এডি ডোমেন নিয়ামক বন্ধ থাকলেও আমি কেন একটি বাক্সে লগইন করতে পারি?

15

দৃশ্যপট:

  • আমার ডিসি চলার সময়, আমি একটি স্বেচ্ছাসেবী মেশিনে লগইন করি।
  • আমি ডিসি থামি
  • আমি নির্বিচারে মেশিন লগ অফ। এটিও ভাল পরিমাপের জন্য বাউন্স করুন।
  • যখন মেশিনটি ফিরে আসবে, আমি তখনও ডিসি ডাউন থাকা সত্ত্বেও আমার ডোমেন শংসাপত্রগুলির সাথে লগইন করতে পারি

কেন এবং কিভাবে?

"স্বেচ্ছাসেবী" মেশিনে খেলতে কি কোনও জাতীয় স্থানীয় শংসাপত্রের ক্যাশে রয়েছে? আমার পাসওয়ার্ডটি কোনওভাবে হ্যাশ হয়ে ভবিষ্যতের জন্য সংরক্ষণ করা হয়েছিল সিএসইতে ডিসি ফুটে উঠেছে বা ডাউন?

ডিসি নিচে থাকাকালীন আমি এমন কোনও বাক্সে লগইন করার চেষ্টা করেছিলাম যা আমি কখনই লগইন করিনি?

windows  active-directory  domain-controller 
রাসেল ক্রিস্টোফার
সূত্র
1
কেবল একটি আকর্ষণীয়, সম্পর্কিত বিষয়: একটি নেটওয়ার্কের কেবল আনপ্লাগিং করা "ডিসি নিচে থাকা" অনুকরণ করার এক উপায়। সাম্প্রতিক বছরগুলিতে এটির পরিবর্তিত হয়েছে কিনা তা আমি নিশ্চিত নই, তবে যেহেতু ইউজার লকআউট নীতিটি ডিসি বাস্তবায়িত করেছেন, আপনি কেবল কেবল ক্যাবলটি প্লাগ ইন করে ক্যাশেড শংসাপত্রগুলি অনুমান করার ক্ষেত্রে অসীম প্রচেষ্টা পেতে পারেন।
ড্যানিয়েল বি

উত্তর:

33

ডিফল্টরূপে, উইন্ডোজ কোনও মেশিনে লগ করতে সর্বশেষ 10-25 ব্যবহারকারীকে ক্যাশে করবে (ওএস সংস্করণের উপর নির্ভর করে)। এই আচরণটি জিপিওর মাধ্যমে কনফিগার করা যায় এবং সুরক্ষা গুরুতর হওয়ার ক্ষেত্রে সাধারণত সম্পূর্ণভাবে বন্ধ হয়ে যায়।

আপনি যদি কোনও ওয়ার্কস্টেশন বা সদস্য সার্ভারে লগিন করার চেষ্টা করেন যা আপনি কখনই লগইন করেননি যখন আপনার সমস্ত ডিসি নাগালের বাইরে রয়েছে, আপনি উল্লেখ করে একটি ত্রুটি পাবেন There are currently no logon servers available to service the logon request

MDMarra
সূত্র
3
শংসাপত্রের ক্যাচিং বিভিন্ন কারণে করা হয় তবে সবচেয়ে উল্লেখযোগ্যগুলির মধ্যে রয়েছে ল্যাপটপের ক্ষেত্রে। সিইও খুব অসন্তুষ্ট হন (যদি) তিনি বাতাসে থাকা অবস্থায় (গুলি) কাজ করতে অক্ষম হন এবং আপনার নেটওয়ার্কের সাথে সংযোগ স্থাপন করতে অক্ষম হন, সুতরাং লগইন তাকে / তার কম্পিউটারে লগ ইন করার অনুমতি দেওয়ার জন্য ক্যাশে হবে।
ব্যবহারকারী 24313
1
ভিপিএন সংযোগ শুরুর আগে ইন্টারঅ্যাকটিভভাবে ওএস এ লগইন করা সাধারণ বিষয়। যদি ডিসিতে লাইভ অ্যাক্সেস না করে লগইন অসম্ভব হয়ে থাকে এবং ডিসি কেবলমাত্র ভিপিএন এর মাধ্যমে পাওয়া যায় এবং লগইন করার পরে একটি ভিপিএন কেবল উপলভ্য থাকে তবে আপনার একটি কদর্য ক্যাপ -22 রয়েছে। ক্যাশেড শংসাপত্রগুলি এর কার্যকর সমাধান।
ব্র্যান্ডন
@ ব্র্যান্ডন যে তারা। আমি সবাইকে এটি নিষ্ক্রিয় করার পরামর্শ দিচ্ছিলাম না, আমি কেবল লক্ষ্য করছিলাম যে এটি সাধারণ security is criticalযেহেতু এটি কোনও অফলাইন জন্তু বাহিনীর আক্রমণ প্রতিরোধ করবে। ভিপিএন সমস্যার সমাধানটি হল ব্যবহারকারী / পাসের সাথে পোস্ট-লগন না করে ডিভাইস শংসাপত্রগুলি ব্যবহার করে স্টার্টআপে সংযুক্ত হওয়া।
MDMarra
2

হ্যাঁ, আপনি যে সমস্ত মেশিনে লগইন করেন তাতে আপনার শংসাপত্রগুলি ক্যাশে করা হয়। ডিসি নামার আগে আপনি যদি কোনও প্রদত্ত মেশিনে লগইন না করে থাকেন তবে আপনি লগ ইন করতে পারবেন না কারণ আপনার শংসাপত্রগুলি উপলভ্য হবে না।

জন
সূত্র
7
This is done to avoid unnecessary network usage if you log in to a given machine frequently.- এটা সত্য নয়। লগনকে অনুমোদনের জন্য যদি ডিসি পাওয়া যায় তবে তারা ব্যবহারকারীর ক্রেডিট স্থানীয় ওয়ার্কস্টেশন বা সদস্য সার্ভারে ক্যাশে আছে কিনা তা নির্বিশেষে তারা এগুলি গ্রহণ করবে। ক্যাশেড শংসাপত্রগুলি তখনই ব্যবহৃত হয় যখন ওয়ার্কস্টেশন বা সদস্য সার্ভার প্রমাণীকরণের জন্য এক বা একাধিক ডোমেন নিয়ন্ত্রকদের সাথে যোগাযোগ করতে অক্ষম। সাধারণ পরিস্থিতিতে যেখানে ল্যাপটপগুলি অফ-নেটওয়ার্ক থেকে নেওয়া হয়, ডিসি কোনও নেটওয়ার্ক বিচ্ছুরণের কারণে অ্যাক্সেসযোগ্য হয় না বা পরিষেবাতে অন্য কোনও বাধা থাকে include
MDMarra
ঠিক আছে, আমি ভুল তথ্য অপসারণ করতে উত্তর পরিবর্তন করেছি।
জন
-2

এটিও লক্ষণীয় যে ডিসি এবং ক্লায়েন্ট বক্স সিঙ্ক লোগোগুলি নিয়মিতভাবে গ্রুপ পলিসি অপারেশনের অংশ হিসাবে লগইন করে তবে কেবল যখন তারা উভয়ই অনলাইনে থাকে।

উদাহরণস্বরূপ, আপনি আপনার ওয়ার্কস্টেশন (অ্যালিস) এ লগইন করতে পারেন এবং এটি নেটওয়ার্ক থেকে সংযোগ বিচ্ছিন্ন করতে পারেন, তারপরে দ্বিতীয় ওয়ার্কস্টেশন (বব) এ লগইন করতে পারেন এবং বব থেকে আপনার লগইনের এডি পাসওয়ার্ড (সিটিআরএল-ওল্ট-ডেল মাধ্যমে) পরিবর্তন করতে পারেন। পাসওয়ার্ডটি তাত্ক্ষণিকভাবে বব এবং ডিসি (চার্লি) -এ আপডেট হয় তবে এটি এখনও অ্যালিসের পুরানো মান (ক্যাশেড)।

আপনি যদি এলিসটিকে নেটওয়ার্কের সাথে পুনরায় সংযোগ স্থাপন করেন, এক মুহুর্ত পরে আপনি সম্ভবত একটি টাস্কবার বুদবুদ বিজ্ঞপ্তি পেয়ে যাবেন "উইন্ডোজ আপনার বর্তমান শংসাপত্রের প্রয়োজন" বলে saying এটি এলিস এবং চার্লি পিরিয়ড গ্রুপ পলিসি সিঙ্কের ফলাফল। আপনার নতুন পাসওয়ার্ড প্রবেশ করানো চার্লির বিপরীতে আপনার এন্ট্রিটিকে বৈধতা দেবে এবং অ্যালিসের ক্যাশে শংসাপত্রগুলি আপডেট করবে।

রায়ান
সূত্র
3
It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online. দীর্ঘশ্বাস ফেলুন গ্রুপ নীতিমালার সাথে এর কোনও সম্পর্ক নেই। যত তাড়াতাড়ি আপনার কোনও নেটওয়ার্ক সংস্থান অ্যাক্সেসের প্রয়োজন হবে এবং আপনার ক্যাশে শংসাপত্রগুলি ব্যবহার করা হচ্ছে, এটির আপনাকে অনুমোদন দেওয়ার প্রয়োজন হবে। কোনও "পাসওয়ার্ড সিঙ্ক" বা এর মতো কিছু নেই, বিশেষত জিপিও থেকে নয়। আপনি সম্ভবত এটি এখনই দেখতে পাবেন কারণ আপনার কাছে অবিরাম ড্রাইভ ম্যাপিংস বা একটি এক্সচেঞ্জ মেলবক্স খোলা আছে বা এরকম কিছু যা আপনার শংসাপত্রগুলির প্রায় সঙ্গে সঙ্গে প্রয়োজন।
MDMarra
1
গ্রুপ পলিসি সম্পর্কিত তার ত্রুটি চিহ্নিত করার জন্য আপনাকে ধন্যবাদ। আমার এটিও উল্লেখ করা উচিত যে একে অপরের সাথে পাসওয়ার্ড সিঙ্ক করার সাথে খুব কম এবং নতুন টিকিট / কী জোড়গুলির অনুরোধ করা / জারি করা সাথে আরও অনেক কিছু করার আছে। আমি যা বলেছি তা বুদ্ধিমান না হলে এটি দেখুন। এমএসডিএন.মাইক্রোসফট.ইন- ইউএস / লিবারি / উইন্ডস / ডেস্কটপ/… আপনার সম্ভবত এমডিমারার হিসাবে আউটলুক বা ড্রাইভ ম্যাপিংগুলি খোলা আছে যা এগুলির সাথে সাথে প্রমাণিত হওয়ার চেষ্টা করবে তবে যেহেতু তাদের একটি পুরানো টিকিট / কী রয়েছে তাই তারা তারা এগিয়ে যাওয়ার আগে একটি নতুন উপহার দিতে হবে
ব্র্যাড বাউচার্ড
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.