AD डोमेन नियंत्रक डाउन होने पर भी मैं एक बॉक्स में प्रवेश क्यों कर सकता हूं?

15

परिदृश्य:

  • जबकि मेरा डीसी चल रहा है, मैं एक मनमानी मशीन में प्रवेश करता हूं।
  • मैं डीसी को रोकता हूं
  • मैं मनमानी मशीन से लॉग इन करता हूं। चलो इसे अच्छे उपाय के लिए भी उछाल दें।
  • जब मशीन वापस आती है, तो मैं अभी भी डीसी डाउन होने के बावजूद अपने डोमेन क्रेडेंशियल्स के साथ लॉगिन कर सकता हूं

क्यों और कैसे?

क्या "मनमानी" मशीन पर खेलने में कुछ स्थानीय क्रेडेंशियल कैश है? मेरे पासवर्ड को किसी तरह से हैश किया गया था और भविष्य के लिए CASE में संग्रहीत किया गया था, डीसी ऊपर या नीचे गिर रहा है?

यदि मैं एक ऐसे बॉक्स में लॉग इन करने का प्रयास करता हूं जो डीसी डाउन होने पर मैंने पहले कभी लॉग-इन नहीं किया था तो क्या वही प्रक्रिया काम करेगी?

windows  active-directory  domain-controller 
रसेल क्रिस्टोफर
स्रोत
1
बस एक दिलचस्प, संबंधित बिंदु: एक नेटवर्क केबल को अनप्लग करना "डीसी डाउन होने" का अनुकरण करने का एक तरीका है। मुझे यकीन नहीं है कि अगर यह हाल के वर्षों में बदल गया है, लेकिन चूंकि डीसी द्वारा उपयोगकर्ता लॉकआउट नीति लागू की गई है, तो आप नेटवर्क केबल को अनप्लग करके कैश्ड क्रेडेंशियल्स का अनुमान लगाने में अनंत प्रयास प्राप्त कर सकते हैं।
डैनियल बी

जवाबों:

33

डिफ़ॉल्ट रूप से, विंडोज़ पिछले 10-25 उपयोगकर्ताओं को एक मशीन (ओएस संस्करण के आधार पर) में लॉग इन करने के लिए कैश करेगा । यह व्यवहार GPO के माध्यम से कॉन्फ़िगर करने योग्य है और आमतौर पर ऐसे उदाहरणों में पूरी तरह से बंद कर दिया जाता है जहां सुरक्षा महत्वपूर्ण है।

यदि आपने कार्य केंद्र या सदस्य सर्वर में लॉग इन करने की कोशिश की है जिसे आपने कभी लॉग इन नहीं किया था जबकि आपके सभी डीसी अनुपलब्ध हैं, तो आपको एक त्रुटि बताई जाएगी। There are currently no logon servers available to service the logon request

MDMarra
स्रोत
3
क्रेडेंशियल कैशिंग कई कारणों से किया जाता है, लेकिन सबसे उल्लेखनीय के बीच लैपटॉप का मामला है। सीईओ बहुत दुखी होगा अगर (ओं) वह काम करने में असमर्थ है (जबकि) वह हवा में है और आपके नेटवर्क से जुड़ने में असमर्थ है, इसलिए लॉगिन उसे / उसके कंप्यूटर में अभी भी लॉग इन करने की अनुमति देने के लिए कैश्ड है।
user24313
1
वीपीएन कनेक्शन शुरू करने से पहले इंटरएक्टिव रूप से ओएस में लॉगिन करना आम है। यदि DC तक लाइव पहुंच के बिना लॉगिन असंभव है, और एक डीसी केवल वीपीएन के माध्यम से उपलब्ध है और एक वीपीएन केवल लॉगिन के बाद उपलब्ध है, तो आपके पास एक बुरा कैच -22 है। कैश्ड क्रेडेंशियल्स एक प्रभावी समाधान है।
ब्रैंडन
@ बड़ो कि वे हैं। मैं हर किसी को इसे अक्षम करने की सिफारिश नहीं कर रहा था, मैं बस यह ध्यान दे रहा था कि यह आम है, security is criticalक्योंकि यह एक ऑफ़लाइन जानवर बल के हमले से बचाएगा। वीपीएन समस्या का समाधान उपयोगकर्ता / पास के साथ पोस्ट-लॉगऑन के बजाय डिवाइस प्रमाणपत्र का उपयोग करके स्टार्टअप से जुड़ना है।
एमडीमैरा
2

हां, आपके द्वारा लॉग इन की गई प्रत्येक मशीन पर आपके क्रेडेंशियल्स कैश्ड हैं। यदि आपने डीसी के नीचे जाने से पहले किसी दिए गए मशीन में प्रवेश नहीं किया है, तो आप लॉग इन नहीं कर पाएंगे क्योंकि आपकी साख उपलब्ध नहीं होगी।

जॉन
स्रोत
7
This is done to avoid unnecessary network usage if you log in to a given machine frequently.- यह सच नहीं है। यदि लॉगऑन को प्रमाणित करने के लिए डीसी उपलब्ध हैं, तो वे इस बात की परवाह किए बिना कि उपयोगकर्ता के क्रेडेंशियल स्थानीय वर्कस्टेशन या सदस्य सर्वर पर कैश हैं या नहीं। कैश्ड क्रेडेंशियल्स केवल तब उपयोग किए जाते हैं जब वर्कस्टेशन या सदस्य सर्वर प्रमाणीकरण के लिए एक या अधिक डोमेन नियंत्रकों से संपर्क करने में असमर्थ होता है। सामान्य परिदृश्यों में जहां ऐसा होता है, उनमें लैपटॉप को ऑफ-नेटवर्क पर ले जाना, नेटवर्क आउटेज या सेवा में किसी अन्य रुकावट के कारण पहुंच से बाहर हो जाना शामिल है।
एमडीमैरा
ठीक है, मैंने गलत जानकारी को हटाने के लिए उत्तर को संशोधित किया है।
जॉन
-2

यह भी ध्यान देने योग्य है कि डीसी और क्लाइंट बॉक्स समूह नीति संचालन के हिस्से के रूप में समय-समय पर लॉगिन करते हैं, लेकिन केवल जब वे दोनों ऑनलाइन होते हैं।

उदाहरण के लिए, आप अपने वर्कस्टेशन (एलिस) में लॉग इन कर सकते हैं और इसे नेटवर्क से डिस्कनेक्ट कर सकते हैं, फिर दूसरे वर्कस्टेशन (बॉब) में लॉग इन करें और बॉब से अपने लॉगिन के एडी पासवर्ड (ctrl-alt-del) के माध्यम से बदलें। पासवर्ड बॉब और डीसी (चार्ली) पर तुरंत अपडेट किया जाता है, लेकिन ऐलिस पर अभी भी पुराना मूल्य (कैश्ड) है।

यदि आप ऐलिस को नेटवर्क में फिर से जोड़ते हैं, तो एक या दो मिनट के बाद आपको एक टास्कबार बबल नोटिफिकेशन मिलेगा जिसमें कहा जाएगा कि "विंडोज को आपके वर्तमान क्रेडेंशियल्स की आवश्यकता है"। यह ऐलिस और चार्ली की अवधि समूह नीति सिंक करने का एक परिणाम है। अपना नया पासवर्ड दर्ज करना चार्ली के खिलाफ आपकी प्रविष्टि को मान्य करेगा और ऐलिस पर कैश्ड क्रेडेंशियल्स को अपडेट करेगा।

रयान
स्रोत
3
It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online. आह इस समूह नीति से कोई संबंध नहीं है। जैसे ही आपको एक नेटवर्क संसाधन तक पहुंच की आवश्यकता होती है और आपके कैश्ड क्रेडेंशियल्स उपयोग में होते हैं, आपको इसे प्रमाणित करने की आवश्यकता होगी। कोई "पासवर्ड सिंक" या ऐसा कुछ भी नहीं है, खासकर जीपीओ से नहीं। आप इसे तुरंत देख सकते हैं क्योंकि आपके पास लगातार ड्राइव मैपिंग या एक्सचेंज मेलबॉक्स खुला है, या ऐसा कुछ है, जिसे आपकी विश्वसनीयता की तुरंत आवश्यकता है।
एमडीमैरा
1
समूह नीति के बारे में उसकी खामियों को इंगित करने के लिए धन्यवाद। मुझे यह भी बताना चाहिए कि नए टिकट / कुंजी जोड़े के लिए अनुरोध / जारी किए जाने के साथ पासवर्ड को एक-दूसरे के साथ समन्वयित करने के लिए बहुत कम है। अगर मैंने अभी कहा तो यह समझ में नहीं आया। msdn.microsoft.com/en-us/library/windows/desktop/... आप Outlook या ड्राइव मैपिंग खोलने MDMarra इन के रूप में उल्लेख के रूप में तुरंत प्रमाणित करने के लिए कोशिश करेंगे लेकिन जैसा कुछ होने की संभावना थी, क्योंकि वे एक पुराने टिकट / कुंजी युग्म है, वे आगे बढ़ने से पहले उन्हें एक नया
ब्रैड बूचार्ड
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.