Есть Контролер домена WIN2000. С компа который не подключен к этому домену я по сетевому окружению вхожу на этот контролер.  При этом выскакивает окно авторизации в котором я ввожу логин и пароль, после чего соответственно попадаю к тем ресурсам которые выделено введенному логину. И вот я встал и ушел с того компа - он не мой. Садится за этот комп его хозяин и спокойненько заходит обратно на сервер, на котором перед этим был я при этом никакой аутентификации не происходит! Как на самом сервере это отключить? Сделать так, что бы при каждом входе запрашивался логин пароль?

Когда уходишь, то выполните команду
net use * /del

Все подключения будут сброшены.

Спасибо конечно! Ответы достойны внимания, но это все действует на локальной машине - машине с которой подключаются. А нужно чтобы машина которую подключаются перезапрашивала логин пароль!

И как Вы это себе представляете?
когда должна она запрашивать логин пароль? каждое ваше обращение к ресурсам или только когда другой пользователь будет работать с клиентской машины? и как тогда сервер должен различить наши/ненаши?

При создании соединения сервер удерживает его некоторое время в рабочем состояниии (минут 15), потом сбрасывает.

ВОзможно если получится подредактировать время активного соединения ( я не помню где это делается сейчас) то раз сеанс отключился, то возможно (ИМХО) придется переавторизовываться (елси клиент не закешировал информацию)

SkyF При выходе из ресурсов в ЛОГЕ четка создается запись о том что ЮЗЕР отсоеденился!  Это говорит о том что соединение и не соберается ждать даже 15 мин!

Ппри повторном доступе к ресурсу с той же машины и с той же учетной записи создается новое соединение но при этом не запрашивается логин пароль так как на У конкретного юзера есть в наличии еще живой билет TGT.
 
ТАК УСТРОЕН KERBEROS!!! По крайней мере на сколько мне известно.

Так вот мне то нужно чтобы не смотря на наличие еще живого TGT (а он как известно может жить долго) ВСЕ РАВНО запрашивался логин и пароль.

Буду признателен всем кто может дать дельный совет!

За ранее Благодарен


Добавлено:

SkyF

net use * /del  - не спасает даже локально
так как не видит подключений их нет!

Все же видимо все сходится на этих TGT...



Добавлено:

vasketsov

А в какойветке реестра использовать эти настройки чтобы это воздействовало на подключаемых пользователей?

Кстати, Вы откуда лог этот берете?

Да, верно с той же учетной записью net use  не проходит.

да как сервер определит запрашивать или нет - по какому критерию? Единственный критерий это время жизни билета!

Можно попробовать сократить вреся его жизни в политике без-ти домена (но это для всего домена и отдельно настроить для компьютера нельзя!
хм.. я не уверен что будет корректно работать ваш домен при длительности ключа 1 мин :)

Iskatell
1) ветка HKLM. Ставится параметр на клиенте.

2) Пароль запрашивает ЛОКАЛЬНЫЙ компьютер. Сервер может только послать про регистрации. Исходить надо из этого.

Юзер отсоединился, но ничто не мешает программе (и самой системе) запомнить его пароль (в том числе в секретном месте в реестре) и использовать его потом снова, в том числе и после перезагрузки. В этом же сеансе - если TOKEN остается жить.

3) KERBEROS не описывает процедуру кэширования учетных данных на локальном компьютере.

Если подвести итог, то можны прийти к выводу что вопрос не решен!:( :oszone:

SkyF



В политике безопасности контролера домена настроил аудит таким образом что он отмечает в логе все попытки (удачные и не удачные) входа на контролер.

слушайте, а вы в сеансе этого пользователя подключаетесь?

Хм.. А если своей учеткой регистрироваться (без прав администартора конечно, мало ли что там у него напихано - может кейлогеры вият? :) ) - подключать ресурсы, а потом просто отключаться?

и проблема снята.