Quel est le sens de la connexion en tant que "[email protected]: quelque chose"

Ma machine Windows 2008 R2 est jointe à un domaine.

Dans l'écran de connexion, si je tape "[email protected]: quelque chose" comme nom d'utilisateur, je peux toujours me connecter correctement. Quelle est la signification de ": quelque chose" ajouté à la fin?

Je peux même voir que l’utilisateur actuel s’affiche sous la forme "[email protected]: quelque chose" sur l’écran de changement d’utilisateur. Est-ce une fonctionnalité de Windows? Ou est-ce juste un bug? S'il s'agit d'une fonctionnalité, quelle est la différence entre une connexion en tant que "[email protected]" et une connexion en tant que "[email protected]: quelque chose"?

Notez que j'ai essayé différentes combinaisons telles que "mydomain \ username: quelquechose" et "mydomain.com:something\username". Aucun d'entre eux ne fonctionne sauf "[email protected]: quelque chose".

Mise à jour du 10 septembre 2012

Le problème RunAs soulevé par Justin est similaire mais pas tout à fait identique au problème que je souhaite résoudre. Si tu fais

runas /user:[email protected]:anything

tu auras

RUNAS ERROR: Unable to acquire user password

J'ai vérifié que RunAs ne se donnait même pas la peine d'appeler LSA [email protected]:anythingsous le nom d'utilisateur. RunAs aurait dû effectuer la validation des entrées et y retourner une erreur.

WinLogon est différent. Il accepte ce format d'entrée et passe le "[email protected]: n'importe quoi" dans LSA. Je vois que l' LogonUserEx2intérieur kerberos.dll s'est appelé. C'est soit il y a un bogue dans la logique de validation d'entrée WinLogon soit c'est vraiment un format acceptable pour certaines fonctionnalités cachées.

Mise à jour du 26 septembre 2012

Je viens de soumettre un cas au support technique de Microsoft Premier. Je mettrai à jour ici si je reçois une mise à jour de leur part.

J'ai ouvert un cas avec le support Microsoft Premier. Voici le courrier électronique entre moi et le support technique Microsoft. Ils disent essentiellement que c'est un problème connu. Ce n'est pas un bug et ce n'est pas une fonctionnalité.

Le système dorsal analysera le nom d'utilisateur et supprimera les caractères non autorisés correctement. Le serveur frontal ne procède à aucune validation de l'interface utilisateur, car il peut exister une autre interface utilisateur de connexion tierce. Leur exigence sur le nom d'utilisateur peut être différente. Je pense qu'ils font référence aux fournisseurs de références de tiers.

05 octobre 2012 matin

Je viens d'avoir l'appel avec l'un de leurs ingénieurs. Expliquez-lui à nouveau tout le problème. Il est à peu près sûr que cela :somethingn'a pas de signification particulière en interne à ce jour, mais il ne peut garantir que cela pourrait vouloir dire quelque chose à l'avenir.

Cependant, il n'a pas de code source pour le confirmer. Il va envoyer un email à quelqu'un d'autre avec le code source pour le confirmer.

03 octobre 2012 nuit - ma réponse

Merci pour l'info. Cependant, j'ai essayé d'autres personnages illégaux, comme; et |

L’UI de connexion peut détecter cela avec succès et me dire que mon nom d’utilisateur ou mes mots de passe ne sont pas corrects.

Si le serveur principal ne fait vraiment aucune validation d'entrée et que le serveur principal peut vraiment supprimer tous les caractères illégaux, pourquoi l'interface utilisateur de Logon ne me permet-elle pas de me connecter en tant que [email protected]|something ou [email protected]; quelque chose mais [email protected]: quelque chose.

Ce comportement étrange ne se produit que sur “:”.

-Harvey

03 oct 2012 après-midi - Réponse du support technique MS

Bonjour Harvey,

Il n'y a pas de bogue dans la validation du front-end car le front-end n'effectue aucune validation. La validation est effectuée une fois que vous avez entré vos informations d'identification et essayé de vous connecter. La validation est effectuée en arrière-plan et l'erreur correspondante est affichée.

La raison pour ne pas effectuer de validation avant est due au fait que d'autres UIO de connexion tiers sont utilisés et que l'obligation de travailler et d'authentifier un utilisateur peut être différente. Certaines interfaces utilisateur peuvent nécessiter le nom d'utilisateur au format diff. Par conséquent, effectuer une validation lorsque l'utilisateur entre les informations d'identification fractionnera ces interfaces utilisateur.

Comme pour Backend, chaque interface utilisateur appelle les API d’authentification backend, quelle que soit l’interface utilisateur présente dans le serveur frontal. Donc, pour effectuer la validation dans le backend assure une authentification correcte

Cordialement XXXX

03 octobre 2012 après-midi - ma réponse

Je comprends l'explication de la gestion différente en front-end et back-end, car je suis également programmeur.

Cela ressemble donc à un bogue mineur dans la logique de validation des entrées d’interface utilisateur frontale bien qu’il n’y ait pas de bogue dans le back-end.

Notez que j'ai aussi essayé de faire la même chose en utilisant runas.exe. Le runas.exe m'a montré le message d'erreur avant de transmettre le nom d'utilisateur mal formé au back-end. Donc, pour moi, runas.exe effectue la validation d'entrée correcte.

Si vous pensez toujours qu'il n'y a pas de bogue dans l'interface utilisateur, pouvez-vous expliquer le but de permettre à l'utilisateur final de saisir un nom d'utilisateur mal formé et de l'afficher ensuite à l'écran?

Merci, Harvey

03 octobre 2012 au matin - Réponse du support technique MS

Bonjour Harvey,

Je vous prie de m'excuser pour le retard. J'avais transmis votre question à mon PME et voici sa réponse: pas de bug. l'interface affiche ce que vous avez tapé. Le serveur analyse la chaîne pour déterminer le domaine et le nom d'utilisateur. Il le fait correctement puisque: est un caractère illégal.

S'il vous plaît laissez-moi savoir si cela clarifie vos questions ou si je peux vous aider davantage.

Cordialement XXXXX