми паролями? Что отличает «новый» забытый пароль (новую учетную запись) от существующего?
  3. Почему пользователю нужно обратиться в службу поддержки, чтобы сбросить свой пароль?

Вы можете проверить SSRPM на сайте www.tools4ever.com.