Estações de trabalho WinXP no domínio do Servidor 2008:
Ficamos um pouco chocados ao descobrir que o Windows está permitindo que usuários com contas bloqueadas desbloqueiem suas telas, apesar de estar atingindo o controlador de domínio em cada tentativa de autenticação e, assim, gerando o evento de bloqueio.
No cenário atual, parece que se pode adivinhar um número ilimitado de senhas em qualquer estação do Windows XP cuja tela esteja bloqueada. Isso não é desejável.
Existe uma maneira de fazer com que o Windows XP respeite o bloqueio da conta e negue o acesso até que a conta seja desbloqueada?
Restringindo credenciais armazenadas em cache no Windows :
To force the workstation to consult a domain controller when unlocking, set the Computer Configuration, Windows Setting, Local Policy, Security Options control of "Interactive Logon: Require Domain Controller authentication to unlock workstation" to Enabled.
É por design e parece bastante lógico. Se a conta do usuário estiver bloqueada no controlador de domínio, os usuários não poderão mais efetuar login com a conta de domínio.
Mas na estação de trabalho bloqueada, toda autorização (desde que nenhuma tentativa de acessar recursos, por exemplo, compartilhamento de arquivos, que exija uma nova verificação de credenciais de domínio) é executada pelo sistema de segurança local porque o sistema local confia nesses usuários (já verificado e autorizado) por AD).
Portanto, para esse sistema de segurança de estação de trabalho desbloqueada, esses usuários ainda são legais, mas não podem acessar nenhum recurso com autenticação de domínio (unidade de impressora / rede) porque a conta já está bloqueada.
Isso não significa apenas que a política de bloqueio de conta local precisa ser alterada?
(Eu não posso postar comentários agora. Ok, obrigado, eu vou lê-los. Devo deletar este, oo noob stompers?)
Sério, depois de refletir, acho que esse post foi rejeitado por ser simples demais, e o de Sergey foi rejeitado por não ser claro.
Tags windows windows-xp