Windows-Server-2008

兩個 Windows Server 域,兩個使用者,相同的權限

  • April 18, 2017

我為一家大公司擁有的小公司工作。我在母公司的域中有一個使用者:DomainA\MyUser.

現在我們已經購買了自己的伺服器並想要我們自己的域。我在新域中創建了一個使用者,使用者名與舊使用者名相同:DomainB\MyUser. 此使用者是 中的網路管理員DomainB

我的電腦還在DomainA。當我以 身份登錄時DomainA\MyUser,我獲得DomainB\MyUser了新伺服器上的所有權限(它是 的域控制器,DomainB但未連接到DomainA)。

即使我設置DomainB\MyUser為非活動狀態。

這怎麼可能??

$$ EDIT 2010-07-06 $$

不適用於DomainB. 最後,當我嘗試時,我忘記為使用者殺死所有會話。

我使用遠端桌面時的截圖:http ://www.enalog.se/files/index.html (死)

細節:

  • NEMOQ_AD是舊域。

  • ENALOG是新域。

    • VOLDEMORT是 的域控制器ENALOG
  • Peter是使用者

$$ EDIT 2010-07-08 $$

當我將使用者鍵入為時MyUser@DomainA,我無法登錄。為什麼它可以使用DomainA\MyUser

這是一個 NTLM 功能,它會自動嘗試與您輸入的域名不同的域名。

螢幕截圖中的每個登錄都是使用者ENALOG\Peter,而不是NEMOQ_AD\Peter

輸入domain並不重要NEMOQ_AD\Peter,因為NEMOQ_AD它不是一個ENALOG信任的域。(見下文。)

請注意,NAMOQ_AD一旦您連接到Voldemort.

NTLM 直通身份驗證

NTLM 支持稱為傳遞身份驗證的東西。文章的重要一點在這裡:(強調添加)

  • 如果指定的域名不受域信任,則在所連接的電腦上處理身份驗證請求,就好像指定的域名是該域名一樣。NetLogon 不區分不存在的域、不受信任的域和鍵入錯誤的域名。

您的淨份額使用範例

正在發生的事情如下:

  1. Voldemort接收對使用者進行身份驗證的請求NEMOQ_AD\Peter
  2. Voldemort看到NEMOQ_AD它既不是它自己的域,也不是它信任的任何域。
  3. Voldemort 嘗試對使用者進行身份驗證ENALOG\Peter
  4. 由於您輸入了密碼ENALOG\Peter(正如您在另一條評論中所說),身份驗證成功。

回覆。一般淨股份

當您訪問驅動器共享時,您必須使用傳遞身份驗證使用 NTLM(任何使用 Kerberos 的嘗試都會失敗,因為ENALOG不信任),這使您無需輸入密碼即可訪問網路共享。NAMOQ_AD這僅在您在兩台機器上使用具有相同密碼的同名帳戶時才有效。

回覆。RDP

當您在使用Remote Desktop時輸入密碼時,它的行為就像您嘗試使用您輸入的任何密碼ENALOG\Peter而不是嘗試登錄一樣NEMOQ_AD\Peter。這樣,如果您輸入Peter您的使用者名,本地電腦就會發送NEMOQ_AD\Peter,因為那是只有它知道的域,但遠端電腦決定嘗試ENALOG\Peter

回覆。SSMS

我假設 SQL Server Management Studio 正在使用一種策略或另一種策略(可能是第二種策略),我不知道其實現的確切細節,也沒有兩個域來測試它。

引用自:https://serverfault.com/questions/157583