Назад | Перейти на главную страницу

Пользователи XP могут разблокировать экран после блокировки учетной записи

Рабочие станции WinXP в домене Server 2008:

  1. Пользователь блокирует экран и оставляет компьютер на перерыв.
  2. Пользователь забывает свой пароль во время отсутствия.
  3. Пользователь делает серию недействительных попыток входа в систему, и его / ее учетная запись блокируется. XP отображает диалоговое окно, предупреждающее пользователя о том, что произошла блокировка.
  4. Пользователь игнорирует диалоговое окно и делает дополнительные попытки входа в систему, внезапно вспоминая свой правильный пароль.
  5. Windows XP позволяет пользователю разблокировать экран с помощью правильного пароля, несмотря что учетная запись пользователя теперь заблокирована на контроллерах домена.
  6. В конце концов пользователь звонит в службу поддержки, чтобы пожаловаться на невозможность печати или доступа к сетевым дискам.

Мы были немного шокированы, обнаружив, что Windows позволяет пользователям с заблокированными учетными записями разблокировать свои экраны, несмотря на то, что при каждой попытке аутентификации он поражает контроллер домена и, таким образом, генерирует событие блокировки.

При текущем сценарии может показаться, что можно угадать неограниченное количество паролей на любой станции Windows XP, экран которой заблокирован. Это нежелательно.

Есть ли способ заставить Windows XP соблюдать блокировку учетной записи и запрещать доступ до тех пор, пока учетная запись не будет разблокирована?

Это по дизайну и выглядит довольно логично. Если учетная запись пользователя заблокирована на контроллере домена, пользователи больше не могут входить в систему с учетной записью домена.

Но на заблокированной рабочей станции вся авторизация (поскольку нет попыток доступа к каким-либо ресурсам, например, к общему файлу, для которых требуется проверка учетных данных нового домена) выполняется локальной системой безопасности, поскольку локальная система доверяет таким пользователям (уже проверенным и авторизованным AD) .

Таким образом, для этой системы безопасности незаблокированной рабочей станции такие пользователи все еще являются законными, но они не могут получить доступ к любому ресурсу с аутентификацией домена (принтер / сетевой диск), потому что учетная запись уже заблокирована.

Ограничение кешированных учетных данных в Windows:

Чтобы заставить рабочую станцию ​​обращаться к контроллеру домена при разблокировке, установите для параметра «Конфигурация компьютера», «Параметры Windows», «Локальная политика», «Параметры безопасности» «Интерактивный вход в систему: требуется проверка подлинности контроллера домена для разблокировки рабочей станции» значение «Включено».

Разве это не означает, что необходимо изменить политику блокировки локальной учетной записи?

(Сейчас я не могу публиковать комментарии. Хорошо, спасибо, я их прочту. Могу я удалить этот, о вы, нубы, топчущиеся?)

Серьезно, поразмыслив, я думаю, что этот пост был отклонен как слишком простой, а пост Сергея был отклонен за непонятность.