Почему я могу войти в ящик, даже если контроллер домена AD не работает?

15

Сценарий:

  • Пока работает мой DC, я захожу на произвольный компьютер.
  • Я останавливаю DC
  • Я выхожу из произвольной машины. Давайте откажем это для хорошей меры тоже.
  • Когда машина возвращается, я все еще могу войти с моими учетными данными домена, даже если DC не работает

Почему и как?

Есть ли какой-то локальный кеш учетных данных в игре на «произвольной» машине? Мой пароль был как-то хеширован и сохранен на будущее, в случае, если DC взорвется или не работает?

Будет ли работать тот же процесс, если я попытаюсь войти в ящик, в который я никогда не входил раньше, пока не работает DC?

windows  active-directory  domain-controller 
Рассел Кристофер
источник
1
Просто интересный, связанный с этим момент: отключение сетевого кабеля - это один из способов эмулировать «отключение постоянного тока». Я не уверен, изменилось ли это в последние годы, но поскольку DC реализует политику блокировки пользователей, вы можете получить бесконечные попытки угадать кэшированные учетные данные, просто отключив сетевой кабель.
Даниэль Б

Ответы:

33

По умолчанию Windows кэширует последних 10-25 пользователей для входа в систему (в зависимости от версии ОС). Это поведение настраивается с помощью объекта групповой политики и обычно полностью отключается в тех случаях, когда безопасность имеет решающее значение.

Если вы попытались войти на рабочую станцию ​​или рядовой сервер, на который вы никогда не входили, когда все ваши контроллеры домена недоступны, вы получите сообщение об ошибке There are currently no logon servers available to service the logon request

MDMarra
источник
3
Кэширование учетных данных выполняется по разным причинам, но среди наиболее заметных это случай ноутбуков. Генеральный директор будет очень недоволен, если он не сможет работать, пока он в эфире и не сможет подключиться к вашей сети, поэтому логин кэшируется, чтобы позволить ему / ей по-прежнему входить на свой компьютер.
user24313
1
Обычно перед подключением к VPN требуется интерактивный вход в ОС. Если вход в систему невозможен без прямого доступа к контроллеру домена, а контроллер домена доступен только через VPN, а VPN доступен только после входа в систему, у вас есть неприятный улов-22. Кэшированные учетные данные - эффективное решение для этого.
Брэндон
@ Брандон, что они есть. Я не рекомендовал всем отключать его, я просто отмечал, что это обычное явление, security is criticalпоскольку это предотвратит нападение грубой силы в автономном режиме. Решение проблемы VPN заключается в подключении при запуске с использованием сертификатов устройства, а не после входа в систему с пользователем / проходом.
MDMarra
2

Да, ваши учетные данные кэшируются на каждом компьютере, на котором вы входите. Если вы не выполнили вход на определенную машину до отключения контроллера домена, вы не сможете войти, потому что ваши учетные данные будут недоступны.

Джон
источник
7
This is done to avoid unnecessary network usage if you log in to a given machine frequently.- это неправда. Если есть DC, доступные для аутентификации входа в систему, они будут делать это независимо от того, кэшированы ли кредиты этого пользователя или нет на локальной рабочей станции или рядовом сервере. Кэшированные учетные данные используются только тогда, когда рабочая станция или рядовой сервер не может связаться с одним или несколькими контроллерами домена для проверки подлинности. Распространенные сценарии, в которых это происходит, включают перенос переносных компьютеров из сети, недоступность контроллеров домена из-за перебоев в работе сети или любых других перерывов в обслуживании.
MDMarra
Хорошо, я изменил ответ, чтобы удалить неверную информацию.
Джон
-2

Стоит также отметить, что контроллеры домена DC и клиента периодически синхронизируются как часть операций групповой политики, но только тогда, когда они оба подключены.

Например, вы можете войти на свою рабочую станцию ​​(Алиса) и отключить ее от сети, затем войти на вторую рабочую станцию ​​(Боб) и изменить пароль AD своего логина (через ctrl-alt-del) от Боба. Пароль обновляется мгновенно на Бобе и DC (Чарли), но все еще остается старым значением (кешируется) на Алисе.

Если вы снова подключите Алису к сети, через пару секунд вы, скорее всего, получите всплывающее уведомление на панели задач, говорящее «Windows требует ваши текущие учетные данные». Это результат того, что Алиса и Чарли сделали синхронизацию групповой политики периода. Ввод нового пароля подтвердит вашу регистрацию против Чарли и обновит кэшированные учетные данные Алисы.

Райан
источник
3
It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online. вздох это не имеет ничего общего с групповой политикой. Как только вам понадобится доступ к сетевому ресурсу и ваши кэшированные учетные данные будут использованы, вам потребуется аутентификация. Здесь нет «синхронизации паролей» или чего-то в этом роде, особенно от GPO. Вы, вероятно, видите это сразу, потому что у вас есть постоянные сопоставления дисков или открытый почтовый ящик Exchange, или что-то подобное, что требует ваших учетных данных почти сразу.
MDMarra
1
Спасибо за указание на его недостаток в отношении групповой политики. Я также должен отметить, что это имеет мало общего с синхронизацией паролей друг с другом и больше связано с запросом / выдачей новых пар билетов / ключей. Посмотрите, если то, что я только что сказал, не имело смысла. msdn.microsoft.com/en-us/library/windows/desktop/… Скорее всего, у вас было что-то вроде Outlook или сопоставления дисков, как упоминалось в MDMarra, так как они сразу попытаются аутентифицироваться, но так как у них есть старая пара билет / ключ, они перед тем, как продолжить, нужно будет предоставить новый
Брэд Бушар
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.