我已经要求坐在我旁边的管理员更改我的密码并禁用我的帐户。他 15 分钟前就这么做了,而我仍在浏览网络共享。我还没有注销,但我想知道如果我不注销或锁定我的电脑,我还能做我正在做的事情多久?
此外,我们的旅行销售人员每次都会离开办公室数周。他们的计算机已连接到域,但当他们外出时,他们只会偶尔使用 Windows VPN 连接连接到网络以访问文件 - 如果我们禁用其中一个,那么在他们仍在旅途中时,他们要等多久(或需要做什么)才能无法登录到他们的计算机。
HR 不会喜欢这个...
(Windows 7、Server 2008 R2)
答案1
在 AD 环境中,托管文件共享的服务器实际上正在接受在您登录时通过身份验证时向您的会话颁发的 Kerberos 票证及其所有授权。这样,文件服务器不必每次都联系域控制器来访问它。它信任票证。事实上,似乎没有强制撤销 Kerberos 票证,这似乎是 Kerberos 工作方式所固有的。
http://msdn.microsoft.com/en-us/library/cc233947.aspx
此外,最近还有一篇文章对此进行了介绍:
这些票的有效期为 10 小时,MSDN 文章中的解决方法似乎只能阻止访问新的同一域中 20 分钟后的资源。
就 VPN 用户而言,在正常使用情况下,尽管它可能取决于您的 VPN 架构,但 Kerberos 票证将在身份验证时发出,因此在正常情况下,如果他们尚未使用最近(几个小时)发出的票证以某种方式连接到域,则将不允许他们访问。
博客文章的第二个链接可能有点夸大其词,我确信我曾见过有人在我禁用他们几分钟后失去访问权限 --- 尽管他们的票可能已经快要过期了。但这确实让我很困扰,因为昨天有几次我被告知要禁用用户对所有内容的访问权限,在某些环境中,这是很关键的。