Який сенс входу в систему як "username@mydomain.com: щось"


35

Моя машина Windows 2008 R2 приєднана до домену.

На екрані входу, якщо я введіть "ім'я користувача@mydomain.com: щось" як ім'я користувача, я все одно можу правильно ввійти, яке значення додається в кінці?

Я навіть бачу, що поточний користувач відображається як "username@mydomain.com: щось" на екрані користувача комутатора. Це функція в Windows? Або це просто помилка? Якщо це функція, яка різниця між входом у систему як "ім'я користувача@mydomain.com" та входом у систему як "ім'я користувача@mydomain.com: щось"?

Зауважте, що я спробував різні комбінації, такі як "mydomain \ username: something" та "mydomain.com:something\username". Жоден з них не працює, окрім "ім'я користувача@mydomain.com: щось".

Оновлення 10 вересня 2012 року

Проблема RunAs, піднята Джастіном, схожа, але не зовсім така, як проблема, яку я хочу вирішити. Якщо ти зробиш

runas /user:username@mydomain.com:anything

ти отримаєш

RUNAS ERROR: Unable to acquire user password

Я переконався, що RunAs навіть не намагається зателефонувати в LSA, коли бачить username@mydomain.com:anythingім'я користувача. RunAs повинні були зробити перевірку вводу та помилку повернення.

WinLogon відрізняється. Він приймає такий формат введення і передає "username@mydomain.com: будь-що" в LSA. Я бачу, як LogonUserEx2всередині kerberos.dll зателефонували. Або є помилка в логіці перевірки вводу WinLogon, або це дійсно прийнятний формат для деяких прихованих функцій.

26 вересня 2012 р. Оновлення

Я щойно подав справу в службу підтримки Microsoft Premier. Я оновлю тут, якщо отримаю від них будь-яке оновлення.


5
Це .. цікаво.
Шейн Мадден

Може ": щось" бути ": що-небудь"? Здається, що Windows розглядає це як номер порту або розширення, дуже дивно.
Брент Пабст

2
Божевільний. Я щойно перевірив це, і можливо створити UPN-суфікс domain.tld: будь-що, і увійти в домен за допомогою цього UPN.
joeqwerty

1
Якщо я runas /user:"jdearing@domain.com:something" "cmd /C dir c:\ & pause"це зробив, повертається ПОМИЛКА RUNAS: Не вдається придбати пароль користувача на відміну від звичайного 1326: Помилка входу в систему: невідоме ім’я користувача або неправильний пароль. за невдалий логін.
Justin Dearing

2
FYI: Опубліковано в форумах TechNet , а також, не впевнений , що якщо команда Windows , буде бачити його там чи ні: bit.ly/UF94GQ
Brent Пабст

Відповіді:


13

Я відкрив справу з підтримкою Microsoft Premier. Ось електронний лист між мною та підтримкою Microsoft. Вони в основному кажуть, що це відоме питання. Це не помилка і це не особливість.

Задній кінець буде аналізувати ім’я користувача та належним чином викреслювати незаконні символи. Фронтальний інтерфейс не проводить ніякої перевірки користувальницького інтерфейсу, тому що може бути інший інтерфейс для входу третьої сторони. Їх вимога до імені користувача може бути різною. Я думаю, що вони мають на увазі - постачальників сертифікатів третьої сторони.

05 жовтня 2012 вранці

Я щойно зателефонував із одним із їхніх інженерів. Поясніть йому всю проблему ще раз. Він майже впевнений, що :somethingвін не має особливого значення на сьогоднішній день, але не може гарантувати, що це може означати щось у майбутньому.

Однак у нього немає вихідного коду для підтвердження цього. Він надішле електронний лист комусь іншому з вихідним кодом, щоб підтвердити це.

03 жовтня 2012 р. Ніч - моя відповідь

Дякуємо за інформацію. Однак я спробував деякі інші незаконні персонажі, наприклад; та |.

Користувацький інтерфейс Logon може успішно виявити це та сказати мені, що моє ім’я користувача або паролі невірні.

Якщо передній кінець дійсно не робить перевірку вводу, а задній може дійсно викреслити всі незаконні символи, чому інтерфейс Logon не дозволить мені увійти як Harvey@company.com|something або Harvey@company.com; щось, але Harvey@company.com: щось.

Ця дивна поведінка трапляється лише на ":".

-Харві

03 жовтня 2012 року вдень - відповідь щодо підтримки MS

Привіт Харві,

Немає помилки у валідації на передньому кінці, оскільки передній кінець не виконує жодної перевірки. Перевірка виконується, коли ви вводите свої облікові дані та намагаєтесь увійти, потім на задньому плані виконується перевірка та відображається відповідна помилка.

Причина того, що не виконувати перевірку перед тим, полягає в тому, що існують інші UIO, які використовуються сторонніми користувачами, і необхідність роботи та автентифікації користувача може бути різною. Деякі користувальницькі інтерфейси можуть зажадати імені користувача у різному форматі, тому виконання перевірки під час введення користувачем даних облікових даних порушує ці інтерфейси користувача.

Що стосується Backend, то кожен інтерфейс здійснює виклик API бекенда аутентифікації, незалежно від того, який інтерфейс присутній у передній частині. Таким чином, проведення перевірки в бекенді забезпечує належну автентифікацію

З повагою XXXX

03 жовтня 2012 вдень - моя відповідь

Я розумію пояснення щодо різного керування в передній і задній частині, оскільки я також програміст.

Отже, це звучить як незначна помилка в логіці перевірки вхідного інтерфейсу на передньому кінці, хоча в задній частині немає жодної помилки.

Зауважте, що я теж намагався зробити те саме, використовуючи runas.exe. Runas.exe показав мені повідомлення про помилку перед тим, як передати неправильне ім’я користувача до бек-енду. Отже, для мене runas.exe робить правильну перевірку вводу.

Якщо ви все ще вважаєте, що немає помилки на передньому кінці інтерфейсу користувача, чи можете ви пояснити мету надання дозволу кінцевому користувачеві ввести неправильне ім’я користувача та потім відобразити його на екрані?

Спасибі, Харві

3 жовтня 2012 р. Вранці - відповідь служби підтримки MS

Привіт Харві,

Прошу вибачення за затримку. Я надіслав ваше запитання моєму малому бізнесу, і ось його відповідь: немає помилок. інтерфейс користувача відображає те, що ви ввели. Задній кінець аналізує рядок, щоб визначити домен та ім'я користувача. Це робиться правильно, оскільки: є незаконним характером.

Будь ласка, дайте мені знати, якщо вона уточнює ваші запитання чи я можу допомогти вам у подальшому.

З повагою XXXXX


3
Видатні зусилля та відповіді. Я шкодую, що у мене є лише одна пропозиція, щоб надати це. (І, FWIW, ти надихнув мене перевірити це на інших "нелегальних" персонажах.)
HopelessN00b

Мені подобається, коли я маю справу з продавцем і отримую ухильну серію відповідей, як це. Мені особливо подобається порівняння з поведінкою рунасу і очевидна непослідовність, де лише лише один конкретний "незаконний персонаж" позбавлений (і, мабуть, все після цього також ...), але прекрасна робота з контакту з МС. Принаймні, вам не довелося переконувати їх у тому, що 0,002с! = $ 0,002 :)
Джон Клоске
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.