Implicazioni della politica di modifica delle password rispetto alla disabilitazione degli account in Active Directory

1

C'è qualche indicazione che indica che il modo migliore per gestire i licenziati è di disabilitare gli account (almeno inizialmente) invece di modificare le password? Dato che AD supporta questa opzione, suppongo che questo sia l'unico modo supportato per disabilitare un utente, ma altri hack sembrano essere prevalenti per supportare app o processi legacy.

Chiedo perché ritengo che questo sia l'unico modo sicuro, ma molte guide e aziende tendono a seguire un approccio che modifica la password per l'utente a qualcosa che non conoscono. Penso che altri metodi come lo spostamento di un account in un'unità organizzativa che non può accedere siano ancora più difettosi.

Storicamente questa potrebbe essere una buona pratica quando tutte le applicazioni sono locali, ma con le applicazioni cloud che utilizzano molti strumenti di sincronizzazione sembra che un account AD disabilitato sia l'unico indicatore sicuro per le applicazioni a monte.

Sembra che alcune applicazioni come le ultime versioni di Outlook con O365 supportino l'invalidazione delle credenziali con ADAL dopo la reimpostazione della password, ma dubito che ciò sia universale.

    
posta Brian Lyttle 23.02.2017 - 18:34
fonte

2 risposte

2

Sei corretto, il processo di off-board ideale sarebbe quello di disabilitare l'utente. Tuttavia ci sono situazioni in cui l'utente ha dati aziendali che si trovano sul suo profilo personale, sia esso on premise o nel cloud. Dal momento che i servizi cloud e on-premise in genere potrebbero avere una sorta di disabilitazione dell'eliminazione dei dati utente disabilitata. Preferiresti essere dalla parte della sicurezza e cambiare la password invece di disabilitare l'utente. Inoltre, anche con i servizi cloud a volte hai problemi tecnici e non puoi cambiare l'utente che è responsabile di un determinato processo o attività e preferiresti usarlo. In molte organizzazioni viene chiesto al responsabile IT di assumere la proprietà dell'account dell'utente e di copiare i file che sono rimasti sul profilo.

    
risposta data 23.02.2017 - 19:10
fonte
1

Facciamo entrambi: cambia la password in qualcosa di casuale E disabilita l'account.

Disabilita è la risposta "corretta". Tuttavia, se un account viene riattivato per errore, desideri essere protetto. Potrebbe anche essere qualcosa di innocuo come se l'ex dipendente avesse ancora l'impostazione dell'account e-mail aziendale sul proprio telefono con una password memorizzata nella cache.

Inoltre, ho visto alcune app di terze parti che utilizzano LDAP per l'autenticazione ma non rispettano il flag "account disabilitato". Quindi l'utente può ancora accedere all'app con un account disattivato. Cambiando le protezioni della password contro questo.

    
risposta data 23.02.2017 - 22:09
fonte

Leggi altre domande sui tag