Szenario:
- Während mein DC ausgeführt wird, melde ich mich bei einem beliebigen Computer an.
- Ich stoppe den DC
- Ich melde mich von der beliebigen Maschine ab. Lassen Sie es uns auch für ein gutes Maß hüpfen.
- Wenn der Computer wieder hochfährt, kann ich mich immer noch mit meinen Domänenanmeldeinformationen anmelden, obwohl der Domänencontroller inaktiv ist
Warum und wie?
Befindet sich auf dem "willkürlichen" Computer eine Art lokaler Cache für Anmeldeinformationen im Spiel? Mein Passwort wurde irgendwie gehasht und für die Zukunft in CASE gespeichert, der DC explodiert oder ist ausgefallen?
Funktioniert derselbe Vorgang, wenn ich versuche, mich bei einer Box anzumelden, bei der ich mich zuvor noch nie angemeldet hatte, während der DC inaktiv war?
windows
active-directory
domain-controller
Russell Christopher
quelle
quelle
Antworten:
Standardmäßig speichert Windows die letzten 10 bis 25 Benutzer im Cache, die sich bei einem Computer anmelden (abhängig von der Betriebssystemversion). Dieses Verhalten kann über ein Gruppenrichtlinienobjekt konfiguriert werden und ist normalerweise in Fällen, in denen die Sicherheit kritisch ist, vollständig deaktiviert.
Wenn Sie versuchen, sich bei einer Arbeitsstation oder einem Mitgliedsserver anzumelden, bei dem Sie sich noch nie angemeldet haben, während alle Ihre Domänencontroller nicht erreichbar sind, wird eine Fehlermeldung angezeigt
There are currently no logon servers available to service the logon request
quelle
security is critical
da es vor einem Offline-Brute-Force-Angriff schützt. Die Lösung für das VPN-Problem besteht darin, beim Start eine Verbindung mit Gerätezertifikaten herzustellen, anstatt sich nach der Anmeldung mit user / pass anzumelden.Ja, Ihre Anmeldeinformationen werden auf jedem Computer zwischengespeichert, auf dem Sie sich anmelden. Wenn Sie sich vor dem Ausfall des Domänencontrollers nicht bei einem bestimmten Computer angemeldet hätten, könnten Sie sich nicht anmelden, da Ihre Anmeldeinformationen nicht verfügbar wären.
quelle
This is done to avoid unnecessary network usage if you log in to a given machine frequently.
- das ist nicht wahr. Wenn Domänencontroller zur Authentifizierung der Anmeldung verfügbar sind, werden diese unabhängig davon zwischengespeichert, ob die Creds dieses Benutzers auf der lokalen Arbeitsstation oder auf dem Mitgliedsserver gespeichert sind. Im Cache gespeicherte Anmeldeinformationen werden nur verwendet, wenn die Arbeitsstation oder der Mitgliedsserver nicht in der Lage ist, einen oder mehrere Domänencontroller zur Authentifizierung zu kontaktieren. Häufige Szenarien, in denen dies geschieht, umfassen das Entfernen von Laptops aus dem Netzwerk, das Nichterreichen von Domänencontrollern aufgrund eines Netzwerkausfalls oder eine andere Unterbrechung des Dienstes.Beachten Sie auch, dass der Domänencontroller und die Client-Box im Rahmen von Gruppenrichtlinienvorgängen regelmäßig Anmeldungen synchronisieren, jedoch nur, wenn beide online sind.
Sie können sich beispielsweise bei Ihrer Arbeitsstation (Alice) anmelden und die Verbindung zum Netzwerk trennen, sich dann bei einer zweiten Arbeitsstation (Bob) anmelden und das AD-Kennwort Ihrer Anmeldung (über Strg-Alt-Entf) von Bob ändern. Das Passwort wird sofort auf Bob und dem DC (Charlie) aktualisiert, aber es ist immer noch der alte Wert (zwischengespeichert) auf Alice.
Wenn Sie Alice wieder mit dem Netzwerk verbinden, erhalten Sie nach ein oder zwei Augenblicken wahrscheinlich eine Benachrichtigung in der Taskleiste mit der Meldung "Windows benötigt Ihre aktuellen Anmeldeinformationen". Dies ist das Ergebnis der Synchronisierung der Periodengruppenrichtlinien durch Alice und Charlie. Wenn Sie Ihr neues Passwort eingeben, wird Ihre Eingabe für Charlie validiert und die zwischengespeicherten Anmeldeinformationen für Alice aktualisiert.
quelle
It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online.
Seufz, das hat nichts mit Gruppenrichtlinien zu tun. Sobald Sie Zugriff auf eine Netzwerkressource benötigen und Ihre zwischengespeicherten Anmeldeinformationen verwendet werden, müssen Sie sich authentifizieren. Es gibt keine "Passwort-Synchronisierung" oder ähnliches, insbesondere nicht von GPO. Wahrscheinlich sehen Sie dies sofort, weil permanente Laufwerkszuordnungen oder ein geöffnetes Exchange-Postfach oder etwas Ähnliches vorhanden sind, für das Ihre Anmeldeinformationen fast sofort benötigt werden.