Quel est le sens de la connexion en tant que "nomutilisateur@mondomaine.com: quelque chose"

35

Ma machine Windows 2008 R2 est jointe à un domaine.

Dans l'écran de connexion, si je tape "nomutilisateur@mondomaine.com: quelque chose" comme nom d'utilisateur, je peux toujours me connecter correctement. Quelle est la signification de ": quelque chose" ajouté à la fin?

Je peux même voir que l’utilisateur actuel s’affiche sous la forme "username@mydomain.com: quelque chose" sur l’écran de changement d’utilisateur. Est-ce une fonctionnalité de Windows? Ou est-ce juste un bug? S'il s'agit d'une fonctionnalité, quelle est la différence entre une connexion en tant que "nomutilisateur@mondomaine.com" et une connexion en tant que "nomutilisateur@mondomaine.com: quelque chose"?

Notez que j'ai essayé différentes combinaisons telles que "mydomain \ username: quelquechose" et "mydomain.com:something\username". Aucun d'entre eux ne fonctionne sauf "nomutilisateur@mondomaine.com: quelque chose".

Mise à jour du 10 septembre 2012

Le problème RunAs soulevé par Justin est similaire mais pas tout à fait identique au problème que je souhaite résoudre. Si tu fais

runas /user:username@mydomain.com:anything

tu auras

RUNAS ERROR: Unable to acquire user password

J'ai vérifié que RunAs ne se donnait même pas la peine d'appeler LSA username@mydomain.com:anythingsous le nom d'utilisateur. RunAs aurait dû effectuer la validation des entrées et y retourner une erreur.

WinLogon est différent. Il accepte ce format d'entrée et passe le "nomutilisateur@mondomaine.com: n'importe quoi" dans LSA. Je vois que l' LogonUserEx2intérieur kerberos.dll s'est appelé. C'est soit il y a un bogue dans la logique de validation d'entrée WinLogon soit c'est vraiment un format acceptable pour certaines fonctionnalités cachées.

Mise à jour du 26 septembre 2012

Je viens de soumettre un cas au support technique de Microsoft Premier. Je mettrai à jour ici si je reçois une mise à jour de leur part.

active-directory  windows-server-2008-r2  domain  login 
Harvey Kwok
source
5
C'est intéressant.
Shane Madden
Est-ce que ": quelque chose" peut être ": n'importe quoi"? On dirait que Windows le traite comme un numéro de port ou une extension, très étrange.
Brent Pabst le
2
Fou. Je viens de tester cela et il est possible de créer un suffixe UPN de domain.tld: n'importe quoi et de vous connecter au domaine avec cet UPN.
joeqwerty
1
Si je le fais, runas /user:"jdearing@domain.com:something" "cmd /C dir c:\ & pause"cela retourne RUNAS ERROR: Impossible d’acquérir le mot de passe de l’utilisateur , contrairement au 1326: échec d’ouverture de session normal : nom d’utilisateur inconnu ou mot de passe incorrect. pour un login échoué.
Justin Dearing
2
Pour votre information: également postée sur les forums TechNet, je ne sais pas si l’équipe Windows l’y verra ou non: bit.ly/UF94GQ
Brent Pabst

Réponses:

13

J'ai ouvert un cas avec le support Microsoft Premier. Voici le courrier électronique entre moi et le support technique Microsoft. Ils disent essentiellement que c'est un problème connu. Ce n'est pas un bug et ce n'est pas une fonctionnalité.

Le système dorsal analysera le nom d'utilisateur et supprimera les caractères non autorisés correctement. Le serveur frontal ne procède à aucune validation de l'interface utilisateur, car il peut exister une autre interface utilisateur de connexion tierce. Leur exigence sur le nom d'utilisateur peut être différente. Je pense qu'ils font référence aux fournisseurs de références de tiers.

05 octobre 2012 matin

Je viens d'avoir l'appel avec l'un de leurs ingénieurs. Expliquez-lui à nouveau tout le problème. Il est à peu près sûr que cela :somethingn'a pas de signification particulière en interne à ce jour, mais il ne peut garantir que cela pourrait vouloir dire quelque chose à l'avenir.

Cependant, il n'a pas de code source pour le confirmer. Il va envoyer un email à quelqu'un d'autre avec le code source pour le confirmer.

03 octobre 2012 nuit - ma réponse

Merci pour l'info. Cependant, j'ai essayé d'autres personnages illégaux, comme; et |

L’UI de connexion peut détecter cela avec succès et me dire que mon nom d’utilisateur ou mes mots de passe ne sont pas corrects.

Si le serveur principal ne fait vraiment aucune validation d'entrée et que le serveur principal peut vraiment supprimer tous les caractères illégaux, pourquoi l'interface utilisateur de Logon ne me permet-elle pas de me connecter en tant que Harvey@company.com|something ou Harvey@company.com; quelque chose mais Harvey@company.com: quelque chose.

Ce comportement étrange ne se produit que sur “:”.

-Harvey

03 oct 2012 après-midi - Réponse du support technique MS

Bonjour Harvey,

Il n'y a pas de bogue dans la validation du front-end car le front-end n'effectue aucune validation. La validation est effectuée une fois que vous avez entré vos informations d'identification et essayé de vous connecter. La validation est effectuée en arrière-plan et l'erreur correspondante est affichée.

La raison pour ne pas effectuer de validation avant est due au fait que d'autres UIO de connexion tiers sont utilisés et que l'obligation de travailler et d'authentifier un utilisateur peut être différente. Certaines interfaces utilisateur peuvent nécessiter le nom d'utilisateur au format diff. Par conséquent, effectuer une validation lorsque l'utilisateur entre les informations d'identification fractionnera ces interfaces utilisateur.

Comme pour Backend, chaque interface utilisateur appelle les API d’authentification backend, quelle que soit l’interface utilisateur présente dans le serveur frontal. Donc, pour effectuer la validation dans le backend assure une authentification correcte

Cordialement XXXX

03 octobre 2012 après-midi - ma réponse

Je comprends l'explication de la gestion différente en front-end et back-end, car je suis également programmeur.

Cela ressemble donc à un bogue mineur dans la logique de validation des entrées d’interface utilisateur frontale bien qu’il n’y ait pas de bogue dans le back-end.

Notez que j'ai aussi essayé de faire la même chose en utilisant runas.exe. Le runas.exe m'a montré le message d'erreur avant de transmettre le nom d'utilisateur mal formé au back-end. Donc, pour moi, runas.exe effectue la validation d'entrée correcte.

Si vous pensez toujours qu'il n'y a pas de bogue dans l'interface utilisateur, pouvez-vous expliquer le but de permettre à l'utilisateur final de saisir un nom d'utilisateur mal formé et de l'afficher ensuite à l'écran?

Merci, Harvey

03 octobre 2012 au matin - Réponse du support technique MS

Bonjour Harvey,

Je vous prie de m'excuser pour le retard. J'avais transmis votre question à mon PME et voici sa réponse: pas de bug. l'interface affiche ce que vous avez tapé. Le serveur analyse la chaîne pour déterminer le domaine et le nom d'utilisateur. Il le fait correctement puisque: est un caractère illégal.

S'il vous plaît laissez-moi savoir si cela clarifie vos questions ou si je peux vous aider davantage.

Cordialement XXXXX

Harvey Kwok
source
3
Effort exceptionnel et réponse. Je regrette de n'avoir qu'un vote positif pour donner ceci. (Et, FWIW, vous m'avez inspiré pour tester cela avec d'autres personnages "illégaux".)
HopelessN00b
J'adore quand je traite avec un fournisseur et que je reçois une série de réponses évasives comme celle-ci. J'aime particulièrement la comparaison avec le comportement des runas, et l'incohérence évidente où seul ce "caractère illégal" spécifique est supprimé (et apparemment tout ce qui suit aussi ...). Mais excellent travail pour contacter MS. Au moins, vous n'aviez pas à les convaincre que 0,002c! = 0,002 $ :)
Jon Kloske
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.