В целом, если ПК в домене, все управление доступом идет через доменные группы/учетки.
Обычные пользователи не должны входить в группы админов (ни локальных, ни доменных).
На особо ответственных участках, как правило, рекомендуется не включать ПК/сервера в общий домен, т.к. в общем случае, вероятность взлома доменной учетки (в том числе с правами админа) выше, чем локальной, и дальше, она может быть использована нарушителем для расширения зоны управления в домене.

Спасибо! Вот как раз непонятно почему пользователей включили в группу локал. админов. Спросить с какой целью не у кого даже, те кто этим занисался уже не работают

такое встречал у конструкторов и разработчиков, это норма

обычная админская лень. проще подойти и что-то сделать под учеткой пользователя, нежели перелогиниваться на админскую

Единственно внятное объяснение - бывает [кривовато написанный] софт, который не работает без админских прав. В юниксах это решается SUID-ным битом в аттрибутах файла, но, в любом случае, это зло.

Скорее всего, обычный пофигизм. Иногда пользователи сами просят расширенные права, для установки всякого ПО, самостоятельного изменения настроек и т.д.

УЦ обязаны идентифицировать личность при принятии заявления на выпуск сертификата. Если они это не делают, то всё.

УЦ не может определить поддельные документы или нет

Так же, как операционист кассы в банке и сотрудник росреестра при приёме заявления на регистрацию.
Тем не менее они обязаны сверять личность с фоткой и в меру своих скудных возможностей по определению фальшивок как-то выполнять эту работу.

это обязательно, не спорю. но если придет человек с перекленной фотографией, то проверка личности пройдет успешно). и графологическую экспертизу сотрудник УЦ не производит, а в отдаленных местах, где уровень квалификации ниже и вступить в сговор проще, там мошенники и оформляют ЭП

Этого недостаточно , во первых помимо сверки лица с фотографией в бумажном паспорте нужна дополнительная проверка с какой то централизованной базой. Во вторых нужен некий Единый реестр всех выданных цифровых подписей и соответсвующий УЦ , чтобы можно было в случае необходимости оперативно выяснить кто когда где и почему выдал ЭЦП

Народ, подскажите, а есть ли решения  СЗИ от НСД для Astra Linux Common Edition, вдруг кто в курсе или сталкивался уже?

Да, аккредитованные УЦ должны проверять соответствие СНИЛС <-> ФИО. Это делается сначала при помощи проверки страхового полиса субъекта, где есть этот СНИЛС, а потом ещё можно через смэв проверить.

Если УЦ нацелен на выпуск левого квалифицированного сертификата

, то он это сделает, объехав все ограничения

по 63ФЗ обязаны проверять и СНИЛС и ИНН и действительность паспорта. только это все мелочи... если циферки  реальные, то проверку пройдет, а единой базы паспртов владельцев с фото нет, так что тут узкое место

А "то всё", это что значит?

Все верно , нужна единая База паспортов. Думаю с постепенным переходом на электронные паспорта этот вопрос будет решаться

.. то весь дальнейший процесс выпуска сертификата, если он продолжается, ведёт к рискам ддя субъекта, который ни сном, ни духом о том, что происходит в этом УЦ вокруг его личности.