这是 NTLM 功能,它会自动尝试与您输入的域名不同的域名。

这是 NTLM 功能,它会自动尝试与您输入的域名不同的域名。

我在一家小公司工作,这家公司隶属于一家大公司。我在母公司的域中有一个用户:DomainA\MyUser

现在我们买了自己的服务器,想要自己的域名。我在新域中创建了一个用户,用户名和旧用户名一样:DomainB\MyUser。这个用户是 的网络管理员DomainB

我的计算机仍在DomainA。当我以 身份登录时,我获得了新服务器(该服务器是 的域控制器且未连接到)上DomainA\MyUser的所有权限。DomainB\MyUserDomainBDomainA

即使我将其设置DomainB\MyUser为非活动状态也是如此。

这怎么可能??

[编辑 2010-07-06]

不适用于已禁用的用户DomainB。上次我尝试时忘记终止该用户的所有会话。

我使用远程桌面时的屏幕截图:http://www.enalog.se/files/index.html (死的)

细节:

  • NEMOQ_AD是旧域名。
  • ENALOG是新域名。
    • VOLDEMORT是 的域控制器ENALOG
  • Peter是用户

[编辑 2010-07-08]

当我输入用户为 时MyUser@DomainA,我无法登录。为什么它可以起作用DomainA\MyUser

答案1

这是 NTLM 功能,它会自动尝试与您输入的域名不同的域名。

屏幕截图中的每个登录都是用户ENALOG\Peter,而不是NEMOQ_AD\Peter

打字NEMOQ_AD\Peter,因为NEMOQ_AD不是信任域ENALOG。(见下文。)

NAMOQ_AD请注意,一旦连接到,您就看不到任何地方Voldemort

NTLM 直通身份验证

NTLM 支持一种称为传递身份验证。本文的重点在这里:(重点已添加)

  • 如果指定的域名不受域信任,身份验证请求在所连接的计算机上进行处理,就好像指定的域名就是该域名一样。NetLogon 不区分不存在的域、不受信任的域和错误输入的域名。

净共享使用示例

发生的情况如下:

  1. Voldemort接收验证用户的请求NEMOQ_AD\Peter
  2. Voldemort发现这NEMOQ_AD既不是它自己的域,也不是它信任的任何域。
  3. 伏地魔会尝试验证用户身份ENALOG\Peter
  4. 由于您输入了密码ENALOG\Peter(正如您在另一条评论中所说),因此身份验证成功。

一般而言

当您访问驱动器共享时,您必须使用 NTLM(任何使用 Kerberos 的尝试都会失败,因为ENALOG不信任NAMOQ_AD)使用直通身份验证,这允许您无需输入密码即可访问网络共享。这仅在您在两台计算机上使用同名帐户和相同密码时才有效。

回复 RDP

使用时输入密码远程桌面,它的行为就像您尝试以 而ENALOG\Peter不是 的身份登录NEMOQ_AD\Peter,并使用您输入的任何密码。这样,如果您输入Peter为您的用户名,本地计算机会发送,NEMOQ_AD\Peter因为这是它知道的唯一域,但远程计算机决定尝试ENALOG\Peter

回复 SSMS

我假设 SQL Server Management Studio 正在使用一种策略或另一种策略(可能是第二种),我不知道其实现的具体细节,也没有两个域可以对其进行测试。

答案2

这不可能。有些配置有误。

答案3

你能说得更具体一点吗?你获得相同权限是什么意思?你指的是文件和文件夹权限吗?你把 userB 帐户设置为不活动是什么意思?没有“不活动”这回事。你的意思是你将 userB 帐户设置为禁用吗?

答案4

斯蒂芬詹宁斯已经彻底回答了这个问题,但我只是出于好奇在想,在这种情况下单独域名的原因是什么?

有很多好的理由,但通常维护多个域名很麻烦,听起来好像不是任何人都能够管理它,而只是会产生与为特定人群维护多个域名相关的典型开销。

为什么不将新服务器纳入现有域,使用配置将其资源限制在您的公司。您需要访问母公司的资源吗?母公司管理员不受信任吗?

相关内容