在 Windows 环境下,网络管理员是否有权访问用户网络密码?当用户离开时,他可以使用用户 LAN 凭据登录到他的机器吗?
编辑 - 我问这个是因为我的公司已经对 ADP 工资单网站实施了 SSO。如果我登录到 Windows,我将自动登录到我们的内部网站。如果我点击我的内部网站上的 ADP 链接,它会自动 (SSO) 将我登录到 ADP 门户。
鉴于此,如果我的网络管理员有权访问我的 LAN 网络用户/密码,他就可以看到我的个人信息。我知道管理员可以重置通行证等,但他可以访问 LAN 上的真实用户密码吗?
不可以。域管理员无权访问任何其他用户的密码,也不能以该用户的身份登录域,除非用户已将其密码提供给域管理员。
域管理员可以启用密码以可逆加密方式存储,在这种情况下,他们可以从技术上访问您的密码。我唯一见过这样做的地方是那些有需要 AD 集成的旧 RADIUS 产品的地方。任何像样的 SSO 产品都不需要此设置。就是说,这是极有可能的,但可能性很小。
您可以随时更改 AD 中任何用户的密码。而且我相信,如果您使用不同的凭据登录到任何 PC,它会将其他用户踢出。你想达到什么目的?
网络管理员应该拥有用户登录凭据的唯一方式是用户告诉管理员他们是什么。如果他是域管理员,那么他可以使用他的凭据将用户注销。
除了您刚刚在编辑中添加的内容之外,网络管理员只有在有权访问域控制器的情况下才能拥有密码,并且可以安装他/她自己的软件来暴力破解密码(如果密码很弱,则很容易) . 在正常情况下你的回答是否定的,他/她没有你的密码。
我对此的看法是,当用户离开办公桌并解锁屏幕时,同事面临的风险更大。使用 SSO 打开对 Windows、数据、电子邮件和任何系统的访问。
虽然典型的 Windows 密码以一种无法逆转的方式受到保护(可能给定时间和资源),但更改此默认配置可能是一个非常糟糕的决定。http://technet.microsoft.com/en-us/library/cc784581(v=ws.10).aspx