1 votes

MinorCrafter avatar

Deux domaines Windows Server, deux utilisateurs, mêmes permissions

Demandé el 5 de Juillet, 2010
Quand la question a-t-elle été
3147 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je travaille pour une petite entreprise, appartenant à une plus grande. J'ai un utilisateur dans le domaine de ma société mère : DomainA\MyUser .

Maintenant, nous avons acheté notre propre serveur et nous voulons notre propre domaine. J'ai créé un utilisateur dans le nouveau domaine, avec le même nom d'utilisateur que l'ancien : DomainB\MyUser . Cet utilisateur est l'administrateur du réseau dans DomainB .

Mon ordinateur est toujours dans DomainA . Lorsque je me connecte en tant que DomainA\MyUser j'obtiens toutes les permissions de DomainB\MyUser sur le nouveau serveur (qui est le contrôleur de domaine de DomainB et non connecté à DomainA ).

Ceci même si je mets DomainB\MyUser comme inactif.

Comment cela est-il possible ?

[MODIFIER 2010-07-06]

Ne fonctionne pas avec un utilisateur handicapé dans DomainB . La dernière fois que j'ai essayé, j'ai oublié de tuer toutes les sessions de l'utilisateur.

Captures d'écran lorsque j'utilise le bureau à distance : http://www.enalog.se/files/index.html (mort)

Détails :

  • NEMOQ_AD est l'ancien domaine.
  • ENALOG est le nouveau domaine.
    • VOLDEMORT est le contrôleur de domaine de ENALOG .
  • Peter est l'utilisateur

[MODIFIER 2010-07-08]

Lorsque je tape l'utilisateur en tant que MyUser@DomainA Je ne peux pas me connecter. Pourquoi cela fonctionne-t-il avec DomainA\MyUser ?

Demandé el 5 de Juillet, 2010 par MinorCrafter

Réponses

Trop de publicités?

4voto

Nathan Osman avatar
Nathan Osman Points 147

Il s'agit d'une fonction NTLM qui essaie automatiquement un nom de DOMAINE différent de celui que vous avez entré.

Chaque login dans vos captures d'écran est l'utilisateur ENALOG\Peter pas NEMOQ_AD\Peter .

Peu importe que vous soyez en tapant le domaine NEMOQ_AD\Peter puisque NEMOQ_AD n'est pas un domaine que ENALOG trusts. (Voir ci-dessous.)

Remarquez que vous ne voyez pas NAMOQ_AD n'importe où une fois que vous vous êtes connecté à Voldemort .

Authentification par passage NTLM

NTLM supporte un élément appelé authentification par passage . Le passage important de l'article est ici : (c'est nous qui soulignons)

  • Si le nom de domaine spécifié n'est pas approuvé par le domaine, la demande d'authentification est traitée sur l'ordinateur auquel on se connecte comme si le nom de domaine spécifié était ce nom de domaine . NetLogon ne fait pas la différence entre un domaine inexistant, un domaine non fiable et un nom de domaine mal saisi.

Exemple pour l'utilisation de votre action nette

Ce qui se passe est le suivant :

  1. Voldemort reçoit une demande d'authentification de l'utilisateur NEMOQ_AD\Peter .
  2. Voldemort voit que NEMOQ_AD n'est ni son propre domaine ni un domaine auquel il fait confiance.
  3. Voldemort essaie d'authentifier l'utilisateur. ENALOG\Peter à la place.
  4. Puisque vous avez entré le mot de passe pour ENALOG\Peter (comme vous l'avez dit dans un autre commentaire), l'authentification réussit.

Re. actions nettes en général

Lorsque vous accédez au partage de lecteur, vous devez utiliser NTLM (toute tentative d'utiliser Kerberos échouera parce que ENALOG n'a pas confiance NAMOQ_AD ) en utilisant l'authentification par passage, ce qui vous permet d'accéder aux partages réseau sans saisir de mot de passe. Cela ne fonctionne que si vous utilisez des comptes de même nom et des mots de passe identiques sur les deux machines.

Re. RDP

Lorsque vous saisissez un mot de passe lors de l'utilisation de Bureau à distance il se comporte exactement comme si vous aviez essayé de vous connecter en tant que ENALOG\Peter 代わりに NEMOQ_AD\Peter et en utilisant le mot de passe que vous avez saisi. De cette façon, si vous tapez Peter comme nom d'utilisateur, l'ordinateur local envoie NEMOQ_AD\Peter puisque c'est le seul domaine qu'il connaisse, mais l'ordinateur distant décide d'essayer ENALOG\Peter à la place.

Re. SSMS

Je suppose que SQL Server Management Studio utilise l'une ou l'autre stratégie (probablement la seconde), je ne connais pas les détails exacts de son implémentation et je n'ai pas deux domaines à disposition pour la tester.

Répondu el 8 de Juillet, 2010 par Nathan Osman (147 Points )

0 votes

Avatar de MinorCrafter

Alors... "Je ne sais pas qui vous êtes. Je ne te fais pas confiance. Je suppose que tu es celui-là à la place. Maintenant je te fais confiance." Je ne suis pas expérimenté dans les serveurs, mais pour moi c'est un comportement très étrange et un risque de sécurité. Quoi qu'il en soit, au moins cela me dit pourquoi il se comporte de cette façon et si j'utilise des mots de passe différents, il ne devrait pas y avoir de problèmes.

Commenté el 8 de Juillet, 2010 par MinorCrafter

0 votes

Avatar de Nathan Osman

L'authentification par passage est équivalente à l'envoi du mot de passe à la machine distante (sans avoir à le faire), donc en réalité vous fournissez à Voldemort le mot de passe d'ENALOG. \Peter et il se trouve que vous l'avez tapé quelques minutes plus tôt alors que vous vous connectiez sous le nom de NEMOQ_AD. \Peter. NTLM part du principe que s'il peut prouver que vous avez le même mot de passe sur deux comptes de même nom, alors il est probablement correct d'aller de l'avant et de ne pas vous faire retaper explicitement les informations d'identification. Il s'agit donc plutôt d'un correcteur orthographique pour votre nom d'utilisateur.

Commenté el 9 de Juillet, 2010 par Nathan Osman

0 votes

Avatar de Nathan Osman

Il ne s'agit pas d'un risque de sécurité car vous connaissez le mot de passe de l'ordinateur distant. La seule fois où ce serait la "mauvaise" chose à faire serait si les comptes ENALOGENT \Peter et NEMOQ_AD \Peter représentaient des personnes différentes qui avaient juste un mot de passe identique. Pas très probable dans le grand schéma des choses.

Commenté el 9 de Juillet, 2010 par Nathan Osman

0voto

EGHDK avatar
EGHDK Points 189

Ce n'est pas possible. Quelque chose est mal configuré.

Répondu el 5 de Juillet, 2010 par EGHDK (189 Points )

0 votes

Avatar de MinorCrafter

Je n'ai effectué aucune configuration, si ce n'est l'ajout d'un administrateur et de quelques utilisateurs normaux dans le Domaine B.

Commenté el 6 de Juillet, 2010 par MinorCrafter

0 votes

Avatar de MinorCrafter

Où puis-je le configurer ?

Commenté el 6 de Juillet, 2010 par MinorCrafter

0 votes

Avatar de EGHDK

Une confiance existe-t-elle entre NEMOQ_AD et ENALOG ? Est-ce que les mots de passe de NEMOQ_AD \peter et ENALOG \peter identique ? Les journaux d'événements des applications, du système ou de la sécurité du contrôleur de domaine ENALOG contiennent-ils des avertissements ou des erreurs au moment de l'authentification ?

Commenté el 7 de Juillet, 2010 par EGHDK
Afficher 3 autres commentaires

0voto

joeqwerty avatar
joeqwerty Points 106914

Pouvez-vous être plus précis ? Comment ça, vous obtenez les mêmes permissions ? Faites-vous référence aux autorisations de fichiers et de dossiers ? Que voulez-vous dire par le fait que vous avez défini le compte userB comme inactif ? Il n'y a pas de chose telle que "inactif". Voulez-vous dire que vous avez défini le compte userB comme désactivé ?

Répondu el 5 de Juillet, 2010 par joeqwerty (106914 Points )

0 votes

Avatar de MinorCrafter

Oui, je veux dire handicapé (problème de langue :)). Lorsque je suis assis devant l'ordinateur de DomainA avec DomainA \MyUser J'ai par exemple tous les droits sur \\ServerB\c $. J'ai également fait de DomainB \MyUser un sysadmin dans un MS SQL Server qui s'applique également à DomainA \MyUser.

Commenté el 6 de Juillet, 2010 par MinorCrafter

0 votes

Avatar de MinorCrafter

DomaineA \MyUser peut également utiliser le bureau à distance pour se connecter au nouveau serveur et obtient alors les mêmes droits sur le serveur que DomainB \MyUser.

Commenté el 6 de Juillet, 2010 par MinorCrafter

0voto

Guy avatar
Guy Points 16718

Stephen Jennings a déjà répondu de manière exhaustive à cette question, mais je me demande, par simple curiosité, quelle est la raison de la séparation des domaines dans ce cas ?

Il y a de nombreuses bonnes raisons mais, en général, la gestion de plusieurs domaines est une corvée et il semble que personne ne sera en mesure de la gérer et qu'il s'agira plutôt de créer les frais généraux typiques associés à la gestion de plusieurs domaines pour un groupe de personnes.

Pourquoi ne pas incorporer le nouveau serveur dans le domaine existant, en utilisant la configuration pour limiter ses ressources à votre entreprise. Avez-vous besoin d'accéder aux ressources de la société mère ? Les administrateurs de la société mère ne sont pas dignes de confiance ?

Répondu el 8 de Juillet, 2010 par Guy (16718 Points )

0 votes

Avatar de MinorCrafter

Non, on ne leur fait pas confiance. Les domaines doivent être séparés. Je pense qu'il est plus facile d'avoir deux domaines séparés que de ne pas les séparer.

Commenté el 8 de Juillet, 2010 par MinorCrafter

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X