Abbiamo una configurazione in cui, se un utente viene bloccato dalla sua macchina Windows, il suo dipartimento o il suo assistente manager possono sbloccare il loro account. Ci viene chiesto di espandere questo in modo che ogni dipendente possa sbloccare l'account di un altro dipendente.
Nota: abbiamo uno script che può sbloccare un utente che può essere eseguito se si è nel gruppo di sicurezza AD corretto
.Questo mi sembra una cattiva pratica. Questo dovrebbe essere permesso? Se sì, perché?
Consentire a qualsiasi utente di sbloccarne un altro non è sicuramente una buona pratica e introduce il rischio che l'uso dello "script" possa consentire lo sblocco di potenziali sblocchi non autorizzati (ad esempio, aggressori malintenzionati che eseguono il tentativo di indovinare la password). Ad esempio, se un utente malintenzionato indovina le password e blocca un account e il proprietario reale chiede a un collega (non IT / manager) di sbloccarlo, il tentativo di intrusione potrebbe non essere rilevato. I responsabili IT / "dovrebbero" essere addestrati ad essere in allarme per blocchi sospetti con cause sconosciute.
Detto questo, c'è una certa validità per il commento che in una piccola organizzazione questo potrebbe essere accettabile, ma non si adatta bene a un POV di sicurezza in organizzazioni più grandi. Se l'organizzazione intende andare avanti con questa pratica, dovrebbe esserci un certo livello di addestramento per la consapevolezza della sicurezza che accompagna il suo uso e forse una procedura per la documentazione manuale degli eventi o la registrazione automatica (e la successiva revisione di tali registri).
Leggi altre domande sui tag account-security