标签: windows-authentication

我已将公司的所有用户的 UPN 后缀从us.mycompany.local更改为mycompany.com，以便使用声明感知应用程序。在更改之前的测试中，我发现即使我更改了 UPN 后缀，用户也可以使用旧后缀成功进行身份验证。我不明白的是为什么这仍然有效。

我的实验

• 所以我用两台电脑建立了一个简单的网络。两者都在同一个工作组中。
• 我在计算机 1 中创建了一个密码为“A”的本地用户“A”。
• 然后我在计算机 2 上创建了一个相同的命名本地用户 'A'，密码为 'A'。

我的观察

• 我注意到，当我在计算机 2 中以“A”身份登录时，我可以在计算机 1 中以“A”身份进行网络访问。例如，浏览“A”共享文件夹时。

我的想法

• 这具有讽刺意味，尽管它们的名称相同，但它们实际上是两台不同计算机上的两个不同 LOCAL 用户！
• 这对我来说可能是一个安全隐患。如果碰巧一个人在计算机 2 中拥有相同的用户名和密码，从而错误地访问了计算机 1，该怎么办？

我的问题：

• 这种用户名和密码的共享称为什么？
• 如何在同一网络上的两台 Windows PC 之间使用相同的名称和身份验证？
• 我们如何启用/禁用在两台计算机之间共享相同的本地用户名和密码？

我也意识到这在 DCOM 调用期间也有效。

谢谢你的任何答案

我只想知道，如果我在 Windows 客户端（XP 或 7）和域控制器（Window Server 2008 R2）之间放置防火墙，需要打开哪个端口

请注意它是在客户端和 DC 之间，而不是在 DC 到 DC 之间

我在谷歌上搜索过，但在谷歌中，我得到的答案是在客户端之间以及从 DC 到 DC。

根据我的发现，我需要打开。

1. 用于 Kerberos 身份验证的 TCP 和 UDP 端口 88
2. LDAP 的 TCP 和 UDP 389
3. SMB/CIFS/SMB2 的 TCP 和 UDP 445
4. 用于 Kerberos 密码更改的 TCP 和 UDP 端口 464
5. 全局编录的 TCP 端口 3268 和 3269
6. 用于 DNS 的 TCP 和 UDP 端口 53
7. TCP 和 UDP 动态 - 1025 到 5000 (Windows Server 2003) & 从 49152 开始到 65535 (Windows Server …

我有一个使用Windows 身份验证的 Intranet 站点。当系统提示用户输入凭据时，他们输入：

User: domain\username
Pass: SomePassword

如果他们可以省略domain\将用默认域填充的部分，那就太好了。我愿意放弃使用服务器/机器帐户（非域）登录的能力，因为无论如何我们都不使用它。

这似乎可以通过 BasicAuth 实现，但我似乎无法找到有关如何使用 WindowsAuth 执行此操作的参考。

我知道我们可以通过编辑以下 about:config 设置来允许 Firefox 允许传递 Windows 凭据

--If using Kerberos--
network.negotiate-auth.trusted-uris
network.negotiate-auth.delegation-uris

--If using NTLM--
network.automatic-ntlm-auth.trusted-uris

并在 Chrome 中通过添加命令行开关

-–auth-negotiate-delegate-whitelist="*example.com"

然而，在公司范围内，这两者都难以管理。有没有人对这个问题有什么好的解决方案？

我有一个从我的计算机托管的测试环境。我已经配置了一个外部开关，以便其他人可以访问它。Windows 8 企业版和 Hyper-V 管理器版本：6.2.9200.16384

如果我们看一下 Hyper-V 管理器的内部，我们可以看到我们有：“Hyper-V 管理器”，在它下面我们有到本地机器的连接。我们还可以通过连接服务器来添加新连接。

我尝试连接到域中的另一台本地计算机，但收到以下错误消息：

"尝试连接到服务器“名称”时出错。请检查虚拟机管理服务是否正在运行以及您是否有权连接到服务器。 "

服务正在运行，我需要什么样的授权？（我可以看到网络中的另一台机器）。

我很感谢所有的帮助！

致力于在 AD 环境中一起摆脱 NTLM V1 登录；发现了很多事件，几乎所有事件都来自用户“匿名登录”（4624 个事件），其他 1（4624 个事件）来自一些用户。所以，在这里我有一些问题。

• 禁用“匿名登录”（通过 GPO 安全设置）还是阻止“NTLM V1”连接更好？两者中的一个或两个的风险是什么？这些登录事件主要来自其他 Microsoft 成员服务器。
• 匿名登录是否 100% 使用“NTLM V1”？即如果我看到匿名登录，我可以假设它肯定使用 NTLM V1 吗？
• 匿名登录事件 540 和 4624 之间究竟有什么区别？-> 注意：功能级别为 2008 R2

如果需要任何其他信息，请告诉我。

我有一个基于 Win 2008 AD 的网络。我想用双启动 Win/Linux 设置几个盒子。如何在 Linux 中使用现有 AD 对用户进行身份验证？

所有解决方案 - 我还没有找到 - 将 linux 盒子加入域。我认为，在双引导和客户端的相同 netbios 名称的情况下，这是一个问题。有没有不加入域的可能性？

主目录应该在 nfs4 服务器（linux）上，所以我需要 kerberos。

哪些解决方案是可能的，哪些是最稳定的？

感谢您的任何建议！

塞普·霍夫鲍尔

我找到了各种谷歌结果，但似乎没有一个能解决我的问题。

我正在工作中设置一个新的 WINDOWS 2008 R2 框，它是通过我们内部网中在 IIS 7.5 中运行的 Web 工具与现有的 SQL 2012 框进行通信。我们要通过out-IE->Web Server->SQL来使用windows身份验证。我们正在使用 Kerberos。在 Web 服务器上本地查看该工具时，一切正常，但是一旦我尝试在远程客户端上查看它，我就会收到“用户‘NT AUTHORITY\ANONYMOUS LOGON’登录失败”的错误消息。

让我分解一下我们如何拥有网站 - 在经典模式下运行 .NET 2.0 的应用程序池，身份为 ApplicationPoolIdentity Windows 身份验证已启用，扩展保护设置为关闭，启用内核模式身份验证被选中，启用的提供程序是（按顺序）协商和 NTLM。ASP.NET 模拟已启用设置为模拟为经过身份验证的用户。

SQL 连接字符串采用以下格式：

Data Source=THESQLBOXNAME;Initial Catalog=DATABASENAME;Integrated Security=True

我有一个放置在 Web 服务器上的测试页（按照上述设置），它显示以下数据：

HttpContext.Current.User.Identity.IsAuthenticated 是真的

HttpContext.Current.User.Identity.Name 是预期用户（启动浏览器的用户）

System.Security.Principal.WindowsIdentity.GetCurrent.Name 是预期的用户

我尝试对 sql 框进行基本的 sql 查询并得到上面提到的登录错误。

我已检查 AD 并验证 Web 框是否已设置委托 - “仅信任此计算机以委托给指定的服务/仅使用 Kerberos”

我已经在运行 IIS 7.5（具有上述相同设置）的现有 WINDOWS 2008 R2 机器上运行了此测试页，但没有出现任何错误。

我检查了两个网络框的 SPN 设置，它们是相同的（机器名称除外）：

setspn -L EXISTINGBOX

WSMAN/EXISTINGBOX.domain.com
WSMAN/EXISTINGBOX
TERMSRV/EXISTINGBOX.domain.com
TERMSRV/EXISTINGBOX
HOST/EXISTINGBOX.domain.com
HOST/EXISTINGBOX
RestrictedKrbHost/EXISTINGBOX.domain.com
RestrictedKrbHost/EXISTINGBOX …

我想清除用户在远程机器上存储的凭据。无需让用户登录并打开 Cred 管理器 GUI 或在他们登录的情况下运行 CMDKEY。

用户配置文件下的文件系统上是否有存储凭据的位置？我可以通过这种方式将它们从文件系统中删除以清除其他用户的缓存凭据吗？