私はドメイン管理者です。パスワードを知らなくても、ユーザーとしてワークステーションにログオンできる方法はありますか?
Active Directoryからユーザーパスワードをリセットできることはわかっています。しかし、これを行ったとしたら、一時的にリセットして古いパスワードを知っているものに戻すにはどうすればよいですか?
編集:
グループポリシーを使用してすべてを構成できると考えるのはいい考えです。ユーザーは基本的な初回使用ウィザードを完了するのに十分なほど賢いです。しかし、これは現実的な問題であり、理論的な問題ではありません。私はあなたに同意しますが、ユーザーのデスクトップでOutlookを構成するように求められたとき、私は議論なしに彼らの要求を尊重します。
そしてもちろん、これは倫理的にアクセス権を取得することですが、エンドユーザーは私に電話をかけています。
Imho-最良の解決策は、技術的な問題を修正している間、実行中のユーザーセッションをリモートで追い越すことができるクライアント管理ツールを使用することです(*)。
最初にユーザーに電話し、会社の法律によるアクセス制限が根本的に制限されている可能性のある開いているプログラム/ウィンドウをすべて閉じるように依頼します。さらに、会社のコンピューターの私的使用が許可されている場合は、すべてのプログラム/ウィンドウを閉じるように依頼します。それはそれに関連しているかもしれません。さらに、管理ツールは、「admin-xyzがデスクトップを制御できるようにしますか?」のようなメッセージでユーザーにテイクオーバーについて通知し、ユーザーはOkこの種のソフトウェアのもう1つの良い点は、ユーザーが自分のマシンで実行していることを確認できることです。「暗闇の中で修正する」よりもはるかに透過的です。
Nhinkleのコメントにも完全に同意します。ユーザーにパスワードを要求しないでください。 1つは、前述のソーシャルエンジニアリングの要素です。もう1つは、ユーザーがどのような素晴らしいパスワードに依存しているかを知ることで、心臓発作から身を守る必要があるということです。
ドメイン管理者として、マシンにログオンできる必要があります。通常、画面には次のように表示されます。XXXXまたは管理者のみがこのセッションのロックを解除できます。
Windowsでユーザーを偽装することはありません。ただし、ユーザーを切り替えてからセッションを管理し、最終的にユーザーセッションを強制終了します。
ちなみに、ユーザーを偽装する必要があるケースは見当たりません。
参考として mssocial を参照してください。
この政治的な議論の両面を理解しています。決してログインしないのが「最善」ですが、小さなお店では、それを行うためのツールが用意されていないことがよくあります。ユーザーにパスワードを要求したくない場合(私は同意しないことに同意します)、私が見た唯一のオプションは、PWを変更することです。その後、PWを期限切れに設定したら、新しいものを伝えます。彼らが再びログインすると、プロンプトが表示され、古いパスワードに戻すことができます... AD GPOパスワードポリシーを設定してX個の古いパスワードを記憶する場合を除きます。唯一の選択肢は新しいものです。
それを変更し、変更されたことを知らせます(完了したら、最初の使用時に変更するように設定して、彼らが望むものに変更できるようにします)。