Czy w Active directory, administrator ma możliwość zalogowania się na konto użytkownika bez znajomości i zmiany jego hasła w celu konfiguracji ustawień lub zbadania problemów jakie zgłasza użytkownik ?
Nie.
1 polubienie
Można zresetować hasło użytkownika i wtedy się zalogować.
Można zainstalować oprogramowanie typu TeamViewer lub UltraVNC aby zdalnie diagnozować i usuwać problemy u użytkownika.
Jaki sens wówczas miałoby wymuszanie zmiany hasła i zakaz przekazywania go nawet adminowi?
Admin nie może nawet zajrzeć do plików użytkownika.
Masz 3 opcje: 1. Przeklikać profil na każdym kompie przed oddaniem konta użytkownikowi lub w jego obecności; 2. Wykorzystać NTUSER.DAT; 3. Przygotować sobie obraz Windowsa z własnymi ustawieniami i z niego stawiać Windowsy na nowych kompach (sysprep).
Ja tylko uściśle… zalogować w teorii się da, ale:
- nie będzie można w pełni wykonać czynności diagnostycznych (brak uwierzytelnienia w AD),
- nie powinno być to stosowane.
Przykładowo KonBoot umożliwi takie logowanie (potrzeba dostępu fizycznego do komputera, komputer nie może być zaszyfrowany np. BitLockerem).
Dobre dla kompów/srv nie-brzegowych czyli po prostu klientów. Na hostach brzegowych nie radzę tego robić…
Admin nie może nawet zajrzeć do plików użytkownika.
To akurat zależy od konfiguracji. Ale tak: out-of-the-box jest to nie możliwe. Aczkolwiek nawet bez zmiany konfiguracji (ale mając fizyczny dostęp) jest takowa możliwość jak ktoś jest kumaty
Oczywiście, że chodziło mi o klientów.