Kwalifikacja: INF.10 - Obsługa oprogramowania i sprzętu informatycznego wspomagających użytkownika z niepełnosprawnością wzrokową

Wiele osób zakłada, że umożliwienie zmiany hasła w Windows polega na czymś bardziej aktywnym, np. zaznaczaniu jakiejś opcji typu „zmień hasło” czy „może zmieniać hasło”, co jest dość mylące. W rzeczywistości logika systemu uprawnień Windows działa odwrotnie: uprawnienie to jest domyślnie przyznane każdemu użytkownikowi, a administrator może je odebrać poprzez zaznaczenie opcji „użytkownik nie może zmienić hasła”. Tymczasem odznaczanie opcji „może zmieniać hasło” w zasadach grupy nie ma bezpośredniego odzwierciedlenia w standardowych narzędziach Windows, bo taka opcja po prostu nie istnieje – to błąd logiczny wynikający z nieznajomości dokładnej nazwy ustawienia. Z kolei zaznaczenie opcji „zmień hasło” w kontach użytkowników to raczej czynność wymuszająca natychmiastową zmianę hasła przez użytkownika przy następnym logowaniu, a nie stałe uprawnienie do zmiany hasła przez cały czas pracy konta. Jeśli natomiast ktoś zaznaczy opcję „użytkownik nie może zmienić hasła”, efekt będzie odwrotny do zamierzonego – użytkownik będzie mieć zablokowaną możliwość samodzielnej zmiany hasła. W praktyce bardzo łatwo tu o pomyłkę, zwłaszcza gdy ktoś dopiero zaczyna pracę z Windows Server czy Active Directory. Moim zdaniem warto zapamiętać, że większość uprawnień użytkownika jest domyślnie otwarta i administrator ogranicza je poprzez aktywowanie określonych blokad – dokładnie tak jest z możliwością zmiany hasła. To jest zgodne z typową filozofią minimalizacji uprawnień w systemach informatycznych, gdzie najpierw przyznaje się podstawowe prawa, a potem je ewentualnie odbiera zgodnie z polityką firmy.