¿Cuál es el significado de iniciar sesión como "[email protected]: algo"

35

Mi máquina Windows 2008 R2 está unida a un dominio.

En la pantalla de inicio de sesión, si escribo "[email protected]: something" como nombre de usuario, aún puedo iniciar sesión correctamente, ¿qué significa ": algo" adjunto al final?

Incluso puedo ver que el usuario actual se muestra como "[email protected]: algo" en la pantalla de cambio de usuario. ¿Es una característica en Windows? ¿O es solo un error? Si es una función, ¿cuál es la diferencia entre iniciar sesión como "[email protected]" e iniciar sesión como "[email protected]: algo"?

Tenga en cuenta que probé diferentes combinaciones como "mydomain \ username: something" y "mydomain.com:something\username". Ninguno de ellos funciona excepto "[email protected]: algo".

10 de septiembre 2012 Actualización

El problema de RunAs planteado por Justin es similar pero no exactamente igual al problema que quiero resolver. Si lo haces

runas /user:[email protected]:anything

conseguirás

RUNAS ERROR: Unable to acquire user password

Verifiqué que RunAs ni siquiera se molesta en llamar a LSA cuando lo ve [email protected]:anythingcomo el nombre de usuario. RunAs debería haber hecho la validación de entrada y devolver el error allí.

WinLogon es diferente. Acepta este formato de entrada y pasa el "nombre de [email protected]: cualquier cosa" a LSA. Veo que LogonUserEx2se llamó al kerberos.dll interno. O bien hay un error en la lógica de validación de entrada de WinLogon o este es realmente un formato aceptable para algunas características ocultas.

26 de septiembre 2012 Actualización

Acabo de enviar un caso al Soporte Premier de Microsoft. Actualizaré aquí si recibo alguna actualización de ellos.

Harvey Kwok
fuente
55
Eso es interesante.
Shane Madden
¿Puede ": algo" ser ": cualquier cosa"? Parece que Windows lo trata como un número de puerto o extensión, muy extraño.
Brent Pabst
2
Loca. Acabo de probar esto y es posible crear un sufijo UPN de domain.tld: cualquier cosa, e iniciar sesión en el dominio con este UPN.
joeqwerty
1
Si lo hago runas /user:"[email protected]:something" "cmd /C dir c:\ & pause", devuelve RUNAS ERROR: no se puede adquirir la contraseña de usuario en comparación con el 1326 normal : error de inicio de sesión: nombre de usuario desconocido o contraseña incorrecta. para un inicio de sesión fallido.
Justin Dearing
2
FYI: Publicado también en los foros de TechNet, no estoy seguro de si el equipo de Windows lo verá allí o no: bit.ly/UF94GQ
Brent Pabst

Respuestas:

13

Abrí un caso con Microsoft Premier Support. Aquí está el correo electrónico entre mí y el soporte de Microsoft. Básicamente dicen que es un problema conocido. No es un error y no es una característica.

El back-end analizará el nombre de usuario y eliminará los caracteres ilegales correctamente. El front-end no realiza ninguna validación de la interfaz de usuario porque puede haber alguna otra interfaz de usuario de inicio de sesión de terceros. Su requisito sobre el nombre de usuario puede ser diferente. Creo que a lo que se refieren es a terceros proveedores de credenciales.

05 de octubre de 2012 mañana

Acabo de llamar con uno de sus ingenieros. Explícale todo el problema una vez más. Está bastante seguro de que :somethingno tiene un significado especial a nivel interno a partir de hoy, pero no puede garantizar que pueda significar algo en el futuro.

Sin embargo, él no tiene código fuente para confirmar eso. Él va a enviar un correo electrónico a otra persona con el código fuente para confirmarlo.

Oct 03, 2012 noche - mi respuesta

Gracias por la info. Sin embargo, probé algunos otros personajes ilegales, como; y |.

La interfaz de usuario de inicio de sesión puede detectarlo correctamente y decirme que mi nombre de usuario o contraseñas no son correctos.

Si el front end realmente no realiza ninguna validación de entrada y el back-end realmente puede eliminar todos los caracteres ilegales, ¿por qué la interfaz de usuario de inicio de sesión no me permite iniciar sesión como [email protected]|something o [email protected]; algo pero [email protected]: algo.

Este comportamiento extraño ocurre solo en ":".

-Harvey

03 de octubre de 2012 por la tarde - Respuesta de soporte de MS

Hola harvey

No hay ningún error en la validación front-end ya que el front-end no realiza ninguna validación. La validación se realiza una vez que ingresa sus credenciales e intenta iniciar sesión, luego, en segundo plano, se realiza la validación y se muestra el error respectivo.

La razón por la que no se realiza una Validación por adelantado es porque hay otras UIO de inicio de sesión de terceros que se utilizan y el requisito de trabajar y autenticar a un usuario podría ser diferente. Algunas IU pueden requerir el nombre de usuario en un formato diff, por lo que realizar una validación cuando el usuario ingrese las credenciales romperá esas IU.

En cuanto a Backend, cada UI hace una llamada a las API de autenticación de backend, independientemente de qué UI esté presente en el front-end. Por lo tanto, realizar la validación en el backend garantiza una autenticación adecuada

Saludos XXXX

03 de octubre de 2012 tarde - mi respuesta

Entiendo la explicación sobre diferentes manejos en front-end y back-end ya que también soy programador.

Por lo tanto, suena como un error menor en la lógica de validación de entrada de la interfaz de usuario del front-end, aunque no hay ningún error en el back-end.

Tenga en cuenta que también intenté hacer lo mismo con runas.exe. El runas.exe me mostró el mensaje de error antes de pasar el nombre de usuario con formato incorrecto al back-end. Entonces, para mí, runas.exe está haciendo la validación de entrada correcta.

Si todavía cree que no hay ningún error en la interfaz de usuario de la interfaz de usuario, ¿puede explicar el propósito de permitir al usuario final escribir un nombre de usuario con formato incorrecto y luego mostrarlo en la pantalla?

Gracias Harvey

03 de octubre de 2012 por la mañana - Respuesta de MS Support

Hola harvey

Me disculpo por el retraso. Había enviado su pregunta a mi PYME y aquí está su respuesta: no hay error. la interfaz de usuario muestra lo que escribiste. El back-end analiza la cadena para determinar el dominio y el nombre de usuario. Lo hace correctamente ya que: es un personaje ilegal.

Avíseme si aclara sus preguntas o si puedo ayudarlo más.

Saludos XXXXX

Harvey Kwok
fuente
3
Excelente esfuerzo y respuesta. Lamento tener solo un voto positivo para dar esto. (Y, FWIW, me has inspirado para probar esto con otros personajes "ilegales".)
HopelessN00b
Me encanta cuando trato con un vendedor y obtengo una serie evasiva de respuestas como esta. Me encanta especialmente la comparación con el comportamiento de las runas y la obvia inconsistencia en la que solo se despoja a ese "personaje ilegal" específico (y aparentemente todo después de eso también ...) Pero excelente trabajo para contactar a la EM. Al menos no tenía que convencerlos de que 0.002c! = $ 0.002 :)
Jon Kloske