Tại sao tôi có thể đăng nhập vào hộp ngay cả khi bộ điều khiển Miền AD không hoạt động?

15

Kịch bản:

  • Trong khi DC của tôi đang chạy, tôi đăng nhập vào một máy tùy ý.
  • Tôi dừng DC
  • Tôi đăng xuất khỏi máy tùy ý. Chúng ta cũng nên trả lại cho biện pháp tốt.
  • Khi máy hoạt động trở lại, tôi vẫn có thể đăng nhập bằng thông tin xác thực tên miền của mình mặc dù DC không hoạt động

Lý do tại sao và làm thế nào?

Có một số loại bộ đệm thông tin xác thực cục bộ đang chơi trên máy "tùy ý" không? Mật khẩu của tôi bằng cách nào đó được băm và lưu trữ cho tương lai trong CASE, DC sẽ nổ tung hay ngừng hoạt động?

Liệu quy trình tương tự có hoạt động nếu tôi cố đăng nhập vào hộp mà tôi chưa từng đăng nhập trước đó trong khi DC không hoạt động không?

windows  active-directory  domain-controller 
Russell Christopher
nguồn
1
Chỉ là một điểm thú vị, có liên quan: rút cáp mạng là một cách để mô phỏng "DC bị sập". Tôi không chắc liệu điều này có thay đổi trong những năm gần đây hay không, nhưng vì chính sách khóa người dùng được DC triển khai, bạn có thể có được những nỗ lực vô hạn để đoán thông tin đăng nhập được lưu trong bộ nhớ cache bằng cách rút cáp mạng.
Daniel B

Câu trả lời:

33

Theo mặc định, Windows sẽ lưu trữ 10-25 người dùng cuối cùng để đăng nhập vào máy (tùy thuộc vào phiên bản HĐH). Hành vi này có thể được cấu hình thông qua GPO và thường bị tắt hoàn toàn trong các trường hợp bảo mật là rất quan trọng.

Nếu bạn đã cố gắng đăng nhập vào máy trạm hoặc máy chủ thành viên mà bạn chưa bao giờ đăng nhập trong khi tất cả các DC của bạn không thể truy cập được, bạn sẽ nhận được thông báo lỗi There are currently no logon servers available to service the logon request

MDMarra
nguồn
3
Bộ nhớ đệm thông tin được thực hiện vì nhiều lý do, nhưng trong số đáng chú ý nhất là trường hợp của máy tính xách tay. Giám đốc điều hành sẽ rất không hài lòng nếu (các) anh ta không thể làm việc trong khi anh ta ở trên không và không thể kết nối với mạng của bạn, vì vậy thông tin đăng nhập được lưu trữ để cho phép anh ta / cô ta vẫn đăng nhập vào máy tính của họ.
dùng24313
1
Thông thường cần phải đăng nhập vào HĐH một cách tương tác trước khi bắt đầu kết nối VPN. Nếu không thể đăng nhập mà không có quyền truy cập trực tiếp vào DC và DC chỉ khả dụng qua VPN và VPN chỉ khả dụng sau khi đăng nhập, bạn có một nhược điểm khó chịu. Thông tin lưu trữ là một giải pháp hiệu quả cho điều đó.
Brandon
@Brandon rằng họ là. Tôi đã không đề nghị tất cả mọi người vô hiệu hóa nó, tôi chỉ đơn giản lưu ý rằng nó là phổ biến security is criticalvì nó sẽ ngăn chặn một cuộc tấn công vũ phu ngoại tuyến. Giải pháp cho vấn đề VPN là kết nối khi khởi động bằng chứng chỉ thiết bị thay vì đăng nhập bằng người dùng / vượt qua.
MDMarra
2

Có, thông tin đăng nhập của bạn được lưu trong bộ nhớ cache trên mỗi máy bạn đăng nhập. Nếu bạn chưa đăng nhập vào một máy nhất định trước khi DC ngừng hoạt động, bạn sẽ không thể đăng nhập vì thông tin đăng nhập của bạn sẽ không khả dụng.

John
nguồn
7
This is done to avoid unnecessary network usage if you log in to a given machine frequently.- Đây không phải là sự thật. Nếu có sẵn DC để xác thực đăng nhập, họ sẽ bất kể tín dụng của người dùng đó có được lưu trong bộ nhớ cache hay không trên máy trạm thành viên hoặc máy chủ thành viên. Thông tin lưu trữ chỉ được sử dụng khi máy trạm hoặc máy chủ thành viên không thể liên hệ với một hoặc nhiều bộ điều khiển miền để xác thực. Các tình huống phổ biến trong đó xảy ra bao gồm máy tính xách tay bị ngắt mạng, DC không thể truy cập được do sự cố ngừng mạng hoặc bất kỳ sự gián đoạn nào khác đối với dịch vụ.
MDMarra
Ok, tôi đã sửa đổi câu trả lời để xóa thông tin không chính xác.
Giăng
-2

Cũng cần lưu ý rằng đăng nhập đồng bộ hộp DC và hộp khách theo định kỳ như một phần của hoạt động chính sách nhóm, nhưng chỉ khi cả hai đều trực tuyến.

Ví dụ: bạn có thể đăng nhập vào máy trạm (Alice) và ngắt kết nối khỏi mạng, sau đó đăng nhập vào máy trạm thứ hai (Bob) và thay đổi mật khẩu AD đăng nhập của bạn (thông qua ctrl-alt-del) từ Bob. Mật khẩu được cập nhật ngay lập tức trên Bob và DC (Charlie), nhưng vẫn là giá trị cũ (được lưu trong bộ nhớ cache) trên Alice.

Nếu bạn kết nối lại Alice với mạng, sau một hoặc hai phút, bạn có thể sẽ nhận được thông báo bong bóng trên thanh tác vụ với nội dung "Windows cần thông tin đăng nhập hiện tại của bạn". Đây là kết quả của Alice và Charlie thực hiện đồng bộ hóa chính sách nhóm giai đoạn. Nhập mật khẩu mới của bạn sẽ xác thực mục nhập của bạn chống lại Charlie và cập nhật thông tin đăng nhập được lưu trong bộ nhớ cache trên Alice.

Ryan
nguồn
3
It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online. thở dài này không liên quan gì đến Chính sách nhóm. Ngay khi bạn cần truy cập vào tài nguyên mạng và thông tin đăng nhập được lưu trong bộ nhớ cache của bạn đang được sử dụng, nó sẽ yêu cầu bạn xác thực. Không có "đồng bộ hóa mật khẩu" hoặc bất cứ thứ gì tương tự, đặc biệt không phải từ GPO. Bạn có thể thấy điều này ngay lập tức vì bạn có ánh xạ ổ đĩa liên tục hoặc hộp thư Exchange mở hoặc một cái gì đó tương tự cần thông tin đăng nhập của bạn gần như ngay lập tức.
MDMarra
1
Cảm ơn bạn đã chỉ ra lỗ hổng của mình về Chính sách nhóm. Tôi cũng nên chỉ ra rằng nó có rất ít liên quan đến việc đồng bộ hóa mật khẩu với nhau và nhiều việc phải làm với các vé / cặp khóa mới được yêu cầu / phát hành. Xem điều này nếu những gì tôi vừa nói không có ý nghĩa. msdn.microsoft.com/en-us/library/windows/desktop/... Bạn rất có thể có một cái gì đó như Outlook hoặc ánh xạ ổ đĩa mở như MDMarra nhắc đến như những ngay lập tức sẽ cố gắng để xác thực nhưng vì họ có một vé cũ / cặp khóa, họ sẽ phải được cấp một cái mới trước khi họ có thể tiến hành
Brad Bouchard
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.