O Windows 7 autentica credenciais em cache na inicialização

3

Problema

Eu tenho uma conta de usuário de domínio do Windows que fica automaticamente bloqueada sem uso regular.

Solução de problemas até agora

A única regra no domínio que deve bloquear automaticamente uma conta é muitas tentativas de login com falha.

Eu não acho que alguém nefário esteja tentando acessar minha conta. O problema começou a ocorrer depois de alterar minha senha, então acho que é um problema de credencial armazenado. Além disso, no log do Sistema do Visualizador de Eventos, encontrei Avisos de Security-Kerberos que diz:

The password stored in Credential Manager is invalid. This might be caused by the user changing the password from this computer or a different computer. To resolve this error, open Credential Manager in Control Panel, and reenter the password for the credential mydomain\myuser.

Eu verifiquei o Credential Manager e tudo o que ele tem são algumas TERMSRV/servername de credenciais armazenadas pelo Remote Desktop. Eu sei qual credencial armazenada estava incorreta, mas ela foi armazenada para acesso à Área de Trabalho Remota a uma máquina específica e não estava sendo usada (pelo menos não por mim) no momento dos avisos. O aviso Security-Kerberos aparece quando o sistema estava sendo inicializado (após a reinicialização do Windows Update) e também apareceu nesta manhã quando ninguém estava conectado à máquina.

Esclarecimento após a resposta do SnOrfus:

Houve um conjunto de credenciais inválidas que foram armazenadas para um servidor de terminal. O restante das credenciais é conhecido como válido (usado frequentemente e recentemente sem problemas). Eu entrei no domínio esta manhã sem problemas. Em seguida, executei o windows update, que reinicializou o computador. Após o reinício, não consegui iniciar sessão (devido à conta ser bloqueada). Depois de desbloquear & Ao fazer logon no domínio, verifiquei o Visualizador de Eventos, que mostrava um problema com as credenciais após a reinicialização.

Como as únicas credenciais armazenadas (de acordo com o Gerenciador de Credenciais) são para servidores de terminal, por que haveria um problema de Credencial na reinicialização quando a área de trabalho remota não estava sendo usada?

Pergunta

Alguém sabe se o Windows 7 "aleatoriamente" verifica a autenticação de credenciais em cache?

    
por Farray 15.04.2011 / 18:29

3 respostas

1

Não, não é esse o caso. O que eu suspeito que esteja errado é que você ainda tem credenciais anteriores armazenadas. Tente remover as credenciais armazenadas do Credential Manager e conecte-se e efetue logon no domínio (isso armazenará novamente suas credenciais).

Depois disso, não haverá problemas.

Nota: Existem também métodos que o seu sysadmin poderia estar usando para expirar as credenciais em cache, mas esse não parece ser o caso aqui. Você pode querer perguntar, apenas no caso de.

    
por 15.04.2011 / 19:04
0

Alguns problemas de credenciais podem estar vinculados a configurações de hora e kerberos inválidos. Verifique se a máquina está funcionando e verifique se ela está na hora certa. Caso contrário, execute w32tm /resync Pode ajudar.

    
por 25.08.2011 / 18:23
0

Recentemente, corri para essa questão também em alguns computadores e, embora essa seja uma pergunta antiga, pensei em postar algo, pois há uma solução para isso.

Descobri que isso é um problema no Windows 7, 8.1 e 10 (até pelo menos 1607).

O problema está no Gerenciador de Credenciais, mas não no Gerenciador de Credenciais do usuário, ele está na conta do Sistema.

Solução de problemas

Eu corri para isso com um GPO que faz uma cópia de arquivo de um servidor remoto. Tudo estava funcionando até que o usuário alterasse sua senha de domínio, quando começamos a bloquear as contas.

Encontrando um evento 4098 no log do aplicativo informando o seguinte. Isso foi criado em cada atualização de GPO, seja por meio de um usuário conectado com o gpupdate ou de uma atualização em segundo plano.

The computer 'deployment.config' preference item in the 'File-Copy-GPO' Group Policy object did not apply because it failed with error code '0x8007052e Logon failure: unknown user name or bad password.' This error was suppressed.

Indo mais longe, encontrei um evento EventID 14 no log do sistema, indicando o seguinte. A conta de usuário listada era a que estava sendo bloqueada, então eu sabia que estava no caminho certo.

The password stored in Credential Manager is invalid. This might be caused by the user changing the password from this computer or a different computer. To resolve this error, open Credential Manager in Control Panel, and reenter the password for the credential .

Neste ponto, eu era novo no Gerenciador de Credenciais, embora quando eu continuei verificando os vários usuários, incluindo o que estava bloqueando, não consegui encontrá-lo. Isso me fez pensar que eu deveria verificar o Gerenciador de Credenciais de Sistemas como estava vendo o eventid mesmo quando ninguém estava interativamente logado.

Solução

Usando psexec -i -s -d cmd de um prompt de comando elevado e, em seguida, no prompt de comando da conta do sistema que está aberto, executando rundll32 keymgr.dll,KRShowKeyMgr , mostrei o que eu estava procurando. Havia uma credencial armazenada, usando a conta de usuário em questão, para o servidor que hospedava o arquivo que o GPO estava tentando copiar.

Recursos

Ao tentar encontrar informações sobre esse problema, me deparei com essa pergunta, bem como com as duas páginas a seguir. Espero que isso ajude alguém no futuro.

link

link

    
por 23.03.2017 / 18:36