那些遇到过的问题

以“username@mydomain.com:something”身份登录是什么意思

Har*_*wok 35 login active-directory domain windows-server-2008-r2

我的 Windows 2008 R2 机器已加入域。

在登录界面,如果我输入“username@mydomain.com:something”作为用户名,我仍然可以正常登录,后面的“:something”是什么意思?

我什至可以看到当前用户在切换用户屏幕中显示为“username@mydomain.com:something”。它是 Windows 中的一项功能吗?或者这只是一个错误?如果是功能,以“username@mydomain.com”身份登录和以“username@mydomain.com:something”身份登录有什么区别?

请注意,我尝试了不同的组合,例如“mydomain\username:something”和“mydomain.com:something\username”。除了“username@mydomain.com:something”之外,它们都不起作用。

2012 年 9 月 10 日更新

Justin 提出的 RunAs 问题与我想要解决的问题相似但不完全相同。如果你这样做

runas /user:username@mydomain.com:anything
Run Code Online (Sandbox Code Playgroud)

你会得到

RUNAS ERROR: Unable to acquire user password
Run Code Online (Sandbox Code Playgroud)

我确认 RunAs 在看到username@mydomain.com:anything用户名时甚至都懒得调用 LSA 。RunAs 应该已经完成​​输入验证并在那里返回错误。

WinLogon 是不同的。它接受这种输入格式并将“username@mydomain.com:anything”传递给 LSA。我确实看到LogonUserEx2内部 kerberos.dll 被调用。要么是 WinLogon 输入验证逻辑中存在错误,要么这对于某些隐藏功能来说确实是一种可接受的格式。

2012 年 9 月 26 日更新

我刚刚向 Microsoft Premier Support 提交了一个案例。如果我从他们那里得到任何更新,我会在这里更新。

Har*_*wok 13

我向 Microsoft Premier Support 开立了一个案例。这是我和 Microsoft 支持人员之间的电子邮件。他们基本上说这是一个已知问题。这不是错误,也不是功能。

后端会解析用户名并正确去除非法字符前端不做任何UI验证,因为可能有其他一些第三方登录UI。他们对用户名的要求可能不同。我认为他们指的是第 3 方凭据提供者。

2012 年 10 月 5 日上午

我刚刚接到了他们的一位工程师的电话。再次向他解释整个问题。他很确定这:something在今天内部没有特殊意义,但他不能保证它在未来可能意味着什么。

但是,他没有源代码来确认这一点。他将向其他人发送一封带有源代码的电子邮件以确认这一点。

2012 年 10 月 3 日晚上 - 我的回复

谢谢(你的)信息。但是,我确实尝试了其他一些非法字符,例如 ; 和|。

登录 UI 可以成功检测到并告诉我我的用户名或密码不正确。

如果前端真的不做任何输入验证,后端真的可以去除所有非法字符,为什么登录UI不允许我以Harvey@company.com|something或Harvey@company.com的身份登录;除了 Harvey@company.com:something。

这种奇怪的行为只发生在“:”上。

-哈维

2012 年 10 月 3 日下午 - MS 支持回复

你好哈维,

前端验证没有 Bug,因为前端不执行任何验证。一旦您输入凭据并尝试登录,就会执行验证,然后在后台执行验证并显示相应的错误。

不在前面执行验证的原因是因为使用了其他第三方登录 UIO,并且工作和验证用户的要求可能不同。某些 UI 可能需要 diff 格式的用户名,因此在用户输入凭据时执行验证会破坏这些 UI。

至于后端,每个 UI 都会调用后端身份验证 API,而不管前端中存在哪个 UI。因此在后端执行验证可确保正确的身份验证

问候XXXX

2012 年 10 月 3 日下午 - 我的回复

由于我也是程序员,所以我理解前端和后端不同处理的解释。

因此,尽管后端没有错误,但听起来像是前端 UI 输入验证逻辑中的一个错误。

请注意,我也尝试使用 runas.exe 做同样的事情。runas.exe 在将格式错误的用户名传递给后端之前向我显示了错误消息。所以,对我来说,runas.exe 正在做正确的输入验证。

如果您仍然认为UI前端没有错误,请您解释一下允许最终用户输入格式错误的用户名然后在屏幕上显示的目的吗?

谢谢,哈维

2012 年 10 月 3 日上午 - MS 支持回复

你好哈维,

我为延误道歉。我已将您的问题转发给我的 SME,这是他的答复:没有错误。UI 显示您键入的内容。后端解析字符串以确定域和用户名。由于 : 是非法字符,因此它可以正确执行此操作。

如果它澄清了您的问题,或者我是否可以进一步帮助您,请告诉我。

问候XXXXX

  • 杰出的努力和答案。我很遗憾我只有一个赞成票。(而且,FWIW,你激励我用其他“非法”字符测试这个。) (3认同)

归档时间:

查看次数:

1343 次

最近记录:

13 年,2 月 前
相关归档
AD 管理员帐户登录之谜 - 上次登录时间戳 14
将 Mac OS X 客户端与 Active Directory 集成的最佳方式 6
加入 Active Directory 域的计算机(本机 MS Windows 或带有 winbind 的 Linux)如何确定最近的密码服务器? 6
2008 R2 DC 拒绝将 w32tm 与外部 NTP 服务器同步 6
我需要导出域中所有用户的列表,但我不熟悉 DSQUERY 或 DSGET? 6
如何在 24 小时内作为服务监视 Windows Server 2012 上的 CPU 使用率和进程? 6
限制并发登录到 LDAP Linux 网络上的多个桌面? 5
我是否可以通过禁用 Internet 连接来登录锁定的活动目录帐户? 4
层次结构的 Active Directory 示例 3
Windows XP Pro 中非 MS 产品的多个 RDP 会话的 MS 许可 0
难疑归档
如何检查库是否已安装? 196
如何将 .cer 证书转换为 .pem? 140
如何更改 EC2 实例的安全组 120
如何让 apt-get 忽略某些依赖项? 118
是否可以在不重新启动硬件的情况下重新启动 Linux 操作系统? 90
syslog、rsyslog 和 syslog-ng 有什么区别? 67
每个系统管理员都应该阅读的最有影响力的书是什么? 66
Nginx + PHP-FPM 的 PHP 选项“cgi.fix_pathinfo”真的很危险吗? 63
如何使用 xauth 通过其他用户在 linux 上运行图形应用程序 55
第 3 层 LACP 目标地址哈希究竟是如何工作的? 53