Scenariusz:
- Gdy mój kontroler domeny działa, loguję się na dowolnym komputerze.
- Zatrzymuję DC
- Wylogowuję się z dowolnej maszyny. Odbijmy to również dla pewności.
- Po powrocie komputera mogę nadal logować się przy użyciu poświadczeń mojej domeny, nawet jeśli kontroler domeny jest wyłączony
Dlaczego i jak?
Czy na „arbitralnej” maszynie jest jakiś lokalny bufor pamięci podręcznej poświadczeń? Moje hasło zostało w jakiś sposób zakodowane i zapisane na wypadek, gdyby DC wybuchło lub zostało wyłączone?
Czy ten sam proces działałby, gdybym próbował zalogować się do skrzynki, w której nigdy się nie logowałem, gdy kontroler domeny był wyłączony?
windows
active-directory
domain-controller
Russell Christopher
źródło
źródło
Odpowiedzi:
Domyślnie system Windows buforuje ostatnich 10–25 użytkowników, aby zalogować się do komputera (w zależności od wersji systemu operacyjnego). To zachowanie można skonfigurować za pomocą obiektu GPO i zwykle jest ono całkowicie wyłączone w przypadkach, w których bezpieczeństwo ma kluczowe znaczenie.
Jeśli spróbujesz zalogować się na stacji roboczej lub serwerze członkowskim, do którego nigdy się nie zalogowałeś, gdy wszystkie kontrolery domeny są nieosiągalne, możesz otrzymać komunikat o błędzie
There are currently no logon servers available to service the logon request
źródło
security is critical
że zapobiegnie to atakowi brutalnej siły offline. Rozwiązaniem problemu VPN jest połączenie przy uruchamianiu przy użyciu certyfikatów urządzenia, a nie po zalogowaniu z użytkownikiem / hasłem.Tak, twoje dane logowania są buforowane na każdym komputerze, na którym się logujesz. Jeśli nie zalogowałeś się na danym komputerze przed awarią kontrolera domeny, nie będziesz mógł się zalogować, ponieważ twoje dane uwierzytelniające nie byłyby dostępne.
źródło
This is done to avoid unnecessary network usage if you log in to a given machine frequently.
- to nie jest prawda. Jeśli istnieją kontrolery domeny dostępne do uwierzytelnienia logowania, będą one niezależnie od tego, czy dane uwierzytelniające tego użytkownika są buforowane na lokalnej stacji roboczej lub serwerze członkowskim. Pamięci podręczne są używane tylko wtedy, gdy stacja robocza lub serwer członkowski nie może skontaktować się z jednym lub kilkoma kontrolerami domeny w celu uwierzytelnienia. Typowe scenariusze, w których tak się dzieje, to odłączanie laptopów od sieci, nieosiąganie kontrolerów domeny z powodu awarii sieci lub innych zakłóceń w działaniu.Warto również zauważyć, że kontroler domeny i skrzynka klienta synchronizują logowania okresowo w ramach operacji zasad grupy, ale tylko wtedy, gdy są one w trybie online.
Na przykład możesz zalogować się na stacji roboczej (Alice) i odłączyć ją od sieci, a następnie zalogować się na drugiej stacji roboczej (Bob) i zmienić hasło AD logowania (przez ctrl-alt-del) od Boba. Hasło jest natychmiast aktualizowane na Bob i DC (Charlie), ale wciąż jest starą wartością (buforowaną) na Alice.
Jeśli ponownie połączysz Alice z siecią, po chwili prawdopodobnie zobaczysz bąbelkowe powiadomienie na pasku zadań z informacją „Windows potrzebuje twoich aktualnych danych uwierzytelniających”. Jest to wynik synchronizacji zasad grupy okresowej przez Alice i Charliego. Wpisanie nowego hasła spowoduje zatwierdzenie wpisu przeciwko Charliemu i zaktualizowanie poświadczeń przechowywanych w pamięci podręcznej Alice.
źródło
It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online.
westchnienie, to nie ma nic wspólnego z Zasadami Grupy. Gdy tylko będziesz potrzebować dostępu do zasobu sieciowego, a twoje buforowane poświadczenia będą w użyciu, będzie wymagać uwierzytelnienia. Nie ma „synchronizacji haseł” ani nic podobnego, szczególnie nie z GPO. Prawdopodobnie zobaczysz to od razu, ponieważ masz trwałe mapowania dysków lub otwartą skrzynkę pocztową Exchange lub coś takiego, co wymaga twoich poświadczeń prawie natychmiast.