Jak długo trwa wyłączenie blokady zalogowanego użytkownika?

2

Poprosiłem administratora siedzącego obok mnie o zmianę hasła i wyłączenie mojego konta. Zrobił to 15 minut temu i wciąż przeglądam udziały sieciowe. Nie wylogowałem się jeszcze, ale chcę wiedzieć, jak długo będę mógł robić to, co robię, jeśli nie wyloguję się lub nie zablokuję komputera?

Ponadto nasi podróżni sprzedawcy nie pracują przez kilka tygodni poza biurem. Ich komputery są podłączone do domeny, ale gdy są poza domem, łączą się tylko z siecią, aby od czasu do czasu uzyskiwać dostęp do plików za pomocą połączenia Windows VPN - jeśli wyłączymy jedno z nich, jak długo (lub co musi się wydarzyć), dopóki nie zostaną nie mogą zalogować się do swoich maszyn, gdy są jeszcze w drodze.

HR nie polubi tego ...

(Windows 7, Server 2008 R2)

windows-server-2008-r2 active-directory Królikarnia
źródło

Odpowiedzi:

0

W środowisku AD serwery hostujące twoje udziały plików akceptują bilet Kerberos, który został wystawiony na twoją sesję wraz ze wszystkimi jego autoryzacjami, kiedy zostałeś uwierzytelniony przy logowaniu. W ten sposób serwery plików nie muszą za każdym razem kontaktować się z kontrolerem domeny, aby uzyskać do niego dostęp. Ufa biletowi. Fakt, że wydaje się, że nie ma żadnego egzekwowania odwołania biletów Kerberos wydaje się być nieodłączny od sposobu działania Kerberos.

http://msdn.microsoft.com/en-us/library/cc233947.aspx

Również ten ostatni artykuł o tym napisał:

http://www.aorato.com/blog/windows-authentication-flaw-allows-deleteddisabled-accounts-access-corporate-data/

Bilety mogą pozostać ważne przez 10 godzin, a obejście w artykule MSDN wydaje się uniemożliwiać dostęp do nowych zasobów dopiero po 20 minutach w tej samej domenie.

Jeśli chodzi o użytkowników VPN, w normalnym przypadku użycia, chociaż może to zależeć od architektury VPN, bilet Kerberos byłby wydawany po uwierzytelnieniu, więc w normalnych okolicznościach nie mieliby oni dostępu, gdyby nie byli jeszcze połączony z domeną w jakikolwiek sposób za pomocą wydanego niedawno (kilka godzin) biletu.

Ten drugi link do artykułu na blogu może zawierać odrobinę szumu i jestem prawie pewien, że widziałem, jak ludzie tracą dostęp do rzeczy kilka minut po ich wyłączeniu --- chociaż ich bilet mógł wkrótce wygasnąć tak czy siak. Niepokoi mnie to jednak, ponieważ kilka razy kazano mi wczoraj wyłączać dostęp użytkownika do wszystkiego, aw niektórych środowiskach jest to bardzo ważne.

Dawn Benton
źródło
Wyglądało to trochę więcej i możesz przynajmniej skrócić maksymalny okres ważności biletu użytkownika: technet.microsoft.com/en-us/library/cc739765(v=ws.10).aspx <- artykuł dotyczy serwera 2003, ale właśnie sprawdziłem, czy ustawienie wciąż jest w 2008 R2.
Dawn Benton,