Warum können a und o in samAccountName durch dänische å und ø ersetzt werden?

Ein Kollege hat mir gerade gezeigt, dass sich Konten in unserem AD-Test authentifizieren konnten, wenn jedes aZeichen in ihrem samAccountName durch ein dänisches Zeichen å(ASCII 134 / å) ersetzt wurde.

Der Benutzer <domain>\aaakann sich zB als authentifizieren ååå.

Ich habe versucht, dies in einem frisch bereitgestellten W2K12R2 AD (einzelner Server, alle Standardwerte) zu reproduzieren, und es funktioniert auch dort. Ich habe ein Konto erstellt aaa(ohne den Brief dabei zu berühren å, damit nichts enthalten ist å) und lief:

PS C: \ Users \ Administrator> runas / user: Editor

Geben Sie das Passwort für ååå ein:

Versuch, den Editor als Benutzer "DEV-DLI \ ååå" zu starten ...

PS C: \ Benutzer \ Administrator>

was dazu führte, dass der Editor gestartet wurde und als ausgeführt wurde aaa.

Dasselbe scheint für einen odänischen Charakter zu gelten ø, während der letzte dänische Sonderzeichen ækeinem anderen Charakter zu entsprechen scheint. aaaWenn åååsich der Benutzer in AD befindet, schlägt der Versuch fehl, einen Benutzer mit samAccountName zu erstellen , und Sie werden darüber informiert The user logon name you have chosen is already in use (...).

Ich habe gegoogelt wie ein Verrückter, konnte aber nicht herausfinden, was los ist. Hat jemand irgendwelche Hinweise, warum dies funktioniert?

windows active-directory

— michaelkc
quelle

Das Zeichen æsollte entsprechen ae(dem Buchstaben agefolgt von dem Buchstaben e), FWIW.

— HopelessN00b

Das Zeichen åexistiert nicht in ASCII.

— TRiG

Ja. Nitpick, aber so etwas wie "ASCII 134" gibt es nicht, da ASCII nur bis 127 geht.

— hobbs

Entsprechend man ascii:

ASCII is the American Standard Code for Information Interchange.  It is a 7-bit code. Many 8-bit codes (e.g., ISO 8859-1) contain ASCII as their lower half.  The  international counterpart of ASCII is known as ISO 646-IRV.

Es sieht aus wie åist ISO 8859-1 # 229 und øist ISO 8859-1 # 248.

— Jayhendren

Als dänische Muttersprachlerin kann ich Ihnen sagen, dass es für mich auch keinen Sinn ergibt. Es gibt keinen ASCII-Ersatz für die Buchstaben æ und ø. Es gibt einige häufig verwendete Substitute, die jedoch keine gültigen Schreibweisen sind und in einigen Fällen ein völlig anderes Wort ergeben. Im Fall von å wurde es vor weniger als einem Jahrhundert zum Alphabet hinzugefügt, und die Verwendung der alten Schreibweise führt zu keiner Mehrdeutigkeit. Die alte Schreibweise wäre jedoch, aa anstelle von å zu verwenden. Das Ersetzen des Buchstabens å durch ein einzelnes a ist keine korrekte Schreibweise.

— Kasperd

Antworten:

Dies ist beabsichtigt. Kurz gesagt, ordnet Active Directory die akzentuierten / diakritischen Zeichen ihrer "einfachen" Form zu. Weitere Informationen finden Sie im folgenden Microsoft Support-Artikel.

Windows-Anmeldeverhalten, wenn Ihr Benutzername Zeichen mit Akzenten oder anderen diakritischen Zeichen enthält :

Wenn Ihr Benutzername im Active Directory-Verzeichnisdienst ein oder mehrere Zeichen mit Akzenten oder anderen diakritischen Zeichen enthält, müssen Sie möglicherweise das diakritische Zeichen nicht verwenden, während Sie Ihren Benutzernamen eingeben, um sich bei Windows anzumelden. Sie können sich anmelden, indem Sie die einfache Form des Zeichens oder der Zeichen verwenden. Wenn Ihr Benutzername in Active Directory beispielsweise jésush lautet, können Sie jesush in das Feld Benutzername im Dialogfeld Bei Windows anmelden eingeben, um sich bei Windows anzumelden.

Dieses Verhalten tritt auf, sodass Sie sich in Situationen, in denen Sie sich von einem Computer aus bei Windows anmelden müssen, auf dem die bevorzugte Tastaturzuordnung nicht installiert ist, weiterhin mit Ihrem Benutzernamen ohne diakritische Zeichen bei Windows anmelden können.

— jscott
quelle

Ich bin kein Fan von Microsoft, aber in diesem Fall bin ich wirklich beeindruckt, dass das US-Unternehmen die Probleme mit Tastatureingaben als das eigentliche Problem angesehen und auf solch elegante Weise angegangen hat.

— Danubian Sailor

@ РСТȢѸФХѾЦЧШЩЪЫЬѢѤЮѦѪѨѬѠѺѮѰѲѴ Die beste Kombination aus Benutzername und Kommentar, die ich hier übrigens noch nicht gesehen habe.

— HopelessN00b

Man fragt sich, welche Sicherheitslücken sie dadurch hinterlassen haben könnten :)

— hobbs

Eigentlich handelt es sich nicht um diakritische Zeichen, sondern um völlig getrennte Buchstaben. Das Aufrufen von ø an o mit einem diakritischen Zeichen ist genauso sinnvoll wie das Aufrufen von q an o mit einem diakritischen Zeichen. In Wirklichkeit sind o, q und ø drei verschiedene Buchstaben. Es kommt lediglich vor, dass zwei davon in ASCII geschrieben sind und einer nicht. In ASCII zu sein oder nicht, ist nicht Teil der Definition eines diakritischen Zeichens. Aber in ASCII zu sein oder nicht, kann einen Unterschied machen, wie einfach es ist, sich

— einzuloggen

@kasperd Dies ist auch sprachabhängig; auf schwedisch ist 'ä' ein eigener buchstabe, auf deutsch ist es ein 'a' mit einem umlaut als diakritischem zeichen.

— Beerbajay

Zusätzlich zu @ jscotts Referenz (+1) und etwas zu lang für einen Kommentar: Ähnliches gilt für die Groß- / Kleinschreibung. Obwohl der Benutzername in der richtigen Groß- / Kleinschreibung gespeichert ist, können Sie sich mit einem Benutzernamen in allen Klein-, Groß- und Kleinschreibung anmelden sogar gemischter Fall. HBruijn = hbruijn = HbRuIjN, AD unterscheidet in einigen Bereichen zwischen Groß- und Kleinschreibung, jedoch nicht zwischen Kleinschreibung .

Der richtige Begriff (in der IT am häufigsten in der Datenbankkonfiguration verwendet) lautet Kollatierung und bestimmt die Reihenfolge, den Abgleich und die kanonische Äquivalenz . Sortierregeln hängen in der Regel auch vom Gebietsschema ab.

Von Interesse können https://msdn.microsoft.com/en-us/library/windows/desktop/dd318144(v=vs.85).aspx und http://www.unicode.org/reports/tr10/# sein. Collation_And_Code_Chart_Order

— HBruijn
quelle