none
rozlišení logon jména s češtinou

    Dotaz

  • Při přihlášení na stanici v doméně Windows překládají vepsané jméno s češtinou do podoby bez češtiny. Příklad. Když mám v doméně username visir a pokusím se přihlásit s logon name Víšíř, tak mne Windows pustí dovnitř jako uživatele visir (tedy samozřejmě) musím znát jeho heslo. Už nevím, jak položit dotaz do vyhledávačů, bo sem k tomuhle zatím nic nenašel. NEvíte prosím někdo , kde se o tom dá dočíst víc a nejlépe jak toto "vylepšení" zakázat? U nás došlo totiž k tomu, že shodou okolností dvě uživatelky se stejným příjmením měly v jeden okamžik i stejné heslo a když se jedna přihlásila tím, že napsala své jméno včetně češtiny, tak ji systém nalogoval pod účtem té druhé a náš management to považuje za těžký ISM incident a závažnou chybu Windows....

    Předem děkuji za případnou pomoc.
    19. října 2009 7:55

Odpovědi

  • jak jsem jiz psal, to chovani je celkem dlouho vseobecne zname. je proto dulezite aby jmena dvou ruznych uzivatelu byla ruzna i bez diakritiky (jan medák a jan měďák jsou stejná jména jan medak, proto nechť se hlásí jako czmedjan45 a czmedjan82 :)

    MP
    20. října 2009 5:35
    Moderátor

Všechny reakce

  • Obavam se ze toto neni bug ale well known "feature"

    MP
    19. října 2009 9:06
    Moderátor
  • pokud mají dva uživatelé podobná jména a shodou okolností i hesla tak náhodné přihlášení na jiný účet rozhodně není chyba windows. windows jen mechanicky zpracují logon name a heslo, pokud je vše v pořádku tak dotyčného přihlásí. management vaší firmy se dost silně mýlí pokud si myslí že to je chyba windows.

    rozhodně doporučuji politiku pro přihlašovací jména taková aby nedocházelo k záměnám uživatelů (a rozhodně zakázat používat u uživatelských jmen diakritiku) ideálně třeba

    příjmeníjméno a také požadovat silnější alfanumerická hesla (pak nebude hrozit že někdo bude mít shodné heslo ale hlavně i jméno k přihlášení).
    michal zobec
    • Navržen jako odpověď Michal Zobec 19. října 2009 19:01
    • Zrušeno navržení jako odpověď Hubert David 19. října 2009 21:00
    19. října 2009 17:53
  • jj, jak jsem psal jiz vyse, je to fakt - A TO VSEOBECNE ZNAMY FAKT - a je vhodne tomu prizpusobit system generovani uzivatelskych jmen.

    MP
    19. října 2009 18:36
    Moderátor
  • to: Michal Zobec:
    Děkuji za odpověď - ale asi nereagujete přesně na můj problém. Neřeším heslo. Přihlašovací jména jako taková jsou bez diakritiky. Bohužel nemůžu HR zakázan najímat další lidí stejného jména ( bylo shodné i křestní). BTW pro zajímavost, nejsme nijak velká firma , ale rekord u stejné kombinace Jméno Příjmení máme i šest lidí.

    Dále, když vytrhnu z vaší odpovědi "mají dva uživatelé podobná jména ....tak náhodné přihlášení na jiný účet rozhodně není chyba windows " bych osobně jako problém windows viděl. Systém si nemůže dovolit odhadovat, kterému nejbližšímu jménu je právě zkoušené nejvíc podobné.

    Ale zpět k tématu: Řeším to, proč windows vycházejí tak hodně vstříc a když někdo naschvál nebo třeba i v roztržitosti napíše do kolonky pro username jméno/slovo s diakritikou, proč to windows překládájí/očesávájí a zkusí i podobu takového jména v "čistém ascii" (nebo jak jinak to nazvat)........ Pokud by se mi tato well known "feature" (jak psal pan Pragl) povedla disablovat, tak jsem mohl zabránit uživatelce horakovam, která měla shodou okoností stejné heslo jako uživatelka horakova, úspěšně vyzkoušet její nalogování po neúmyslném pokusu použít logon name Horáková - prostě by si po hlášce NEJDE protřela zrak a naklofala své správné user name.

    Takže začínám být smířen s tím, jak nám Microsoft "zjednodušuje" život, ale teď bych to potřeboval do reportu něčím podložit. Nepomohl by mi někde aspoň najít, kde je tato fce u Microsoftu zdokumentovaná?
    19. října 2009 21:00
  • dobrý den,

    snažím se vám doporučit aby jste nedělal podobné účty a tím se vyhnul vašemu problému. nedělejte účty horakova a horakovam delejte treba mariehorakova81 (rok narození) tak aby vznikly nezaměnitelné účty. případně matka a dcera nebo otec a syn - pridejte ml nebo st či obojí.

    máte opravdu ověřené že když je uživatel mariehorakova a někdo zadá totéž s diakritikou (mariehoráková) že to systém přijme? to se mi zdá jako nesmysl. jaký systém to přesně je? tohle by měl vyhodnotit jako chybně zadaný login/heslo.

    pokud však dotyčný jen udělá překlep a tvrdí vám to co uvádíte výše tak se mi to nechce věřit.

    pokud ano prosím aby jste mi uvedl příklady jaké existují skutečné účty a jaký login se správným heslem to přijalo - to bych si moc rád ověřil.


    michal zobec
    19. října 2009 21:48
  • takže vytvořil jsem si uživatele maruška nováčková s logonname maruskanovackova a pokus o přihlášení pod jménem uživatele maruškanováčková se stejným heslem proběhne normálně na uživatele maruskanovackova (podle systémového prostředí). přihlašování funguje jak s diakritikou tak bez diakritiky.

    pořád je to ale nesmysl - uživatel musel napsat špatně svoje jméno - tzn. že zadal jméno uživatele sice s diakritikou ale přihlašoval se na jiný účet (když odmyslím diakritiku). je to ale zajímavé chování, hlavně by mě zajímalo jestli tak bere třeba azbuku nebo jiné znaky...

    dělal jsem to na windows server 2008 r1 sp2 jako mimo jiné dc s klientem windows server 2008 r2 rtm (pouze jako člen domény).
    michal zobec
    19. října 2009 22:46
  • jak jsem jiz psal, to chovani je celkem dlouho vseobecne zname. je proto dulezite aby jmena dvou ruznych uzivatelu byla ruzna i bez diakritiky (jan medák a jan měďák jsou stejná jména jan medak, proto nechť se hlásí jako czmedjan45 a czmedjan82 :)

    MP
    20. října 2009 5:35
    Moderátor
  • Me stale zarazi, ze mely obe uzivatelky stejna hesla. TENTO FAKT chapu jako zavazny Security problem. TJ. je nastavena prilis mekka politika hesla = muze dojit ke shode. A nebo byly obe uzivatelky ustne dohodnute, ze si nastavi stejne heslo = opet stejne zavazny security problem.
    20. října 2009 6:29
  • Jak rika kolega Pragl - TAKTO TO JE A BASTA.
    Jedine reseni je opravdu pouzivat jine loginy a na diakritiku se vykaslat.
    Prijmete to, nereste "proc". To Vam  nepomuze.

    A jak rika kolega Tiser - nastavte si politiku hesel lepe.
    Kazdopadne aby 2 uzivatele meli stejna hesla i tak nezabranite. To neni zadna chyba windows.

    Jak je to s azbukou to nevim, ale podle me by to to same jako CESTINA a ČEŠTINA nebylo.

    20. října 2009 6:58
  • btw uzivatele(ky) TEORETICKY mohli(y) mit ruzna hesla ale stejny hash ... :-P

    pravdepodobnost je miziva ale rejpnout jsem si musel

    MP
    20. října 2009 7:28
    Moderátor
  • Ty aby sis nerepnul :-D :-)
    20. října 2009 9:00
  • A trochu to na me pusobi tak, ze si uzivatelky ponechaly defaultni heslo, ktere jim nastavil spravce pri vzniku uctu. Takze obe mely napr. 123456. Nebyly nuceny ke zmene. Proste se nemuzu smirit s myslenkou, ze dve uzivatelky s NAHODOU stejnym prijmenim si NAHODOU nastavily stejne heslo. I kdyz podle T.Pratchetta a jeho Zemeplochy se situace s pravdepodobnosti 1:milionu odehraje temer s jistotou :)
    20. října 2009 9:14
  • Jak jsem psal, Mirku - uzivatelky mely samozrejme RUZNA hesla, jen mely kolizni HASH :))))

    Samozrejme, pocatecni hesla maji byt unikatni a/nebo ma byt vnucena zmena hesla pri prvnim loginu (coz ne vzdy jde protoze nekdy je prvni login neinteraktivni). Zmena hesla pak nejdrive za 24 po predchozi hodin a nejpozdeji do 3 mesicu s historii X hesel. Pokud povolis zmenu okamzite uzivatel si nastavi stejne heslo (pote co nastavil X nahodnych aby promazal historii hesel). Pokud si budou heslo menit kazdy mesic budou z toho zoufali a hesla najdes nalepena na LCD.

    MP
    20. října 2009 9:16
    Moderátor
  • hele já to psal jako první ať si nastaví silnější politiku hesel :)
    michal zobec
    21. října 2009 19:14