อะไรคือความหมายของการเข้าสู่ระบบในชื่อ“ username@mydomain.com: something”

35

เครื่อง Windows 2008 R2 ของฉันเข้าร่วมกับโดเมนแล้ว

ในหน้าจอเข้าสู่ระบบหากฉันพิมพ์ "username@mydomain.com: some" เป็นชื่อผู้ใช้ฉันยังคงสามารถเข้าสู่ระบบได้อย่างถูกต้องความหมายของ ": บางสิ่ง" ต่อท้ายคืออะไร

ฉันยังสามารถเห็นผู้ใช้ปัจจุบันแสดงเป็น "ชื่อผู้ใช้ (username): บางสิ่ง" ในหน้าจอสลับผู้ใช้ มันเป็นคุณสมบัติใน Windows หรือไม่? หรือมันเป็นเพียงข้อบกพร่อง? หากเป็นคุณสมบัติอะไรคือความแตกต่างระหว่างการลงชื่อเข้าใช้ในชื่อ "username@mydomain.com" และการลงชื่อเข้าใช้ในชื่อ "username@mydomain.com: some"

โปรดทราบว่าฉันลองชุดค่าผสมต่าง ๆ เช่น "mydomain \ ชื่อผู้ใช้: บางอย่าง" และ "mydomain.com:something\username" ไม่สามารถใช้งานได้ยกเว้น "username@mydomain.com: some"

อัปเดต 10 กันยายน 2555

ปัญหา RunAs ของ Justin นั้นคล้ายกัน แต่ไม่ตรงกับปัญหาที่ฉันต้องการแก้ไข ถ้าคุณทำ

runas /user:username@mydomain.com:anything

คุณจะได้รับ

RUNAS ERROR: Unable to acquire user password

ฉันตรวจสอบแล้วว่า RunAs ไม่สนใจโทรเข้า LSA เมื่อเห็นusername@mydomain.com:anythingว่าเป็นชื่อผู้ใช้ RunAs ควรทำการตรวจสอบอินพุตและส่งคืนข้อผิดพลาดที่นั่น

WinLogon นั้นแตกต่างกัน ยอมรับรูปแบบการป้อนข้อมูลนี้และส่ง "username@mydomain.com: Anything" ใด ๆ ลงใน LSA ฉันเห็นLogonUserEx2kerberos.dll ภายในได้เรียกว่า มันอาจจะมีข้อผิดพลาดในตรรกะการตรวจสอบอินพุต WinLogon หรือนี่เป็นรูปแบบที่ยอมรับได้จริงสำหรับคุณสมบัติที่ซ่อนอยู่

อัปเดต 26 กันยายน 2555

ฉันเพิ่งส่งเรื่องไปยังฝ่ายสนับสนุนของ Microsoft Premier ฉันจะอัปเดตที่นี่หากฉันได้รับการอัปเดตจากพวกเขา

active-directory  windows-server-2008-r2  domain  login 
ฮาร์วีย์กว๊อก
แหล่งที่มา
5
นั่นน่าสนใจ.
เชนแมดเดน
สามารถ ": บางสิ่ง" เป็น ": อะไรก็ได้" หรือไม่ ดูเหมือนว่า Windows จะถือว่าเป็นหมายเลขพอร์ตหรือส่วนขยายแปลกมาก
Brent Pabst
2
บ้า. ฉันเพิ่งทดสอบสิ่งนี้และเป็นไปได้ที่จะสร้างส่วนต่อท้าย UPN ของ domain.tld: อะไรและเข้าสู่โดเมนด้วย UPN นี้
joeqwerty
1
ถ้าฉันทำrunas /user:"jdearing@domain.com:something" "cmd /C dir c:\ & pause"มันส่งกลับข้อผิดพลาด RUNAS: ไม่สามารถรับรหัสผ่านของผู้ใช้ซึ่งตรงข้ามกับ1326ปกติ: การเข้าสู่ระบบล้มเหลว: ชื่อผู้ใช้ที่ไม่รู้จักหรือรหัสผ่านไม่ถูกต้อง สำหรับการเข้าสู่ระบบที่ล้มเหลว
Justin Dearing
2
FYI: โพสต์ในฟอรัม TechNet เช่นกันไม่แน่ใจว่าทีม Windows จะเห็นหรือไม่: bit.ly/UF94GQ
Brent Pabst

คำตอบ:

13

ฉันเปิดเคสด้วย Microsoft Premier Support นี่คืออีเมลระหว่างฉันและฝ่ายสนับสนุนของ Microsoft พวกเขาบอกว่ามันเป็นปัญหาที่รู้กันทั่วไป ไม่ใช่ข้อผิดพลาดและไม่ใช่คุณสมบัติ

ส่วนหลังจะแยกชื่อผู้ใช้และตัดอักขระผิดกฎหมายอย่างเหมาะสมส่วนหน้าไม่ทำการตรวจสอบ UI ใด ๆ เนื่องจากอาจมี UI การเข้าสู่ระบบของบุคคลที่สาม ข้อกำหนดเกี่ยวกับชื่อผู้ใช้อาจแตกต่างกัน ฉันคิดว่าสิ่งที่พวกเขาอ้างถึงคือผู้ให้บริการข้อมูลรับรองบุคคลที่สาม

ต.ค. 05, 2012 เช้า

ฉันเพิ่งได้รับโทรศัพท์จากวิศวกรของพวกเขา อธิบายปัญหาทั้งหมดให้เขาอีกครั้ง เขาค่อนข้างมั่นใจว่า:somethingไม่มีความหมายพิเศษภายในวันนี้ แต่เขาไม่สามารถรับประกันได้ว่ามันอาจหมายถึงบางสิ่งในอนาคต

อย่างไรก็ตามเขาไม่มีซอร์สโค้ดเพื่อยืนยันว่า เขากำลังจะส่งอีเมลไปยังบุคคลอื่นพร้อมด้วยรหัสแหล่งที่มาเพื่อยืนยันว่า

3 ต.ค. 2012 คืน - คำตอบของฉัน

ขอบคุณสำหรับข้อมูล. อย่างไรก็ตามฉันลองตัวละครผิดกฎหมายอื่น ๆ เช่น; และ |

Logon UI สามารถตรวจจับได้สำเร็จและบอกชื่อผู้ใช้หรือรหัสผ่านให้ฉันไม่ถูกต้อง

หากส่วนหน้าไม่ได้ทำการตรวจสอบความถูกต้องของอินพุตและแบ็คเอนด์สามารถดึงอักขระที่ผิดกฎหมายออกทั้งหมดทำไม Logon UI ไม่อนุญาตให้ฉันเข้าสู่ระบบในชื่อ Harvey@company.com|something หรือ Harvey@company.com Harvey@company.com: บางสิ่งบางอย่าง

พฤติกรรมที่แปลกประหลาดนี้เกิดขึ้นเฉพาะกับ“:”

-Harvey

ต.ค. 03, 2012 บ่าย - ตอบกลับการสนับสนุนของ MS

สวัสดีฮาร์วีย์

ไม่มีข้อบกพร่องในการตรวจสอบส่วนหน้าเนื่องจากส่วนหน้าไม่ได้ทำการตรวจสอบความถูกต้องใด ๆ การตรวจสอบจะดำเนินการเมื่อคุณป้อนข้อมูลประจำตัวของคุณและพยายามเข้าสู่ระบบจากนั้นในพื้นหลังการตรวจสอบจะดำเนินการและข้อผิดพลาดที่เกี่ยวข้องจะปรากฏขึ้น

เหตุผลที่อยู่เบื้องหลังการไม่ทำการตรวจสอบความถูกต้องด้านหน้าเป็นเพราะมี UIO เข้าสู่ระบบบุคคลที่สามอื่น ๆ ที่ใช้และมีข้อกำหนดในการทำงานและรับรองความถูกต้องของผู้ใช้อาจแตกต่างกัน UIs บางรายการอาจต้องการชื่อผู้ใช้ในรูปแบบต่าง ๆ ดังนั้นเพื่อทำการตรวจสอบความถูกต้องเมื่อผู้ใช้ป้อนข้อมูลรับรองจะทำให้ UIs เหล่านั้นแตก

สำหรับ Backend นั้น UI ทุกตัวจะทำการเรียก API แบ็กเอนด์ Authentication โดยไม่คำนึงว่า UI ใดที่มีอยู่ในส่วนหน้า ดังนั้นในการดำเนินการตรวจสอบในแบ็กเอนด์มั่นใจการตรวจสอบที่เหมาะสม

ขอแสดงความนับถือ XXXX

ต.ค. 03, 2012 บ่าย - คำตอบของฉัน

ฉันเข้าใจคำอธิบายเกี่ยวกับการจัดการที่แตกต่างกันใน front-end และ back-end เนื่องจากฉันยังเป็นโปรแกรมเมอร์

ดังนั้นดูเหมือนว่าบั๊กเล็กน้อยในตรรกะการตรวจสอบอินพุตของ front end UI แม้ว่าจะไม่มีข้อบกพร่องในแบ็คเอนด์

โปรดทราบว่าฉันยังพยายามทำสิ่งเดียวกันโดยใช้ runas.exe runas.exe แสดงข้อความข้อผิดพลาดให้ฉันก่อนส่งชื่อผู้ใช้ที่มีรูปแบบไม่ถูกต้องไปยังส่วนหลัง ดังนั้นสำหรับฉัน runas.exe กำลังตรวจสอบอินพุตให้ถูกต้อง

หากคุณยังคงคิดว่าไม่มีข้อบกพร่องในส่วนหน้าของ UI คุณสามารถอธิบายวัตถุประสงค์ของการอนุญาตให้ผู้ใช้พิมพ์ชื่อผู้ใช้ที่มีรูปแบบไม่ถูกต้องแล้วแสดงบนหน้าจอได้หรือไม่

ขอบคุณฮาร์วีย์

ต.ค. 03, 2012 เช้า - ตอบกลับ MS Support

สวัสดีฮาร์วีย์

ฉันขอโทษสำหรับความล่าช้า. ฉันส่งต่อคำถามของคุณไปที่ SME ของฉันและนี่คือคำตอบของเขา: ไม่มีข้อผิดพลาด UI แสดงสิ่งที่คุณพิมพ์ ส่วนหลังแยกวิเคราะห์สตริงเพื่อกำหนดโดเมนและชื่อผู้ใช้ มันทำอย่างถูกต้องตั้งแต่: เป็นตัวละครที่ผิดกฎหมาย

โปรดแจ้งให้เราทราบหากมีการชี้แจงคำถามของคุณหรือหากฉันสามารถช่วยคุณเพิ่มเติมได้

ขอแสดงความนับถือ XXXXX

ฮาร์วีย์กว๊อก
แหล่งที่มา
3
ความพยายามและคำตอบที่โดดเด่น ฉันเสียใจที่ฉันมี แต่หนึ่ง upvote ให้นี้ (และ FWIW คุณเป็นแรงบันดาลใจให้ฉันทดสอบสิ่งนี้กับตัวละคร "ผิดกฎหมาย" อื่น ๆ )
HopelessN00b
ฉันรักมันเมื่อฉันจัดการกับผู้ขายและได้รับคำตอบที่ต่อเนื่องเช่นนี้ ฉันชอบการเปรียบเทียบกับพฤติกรรมของ runas และความไม่สอดคล้องที่เห็นได้ชัดซึ่งมีเพียง "ตัวละครที่ผิดกฎหมาย" ตัวหนึ่งที่ถูกปล้น (และเห็นได้ชัดว่าทุกอย่างหลังจากนั้นเช่นกัน ... ) แต่งานที่ยอดเยี่ยมในการติดต่อ MS อย่างน้อยคุณก็ไม่จำเป็นต้องโน้มน้าวพวกเขานั่นคือ 0.002c! = $ 0.002 :)
Jon Kloske
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.