Назад | Перейти на главную страницу

Записи кэша LSA - NTLM против поставщиков проверки подлинности Windows с согласованием

У нас возникла ситуация из-за недавнего изменения имени сотрудника, когда свойство HttpContext.Current.User.Identity.Name веб-приложения ASP.NET преобразуется в старое имя пользователя. Это обсуждалось очень подробно Вот, Вот, и опять Вот. Сброс LsaLookupCacheMaxSize для функции LsaLookupSids на ноль, очевидно, решит эту проблему.

Для нас странно то, что из множества имеющихся у нас веб-приложений (все интрасети - проверка подлинности Windows - IIS 7.5 - ASP.NET) единственное, которое запрещает доступ недавно переименованным сотрудникам, - это то, у которого поставщик Negotiate находится над NTLM в Список поставщиков проверки подлинности Windows IIS.

Веб-сайты с NTLM наверху не имеют этой проблемы.

У меня вопрос: Обходит ли NTLM кэш LSA SID на веб-серверах и выполняет ли проверку подлинности напрямую с помощью контроллера домена?