Guión:
- Mientras mi DC se está ejecutando, inicio sesión en una máquina arbitraria.
- Detengo el DC
- Cierro la máquina arbitraria. Rebotemos por si acaso, también.
- Cuando la máquina vuelve a funcionar, aún puedo iniciar sesión con mis credenciales de dominio aunque DC esté inactivo
¿Porque y como?
¿Hay algún tipo de caché de credenciales local en juego en la máquina "arbitraria"? ¿Mi contraseña fue de alguna manera cifrada y almacenada para el futuro en CASO de que el DC explote o esté inactivo?
¿Funcionaría el mismo proceso si intentara iniciar sesión en un cuadro en el que nunca antes había iniciado sesión mientras el DC está inactivo?
windows
active-directory
domain-controller
Russell Christopher
fuente
fuente
Respuestas:
De forma predeterminada, Windows almacenará en caché a los últimos 10-25 usuarios para iniciar sesión en una máquina (según la versión del sistema operativo). Este comportamiento es configurable a través de GPO y normalmente se desactiva por completo en los casos en que la seguridad es crítica.
Si intentó iniciar sesión en una estación de trabajo o servidor miembro en el que nunca había iniciado sesión mientras no se puede acceder a todos sus DC, obtendrá un error que indica
There are currently no logon servers available to service the logon requestfuente
security is criticalevitará un ataque de fuerza bruta fuera de línea. La solución al problema de VPN es conectarse al inicio utilizando certificados de dispositivo en lugar de post-inicio de sesión con usuario / pase.Sí, sus credenciales se almacenan en caché en cada máquina en la que inicia sesión. Si no había iniciado sesión en una máquina determinada antes de que el DC dejara de funcionar, no podrá iniciar sesión porque sus credenciales no estarán disponibles.
fuente
This is done to avoid unnecessary network usage if you log in to a given machine frequently.- esto no es verdad. Si hay DC disponibles para autenticar el inicio de sesión, lo harán independientemente de si los créditos de ese usuario están en caché o no en la estación de trabajo local o en el servidor miembro. Las credenciales almacenadas en caché solo se usan cuando la estación de trabajo o el servidor miembro no pueden comunicarse con uno o más controladores de dominio para la autenticación. Los escenarios comunes en los que esto sucede incluyen computadoras portátiles que se desconectan de la red, no se puede acceder a los DC debido a una interrupción de la red o cualquier otra interrupción del servicio.También vale la pena señalar que DC y el cuadro de cliente sincronizan los inicios de sesión periódicamente como parte de las operaciones de la política de grupo, pero solo mientras ambos están en línea.
Por ejemplo, puede iniciar sesión en su estación de trabajo (Alice) y desconectarla de la red, luego iniciar sesión en una segunda estación de trabajo (Bob) y cambiar la contraseña AD de su inicio de sesión (a través de ctrl-alt-del) de Bob. La contraseña se actualiza instantáneamente en Bob y DC (Charlie), pero sigue siendo el valor anterior (almacenado en caché) en Alice.
Si vuelve a conectar a Alice a la red, después de un momento o dos probablemente recibirá una notificación de burbuja de la barra de tareas que dice "Windows necesita sus credenciales actuales". Este es el resultado de que Alice y Charlie realizan la sincronización de la política de grupo de período. Ingresar su nueva contraseña validará su entrada contra Charlie y actualizará las credenciales almacenadas en caché en Alice.
fuente
It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online.suspiro esto no tiene nada que ver con la Política de grupo. Tan pronto como necesite acceso a un recurso de red y sus credenciales en caché estén en uso, requerirá que se autentique. No hay "sincronización de contraseña" ni nada por el estilo, especialmente no de GPO. Es probable que vea esto de inmediato porque tiene asignaciones de unidades persistentes o un buzón de Exchange abierto, o algo así que necesita sus credenciales casi de inmediato.