Комментарии 22
Ерунда какая то, проверил на всех WIN ОС, нельзя войти после смены пароля под старым
Наверное, зумеры открыли, что если станция не синхронизируется с доменом,а пароль был изменен в AD , то действительно, стрый пароль на несинхронизированной станции будет работать
Напугали с утра
Недавно пароль поменял у облачной учётной записи Microsoft, которая используется в Windows 11 pro, обновил пароль следом в rdp-клиентах на телефоне и планшете. С новым паролем подключиться к своему компьютеру не удавалось, а с старым без проблем. Через несколько дней старый пароль перестал подходить.
Вы проверяли именно с онлайн учёткой?
Проблема находится на стыке онлайна и оффлайна.
Вообще, это далеко не первая проблема с сочетанием "онлайн-учётка + RDP". Например, если используется беспарольный вход, то RDP не будет работать вовсе, т.к. Windows не с чем сравнить пароль.
Плохо проверил, можно.
Как именно, давайте разбираться
Начнем с того у вас учётные записи Microsoft?
Речь об этом.
Нет, все локальные и доменные
Ну вот поэтому вы и не увидели такой проблемы.
Ну будем надеяться что в корпоративной инфраструктуре никто учетные записи майкрософт не ипользует. Недавно кстати узнал, что если сотруднику заблокировать корпоративную почту в Яндекс 360 для Бизнеса, а у него стоит пересылка на личную почту, то все письма продолжат приходить ( на личную уже, включая общие рассылки компании)
-корпоративной системе
Корпоративной системе используется не доменная учётка а облачная с почтой на hotmail?
Какая-то странная у вас корпорация. В домене, на сколько помню время работы за кэша пароля настраивается групповым политиками. А сценарий если не синхронизируются - подозреваю что можно и это настроить. Другое дело что, в случае потери связанности, придётся подключаться как он суде и разруливать проблему. Если это корпорация то, как правило есть виртуализация и возможность подключения консоли или о ilo. А если это просто домашняя машинка и вы хотите подключиться с дачи в квартире? Для корпорации это только один этап защиты обычно. Есть ещё и например VPN и 802 1X. Дома я тоже предпочёл бы развернуть vpn сервер на роутере.
Корпоративной системе используется не доменная учётка а облачная
Ну как бы, да, azure ad для этого и сделан. Почта там, конечно, не на hotmail, но сама корпоративная учетка вполне себе и доменная и облачная, со всеми прелестями в виде задержек репликации azure ad->on-premise ad и десинков при смене паролей.
опция удал`нного
У вас очепятка в самом начале.
Я пошёл, почитал источники, и последил за чуваком, который это написал. Ничего так, живой чувак, не чат-бот. Пишет он неплохо, но немного натянуто. Ввиду своей профессии (он изначально секьюролог, а ныне - журналист) любит раздувать уток до размера среднестатистического бегемота.
У меня тут вот какой вопрос: "Зачем?"
Как бы домен на винде администрил достаточно давно и долго.
Если у кого-то угоняют учётку, то первым делом убивался аккаунт, а не сбрасывался пароль. После, у меня, чисто для себя, был написан скриптик на повершелле, который принудительно выгонял пользователя со всех RDP сессий.
Окружение, в котором нет постоянного доступа к контроллеру домена, подразумевает, что будут случаться подобные курьёзы. Поэтому, есть такая специальность: Архитектор. Он знает про подобные вещи, и выдумывает системы, в которых можно обойти эти проблемы.
У пользователя есть доступ к удалённому серваку по RDP. Вы отзываете пароль. Ну покажите мне администратора, который этим пользуется. В системах, которые я админил, подобный инцидент был бы в разряде - блокируешь учётку, а служба ИБ идёт с разговором к несчастному.
Если я узнал, что кто-то перехватил пароль моего пользователя - то начинался трёхдневный марафон по издевательству над пользователем, который позволил этот пароль перехватить. У меня не было идеи "Ой, ну щас скину пароль, а хакеры, наверное, сами уйдут, когда увидят, что пароль скинут".
У меня тут вот какой вопрос: "Зачем?"
По принципу "сделай что-то хорошее и говори об этом".
Чувак выяснил, что пароль, изменённый или отозванный в Azure AD не синхронизуется с локальной SAM, где он в первую очередь проверяется. Новое прочтение старой фичи с учётом актуальной облачности.
Мне влом искать, но хочется спросить:
А как часто он не синхронизируется и почему?
Опять же, я получил сертификат сисадмина в Майкрософте в 2005 году. На первом уроке мы обсуждали тот факт, что сервера должны синхронизироваться и как разрешаются конфликты.
Тот факт что сервер может быть Out of Sync - это ожидаемый факт, который любой админ винды должен знать. Не раз и не сто раз приходилось мне прощупывать протоколы, чтобы понять с каким контроллером домена синхронизируется тот или иной сервер и почему Юзерь 1 может залогинится с компьютера на пятом этаже, но не может на шестом.
У тебя есть выбор при отключении центрального контроллера. Либо обвалить всех? Либо дать им поработать пока админ настраивает сеть.
"И тааак сойдёёёт" - это девиз Майкрософт?
Windows RDP позволяет входить в систему по отозванному паролю, Microsoft это устраивает, в компании не считают это багом