我為一家大公司擁有的小公司工作。我在母公司的域中有一個使用者：DomainA\MyUser.

現在我們已經購買了自己的伺服器並想要我們自己的域。我在新域中創建了一個使用者，使用者名與舊使用者名相同：DomainB\MyUser. 此使用者是 中的網路管理員DomainB。

我的電腦還在DomainA。當我以 身份登錄時DomainA\MyUser，我獲得DomainB\MyUser了新伺服器上的所有權限（它是 的域控制器，DomainB但未連接到DomainA）。

即使我設置DomainB\MyUser為非活動狀態。

這怎麼可能？？

$$ EDIT 2010-07-06 $$

不適用於DomainB. 最後，當我嘗試時，我忘記為使用者殺死所有會話。

我使用遠端桌面時的截圖：http ://www.enalog.se/files/index.html （死）

細節：

• NEMOQ_AD是舊域。

• ENALOG是新域。

  • VOLDEMORT是 的域控制器ENALOG。

• Peter是使用者

$$ EDIT 2010-07-08 $$

當我將使用者鍵入為時MyUser@DomainA，我無法登錄。為什麼它可以使用DomainA\MyUser？

這是一個 NTLM 功能，它會自動嘗試與您輸入的域名不同的域名。

螢幕截圖中的每個登錄都是使用者ENALOG\Peter，而不是NEMOQ_AD\Peter。

您輸入domain並不重要NEMOQ_AD\Peter，因為NEMOQ_AD它不是一個ENALOG信任的域。（見下文。）

請注意，NAMOQ_AD一旦您連接到Voldemort.

NTLM 直通身份驗證

NTLM 支持稱為傳遞身份驗證的東西。文章的重要一點在這裡：（強調添加）

• 如果指定的域名不受域信任，則在所連接的電腦上處理身份驗證請求，就好像指定的域名是該域名一樣。NetLogon 不區分不存在的域、不受信任的域和鍵入錯誤的域名。

您的淨份額使用範例

正在發生的事情如下：

1. Voldemort接收對使用者進行身份驗證的請求NEMOQ_AD\Peter。
2. Voldemort看到NEMOQ_AD它既不是它自己的域，也不是它信任的任何域。
3. Voldemort 嘗試對使用者進行身份驗證ENALOG\Peter。
4. 由於您輸入了密碼ENALOG\Peter（正如您在另一條評論中所說），身份驗證成功。

回覆。一般淨股份

當您訪問驅動器共享時，您必須使用傳遞身份驗證使用 NTLM（任何使用 Kerberos 的嘗試都會失敗，因為ENALOG不信任），這使您無需輸入密碼即可訪問網路共享。NAMOQ_AD這僅在您在兩台機器上使用具有相同密碼的同名帳戶時才有效。

回覆。RDP

當您在使用Remote Desktop時輸入密碼時，它的行為就像您嘗試使用您輸入的任何密碼ENALOG\Peter而不是嘗試登錄一樣NEMOQ_AD\Peter。這樣，如果您輸入Peter您的使用者名，本地電腦就會發送NEMOQ_AD\Peter，因為那是只有它知道的域，但遠端電腦決定嘗試ENALOG\Peter。

回覆。SSMS

我假設 SQL Server Management Studio 正在使用一種策略或另一種策略（可能是第二種策略），我不知道其實現的確切細節，也沒有兩個域來測試它。

引用自：https://serverfault.com/questions/157583