Qual è il significato dell'accesso come "nomeutente@miodominio.com: qualcosa"


35

La mia macchina Windows 2008 R2 è unita a un dominio.

Nella schermata di accesso, se digito "nomeutente@miodominio.com: qualcosa" come nome utente, posso ancora accedere correttamente, qual è il significato di ": qualcosa" aggiunto alla fine?

Posso anche vedere che l'utente corrente viene visualizzato come "nomeutente@miodominio.com: qualcosa" nella schermata di cambio utente. È una funzionalità di Windows? O è solo un bug? Se si tratta di una funzione, qual è la differenza tra l'accesso come "nomeutente@miodominio.com" e l'accesso come "nomeutente@miodominio.com: qualcosa"?

Nota che ho provato diverse combinazioni come "mydomain \ username: qualcosa" e "mydomain.com:something\username". Nessuno di loro funziona tranne "nomeutente@miodominio.com: qualcosa".

Aggiornamento del 10 settembre 2012

Il problema di RunAs sollevato da Justin è simile ma non esattamente lo stesso del problema che voglio risolvere. Se fate

runas /user:username@mydomain.com:anything

otterrete

RUNAS ERROR: Unable to acquire user password

Ho verificato che RunAs non si prende nemmeno la briga di chiamare in LSA quando viene visto username@mydomain.com:anythingcome nome utente. RunAs avrebbe dovuto eseguire la convalida dell'input e restituire l'errore lì.

WinLogon è diverso. Accetta questo formato di input e passa il "nomeutente@miodominio.com: qualsiasi cosa" a LSA. Vedo che è LogonUserEx2stato chiamato l' interno kerberos.dll. O c'è un bug nella logica di convalida dell'input di WinLogon o questo è davvero un formato accettabile per alcune funzionalità nascoste.

Aggiornamento del 26 settembre 2012

Ho appena presentato un caso al supporto Microsoft Premier. Aggiornerò qui se ottengo qualche aggiornamento da loro.


5
È interessante.
Shane Madden

Può ": qualcosa" essere ": qualcosa"? Sembra che Windows lo tratti come un numero di porta o estensione, molto strano.
Brent Pabst,

2
Pazzo. Ho appena provato questo ed è possibile creare un suffisso UPN di domain.tld: qualunque cosa e accedere al dominio con questo UPN.
joeqwerty,

1
Se lo faccio runas /user:"jdearing@domain.com:something" "cmd /C dir c:\ & pause", restituisce ERRORE RUNAS: impossibile acquisire la password dell'utente rispetto al normale 1326: Errore di accesso: nome utente sconosciuto o password errata. per un accesso non riuscito.
Justin Dearing,

2
Cordiali saluti: Inserito anche nei forum TechNet, non sono sicuro se il team di Windows lo vedrà lì o no: bit.ly/UF94GQ
Brent Pabst

Risposte:


13

Ho aperto un caso con il supporto Microsoft Premier. Ecco l'e-mail tra me e il supporto Microsoft. Sostanzialmente dicono che si tratta di un problema noto. Non è un bug e non è una funzionalità.

Il back-end analizzerà il nome utente e rimuoverà correttamente i caratteri illegali. Il front-end non esegue alcuna convalida dell'interfaccia utente perché potrebbe esserci un'altra interfaccia utente di accesso di terze parti. Il loro requisito sul nome utente potrebbe essere diverso. Penso che a cui si riferiscano siano i fornitori di credenziali di terze parti.

05 ottobre 2012 mattina

Ho appena ricevuto la chiamata con uno dei loro ingegneri. Spiegagli di nuovo l'intero problema. È abbastanza sicuro che :somethingnon abbia un significato speciale internamente da oggi, ma non può garantire che possa significare qualcosa in futuro.

Tuttavia, non ha il codice sorgente per confermarlo. Manderà un'email a qualcun altro con il codice sorgente per confermarlo.

03 ottobre 2012 notte - la mia risposta

Grazie per le informazioni. Tuttavia, ho provato alcuni altri personaggi illegali, come; e |.

L'interfaccia utente di accesso è in grado di rilevarlo correttamente e di comunicarmi che il nome utente o le password non sono corretti.

Se il front-end in realtà non esegue alcuna convalida dell'input e il back-end può davvero eliminare tutti i caratteri illegali, perché l'interfaccia utente di accesso non mi consente di accedere come Harvey@company.com|something o Harvey@company.com; qualcosa ma Harvey@company.com: qualcosa.

Questo strano comportamento si verifica solo su ":".

-Harvey

Pomeriggio del 3 ottobre 2012: risposta al sostegno degli Stati membri

Ciao Harvey,

Non esiste alcun bug nella convalida del front-end in quanto il front-end non esegue alcuna convalida. La convalida viene eseguita dopo aver inserito le credenziali e aver tentato di accedere, quindi in background viene eseguita la convalida e viene visualizzato il rispettivo errore.

Il motivo alla base della mancata esecuzione di una convalida è dovuto al fatto che esistono altri UIO di accesso di terze parti utilizzati e che i requisiti per lavorare e autenticare un utente potrebbero essere diversi. Alcune UI potrebbero richiedere il nome utente in un formato diff, quindi eseguire una convalida quando l'utente immette le credenziali interromperà tali UI.

Per quanto riguarda il back-end, ogni interfaccia utente effettua una chiamata al back-end delle API di autenticazione, indipendentemente dall'interfaccia utente presente nel front-end. Quindi, per eseguire la convalida nel backend, si garantisce un'autenticazione corretta

Saluti XXXX

03 ottobre 2012 pomeriggio - la mia risposta

Comprendo la spiegazione sulla diversa gestione in front-end e back-end in quanto sono anche programmatore.

Quindi, sembra un bug minore nella logica di convalida dell'input dell'interfaccia utente del front-end sebbene non ci siano bug nel back-end.

Nota che ho anche provato a fare la stessa cosa usando runas.exe. Runas.exe mi ha mostrato il messaggio di errore prima di passare il nome utente non valido al back-end. Quindi, per me, runas.exe sta eseguendo la corretta convalida dell'input.

Se pensi ancora che non ci siano bug nel front-end dell'interfaccia utente, puoi spiegare lo scopo di consentire all'utente finale di digitare un nome utente non valido e visualizzarlo sullo schermo?

Grazie Harvey

03 ottobre 2012 mattina - Risposta al supporto MS

Ciao Harvey,

Mi scuso per il ritardo. Avevo inoltrato la tua domanda alla mia PMI ed ecco la sua risposta: nessun bug. l'interfaccia utente visualizza ciò che hai digitato. Il back-end analizza la stringa per determinare il dominio e il nome utente. Lo fa correttamente poiché: è un personaggio illegale.

Per favore fatemi sapere se chiarisce le vostre domande o se posso aiutarvi ulteriormente.

Saluti XXXXX


3
Sforzo e risposta eccezionali. Mi dispiace di avere un solo voto da dare. (E, FWIW, mi hai ispirato a testarlo con altri personaggi "illegali".)
HopelessN00b

Adoro quando ho a che fare con un fornitore e ottenere una serie evasiva di risposte come questa. Adoro in particolare il confronto con il comportamento delle rune e l'evidente incoerenza in cui viene rimosso solo uno specifico "carattere illegale" (e apparentemente anche tutto ciò dopo ...) Ma un ottimo lavoro per contattare la SM. Almeno non dovevi convincerli che 0,002c! = $ 0,002 :)
Jon Kloske,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.