2

Я попросил администратора, сидящего рядом со мной, изменить свой пароль и отключить мою учетную запись. Он сделал это 15 минут назад, и я все еще просматриваю сетевые ресурсы. Я еще не вышел из системы, но я хочу знать, как долго я смогу делать то, что делаю, если не выйду из системы или не заблокирую свой компьютер?

Кроме того, наши коммивояжеры не работают несколько недель подряд. Их машины подключены к домену, но когда они отсутствуют, они подключаются к сети только для периодического доступа к файлам с помощью подключения Windows VPN - если мы отключим один из них, сколько времени (или что должно произойти), пока они не будут невозможно войти в свои машины, пока они еще в пути.

HR не понравится ...

(Windows 7, Server 2008 R2)

1 ответ1

0

В среде AD серверы, на которых размещаются ваши общие файловые ресурсы, фактически принимают билет Kerberos, выданный для вашего сеанса со всеми его авторизациями, когда вы проходили аутентификацию при входе в систему. Таким образом, файловые серверы не должны каждый раз связываться с контроллером домена для доступа к нему. Это доверяет билет. Тот факт, что, по-видимому, нет никакого принуждения к отзыву билетов Kerberos, по-видимому, присущ принципу работы Kerberos.

http://msdn.microsoft.com/en-us/library/cc233947.aspx

Также в этой недавней статье написано об этом:

http://www.aorato.com/blog/windows-authentication-flaw-allows-deleteddisabled-accounts-access-corporate-data/

Билеты могут оставаться действительными в течение 10 часов, а обходной путь в статье MSDN, по-видимому, препятствует доступу к новым ресурсам только через 20 минут в том же домене.

Что касается пользователей VPN, то в обычном случае использования, хотя это может зависеть от вашей архитектуры VPN, билет Kerberos будет выдан при аутентификации, поэтому в нормальных условиях им не будет разрешен доступ, если он еще не был каким-либо образом подключен к домену с помощью недавно (несколько часов) оформленного билета.

Эта вторая ссылка на статью в блоге может быть намеком на это, и я почти уверен, что видел, как люди теряли доступ к вещам через несколько минут после того, как я их отключил - хотя срок действия их билета мог истечь. тем не мение. Это действительно беспокоит меня, потому что было несколько раз, когда мне говорили отключить доступ пользователя ко всему вчера, а в некоторых средах это критично.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .