Quanto tempo até desabilitar um usuário conectado entra em vigor?


2

Perguntei ao administrador sentado ao meu lado para alterar minha senha e desativar minha conta. Ele fez isso 15 minutos atrás e eu ainda estou navegando pelas ações da rede. Ainda não fiz logoff, mas quero saber por quanto tempo poderei fazer o que estou fazendo se eu não fizer logoff ou bloquear meu computador?

Além disso, nossos vendedores ambulantes estão fora do escritório por semanas a fio. Suas máquinas estão conectadas ao domínio, mas quando estão fora, elas só se conectam à rede para acessar arquivos ocasionalmente usando uma conexão VPN do Windows - se desativarmos um deles, por quanto tempo (ou o que precisa acontecer) até que eles estejam incapazes de fazer logon em suas máquinas enquanto ainda estão na estrada.

HR não vai gostar disso ...

(Windows 7, Server 2008 R2)

Respostas:


0

Em um ambiente AD, os servidores que hospedam seus compartilhamentos de arquivos estão, na verdade, aceitando o tíquete Kerberos que foi emitido para sua sessão com todas as suas autorizações quando você foi autenticado no login. Dessa forma, os servidores de arquivos não precisam entrar em contato com o controlador de domínio sempre que acessarem o mesmo. Ela confia no ingresso. O fato de que não parece haver nenhuma imposição de revogação de tickets do Kerberos parece ser inerente à maneira como o Kerberos funciona.

http://msdn.microsoft.com/pt-br/library/cc233947.aspx

Além disso, este artigo recente escrito sobre isso:

http://www.aorato.com/blog/windows-authentication-flaw-allows-deleteddisabled-accounts-access-corporate-data/

Os tíquetes podem permanecer válidos por 10 horas e a solução alternativa no artigo do MSDN parece apenas impedir o acesso a Novo recursos após 20 minutos no mesmo domínio.

No que diz respeito aos usuários de VPN, em um caso de uso normal, embora possa depender da arquitetura da VPN, o tíquete do Kerberos seria emitido durante a autenticação, portanto, em circunstâncias normais, eles não teriam acesso se já não estivessem conectado ao domínio de alguma forma com um bilhete recentemente (poucas horas) emitido.

Esse segundo link para o artigo do blog maio tenho uma sugestão de hype para isto, e eu estou bastante seguro eu tenho visto as pessoas perderem acesso a coisas minutos depois que eu os incapacitei. embora o ingresso deles / delas pudesse ter estado a ponto de expirar de qualquer maneira. Isso me incomoda, porque houve algumas vezes que me disseram para desativar o acesso de um usuário a tudo ontem e, em alguns ambientes, isso é crítico.


Parecia um pouco mais e você pode pelo menos reduzir a vida útil máxima do ticket do usuário: technet.microsoft.com/en-us/library/cc739765(v=ws.10).aspx & lt; - o artigo é para o servidor 2003, mas acabei de verificar que a configuração ainda está em 2008 R2.
Dawn Benton
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.