> СТАНДАРТНУЮ ЛУЧШУЮ бизнес-практикудля лавок из трех человек и двух компьютеров. Увы, это и есть то, что я имел в виду - фанаберии у тебя много, как и у большинства местных горе-экспертов, а хотя бы отдаленного представления о работе контор, где работает десяток тысяч человек - ни малейшего.
паролей, которые надо бы "сменить при первом входе" у меня вот на текущем рабочем месте около двух десятков. Удержать это все в голове - не смешите мои тапочки, мальчики с феноменальной памятью (к тому же некоторые из них не пароли, а сертификаты). Они еще и протухают регулярно и неотключаемо иногда.
Это еще хорошо, что тут глупой паранойей не болеют, а то на многих из предыдущих мест были еще и "пароли, которые никак нельзя поменять", которыми были закрыты какие-нибудь древние изолированные хреновины, и я даже не знаю, что хуже - когда пароль название железки, или когда нечто бессмысленное в лучших традициях mixed case, some digits, some non-alpha плюс серт - и таких, если лавка проработала не год и не два, внезапно, тоже не один и не два. В результате вся секьюрить сводится к херу - все, кому они нужны хотя бы изредка, вынуждены их где-то записывать, причем это "где-то" должно быть под рукой.
> НЕ способные управиться с собственными креденциями — СКОРЫМ ШАГОМ (или, как еще говорят,
> пенделем пацсракку) проходят прямо на улицу — там стоит очередь из желающих занять их
> место.
влажные детские фантазии. Из лавки типа упомянутой гораздо скорее вышвырнут заигравшегося в царька админа (на самом деле для тебя без шансов и в первый раз туда попасть, потому как умение/понимание работы в большом коллективе - одна из немногих вещей, которую даже hr умеют проверять) - вот на это место как раз и впрямь, очередь желающих. И цель бизнеса - вовсе не в создании идеально защищенной айтишной сети, ну надо же.
> И далее: как это мудологино управляется с AD?
как обычно, полагаю - аккуратно тырит оттуда данные, прямо по мере поступления.
(ну и, разумеется, наоборот - когда меняешь в нем, сохраняет в AD. Причем этих AD может быть не один, несвязанных). Это-то как раз нифига не фокус, куча всяких энтерпрайз-секьюрити-поделок умеет влезать в этот механизм либо через ldap, либо напрямую (у этих, кажется, напрямую, свой сервис внутри каждого не-RO DC - вряд ли для чего-то еще).
> ВЕЗДЕ (кроме свинарников) стоит необходимость менять пароль пару раз в квартал.
вообще-то идея на редкость дурацкая, но не вижу,что мешает просто перенести этот функционал в SSO-систему - они это вполне умеют делать за тебя.