Was bedeutet es, sich als "Benutzername@meinedomain.com: etwas" anzumelden?

35

Mein Windows 2008 R2-Computer ist einer Domäne beigetreten.

Wenn ich auf dem Anmeldebildschirm "Benutzername@meinedomäne.com: etwas" als Benutzernamen eingebe, kann ich mich trotzdem ordnungsgemäß anmelden. Was bedeutet ": etwas", das am Ende angehängt wird?

Ich kann sogar sehen, dass der aktuelle Benutzer als "Benutzername@meinedomain.com: Etwas" auf dem Bildschirm "Benutzer wechseln" angezeigt wird. Ist es eine Funktion in Windows? Oder ist es nur ein Fehler? Wenn es sich um eine Funktion handelt, was ist der Unterschied zwischen der Anmeldung als "Benutzername@meinedomäne.com" und der Anmeldung als "Benutzername@meinedomäne.com: etwas"?

Beachten Sie, dass ich verschiedene Kombinationen ausprobiert habe, wie "MeineDomäne \ Benutzername: Etwas" und "MeineDomäne.com: Etwas \ Benutzername". Keiner von ihnen funktioniert außer "username@mydomain.com: something".

10. September 2012 Aktualisierung

Das von Justin angesprochene RunAs-Problem ist ähnlich, entspricht aber nicht genau dem Problem, das ich lösen möchte. Wenn Sie tun

runas /user:username@mydomain.com:anything

Sie erhalten

RUNAS ERROR: Unable to acquire user password

Ich habe überprüft, dass RunAs sich nicht einmal die Mühe macht, LSA aufzurufen, wenn er username@mydomain.com:anythingals Benutzername verwendet wird. RunAs sollte die Eingabevalidierung durchgeführt haben und dort einen Fehler zurückgeben.

WinLogon ist anders. Es akzeptiert dieses Eingabeformat und übergibt "Benutzername@meinedomäne.com: alles" an LSA. Ich sehe, dass die LogonUserEx2innere kerberos.dll aufgerufen wurde. Entweder liegt ein Fehler in der Eingabevalidierungslogik von WinLogon vor, oder es ist wirklich ein akzeptables Format für einige verborgene Funktionen.

26. September 2012 Aktualisierung

Ich habe gerade einen Fall beim Microsoft Premier Support eingereicht. Ich werde hier aktualisieren, wenn ich ein Update von ihnen bekomme.

active-directory  windows-server-2008-r2  domain  login 
Harvey Kwok
quelle
5
Das ist interessant.
Shane Madden
Kann ": etwas" ": irgendetwas" sein? Scheint, als würde Windows es als Portnummer oder Nebenstelle behandeln, sehr seltsam.
Brent Pabst,
2
Verrückt. Ich habe dies gerade getestet und es ist möglich, ein UPN-Suffix von domain.tld: anything zu erstellen und sich mit diesem UPN bei der Domain anzumelden.
Joeqwerty
1
Wenn ich das tue runas /user:"jdearing@domain.com:something" "cmd /C dir c:\ & pause", wird RUNAS ERROR zurückgegeben: Benutzerpasswort kann nicht abgerufen werden, im Gegensatz zum normalen 1326: Anmeldefehler: unbekannter Benutzername oder falsches Passwort. für eine fehlgeschlagene Anmeldung.
Justin Dearing
2
Brent Pabst

Antworten:

13

Ich habe einen Fall mit Microsoft Premier Support eröffnet. Hier ist die E-Mail zwischen mir und dem Microsoft-Support. Sie sagen im Grunde, dass es ein bekanntes Problem ist. Es ist kein Fehler und es ist keine Funktion.

Das Back-End analysiert den Benutzernamen und entfernt die unzulässigen Zeichen ordnungsgemäß. Das Front-End führt keine Benutzeroberflächenüberprüfung durch, da möglicherweise eine andere Benutzeroberfläche für die Anmeldung durch einen Drittanbieter vorhanden ist. Ihre Anforderung an den Benutzernamen kann unterschiedlich sein. Ich denke, worauf sie sich beziehen, sind die Anmeldeinformationsanbieter von Drittanbietern.

05. Oktober 2012 Morgen

Ich habe gerade mit einem ihrer Ingenieure telefoniert. Erkläre ihm noch einmal das ganze Problem. Er ist sich ziemlich sicher, dass dies :somethingheute intern keine besondere Bedeutung hat, kann aber nicht garantieren, dass es in Zukunft etwas bedeuten könnte.

Er hat jedoch keinen Quellcode, um dies zu bestätigen. Er wird jemandem eine E-Mail mit dem Quellcode senden, um dies zu bestätigen.

03.10.2012 Nacht - meine Antwort

Danke für die Information. Ich habe jedoch einige andere illegale Zeichen ausprobiert, wie z. und |.

Die Anmelde-Benutzeroberfläche kann dies erfolgreich erkennen und mir mitteilen, dass mein Benutzername oder meine Passwörter nicht korrekt sind.

Wenn das Front-End wirklich keine Eingabeüberprüfung durchführt und das Back-End wirklich alle unzulässigen Zeichen entfernen kann, warum kann ich mich dann über die Anmelde-Benutzeroberfläche nicht als Harvey@company.com|something oder Harvey@company.com anmelden? etwas anderes als Harvey@company.com: etwas.

Dieses seltsame Verhalten tritt nur bei ":" auf.

-Harvey

03.10.2012 Nachmittag - Antwort des MS-Supports

Hallo Harvey,

Es gibt keinen Fehler bei der Front-End-Validierung, da das Front-End keine Validierung durchführt. Die Validierung wird durchgeführt, sobald Sie Ihre Anmeldeinformationen eingeben und sich anmelden. Im Hintergrund wird die Validierung durchgeführt und der entsprechende Fehler angezeigt.

Der Grund dafür, dass im Vorfeld keine Validierung durchgeführt wird, liegt darin, dass andere Anmelde-UIOs von Drittanbietern verwendet werden und die Anforderung, einen Benutzer zu bearbeiten und zu authentifizieren, unterschiedlich sein kann. Einige Benutzeroberflächen erfordern möglicherweise einen Benutzernamen in einem anderen Format. Wenn Sie also eine Überprüfung durchführen, während der Benutzer die Anmeldeinformationen eingibt, werden diese Benutzeroberflächen beschädigt.

Was das Backend betrifft, ruft jede Benutzeroberfläche die Backend-Authentifizierungs-APIs auf, unabhängig davon, welche Benutzeroberfläche im Frontend vorhanden ist. Wenn Sie also eine Validierung im Backend durchführen, wird eine ordnungsgemäße Authentifizierung sichergestellt

Grüße XXXX

03.10.2012 Nachmittag - meine Antwort

Ich verstehe die Erklärung für die unterschiedliche Handhabung im Front-End und Back-End, da ich auch Programmierer bin.

Es klingt also wie ein kleiner Fehler in der Eingangsüberprüfungslogik der Front-End-Benutzeroberfläche, obwohl es im Back-End keinen Fehler gibt.

Beachten Sie, dass ich auch versucht habe, dasselbe mit runas.exe zu tun. Die runas.exe hat mir die Fehlermeldung angezeigt, bevor der fehlerhafte Benutzername an das Back-End übergeben wurde. Daher führt runas.exe für mich die richtige Eingabevalidierung durch.

Wenn Sie immer noch der Meinung sind, dass das Front-End der Benutzeroberfläche keinen Fehler enthält, können Sie den Zweck erläutern, dem Endbenutzer zu gestatten, einen ungültigen Benutzernamen einzugeben und ihn dann auf dem Bildschirm anzuzeigen?

Danke, Harvey

03. Oktober 2012 vormittags - Antwort des MS-Supports

Hallo Harvey,

Ich entschuldige mich für die Verspätung. Ich hatte Ihre Frage an mein KMU weitergeleitet und hier ist seine Antwort: kein Fehler. Die Benutzeroberfläche zeigt an, was Sie eingegeben haben. Das Back-End analysiert die Zeichenfolge, um die Domäne und den Benutzernamen zu bestimmen. Es macht das richtig, da: ein illegaler Charakter ist.

Bitte lassen Sie mich wissen, ob es Ihre Fragen klärt oder ob ich Ihnen weiterhelfen kann.

Grüße XXXXX

Harvey Kwok
quelle
3
Hervorragender Aufwand und Antwort. Ich bedaure, dass ich nur eine Gegenstimme dazu habe. (Und, FWIW, Sie haben mich inspiriert, dies mit anderen "illegalen" Charakteren zu testen.)
HopelessN00b
Ich liebe es, wenn ich mich mit einem Verkäufer befasse und eine Reihe solcher Antworten erhalte. Ich mag besonders den Vergleich mit dem Verhalten der Runen und die offensichtliche Inkonsistenz, bei der nur dieses eine "illegale Zeichen" entfernt wird (und anscheinend auch alles danach ...), aber ausgezeichnete Arbeit bei der Kontaktaufnahme mit MS. Zumindest mussten Sie sie nicht davon überzeugen, dass 0,002 c! = 0,002 USD :)
Jon Kloske
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.