none
bloqueo una cuenta Active Directory y sigue conectado RRS feed

  • Pregunta

  • estimados, 

    les presento la siguiente interrogante.

    Durante el día de ayer, caduco la cuenta de usuario de un compañero, el cual, nos aviso que no podía ver sus correos electrónicos, pero lo que nos llamo la atención, fue que su cuenta en su laptop seguía activa, podía imprimir, acceder a la red, y enviar correos a traves de outlook. Luego, reiniciamos la maquina y la cuenta esta vez aparece bloqueada.

    Hicimos las pruebas pertinentes y efectivamente al bloquearse la cuenta por caducidad u otro motivo, el sistema actúa bloqueando la cuenta (webmail, conexiones celulares, otros), sin embargo las conexiones vía Outlook y a recursos compartidos permanecen activas hasta el cierre de la sesión en el computador.

    Por que sucede esto??

    quedo atento a su respuesta

    lunes, 6 de octubre de 2014 20:37

Respuestas

  • Es simple, el ticket kerberos es operativo durante el tiempo que marca la directiva de kerberos, de forma predeterminada 10 horas. Este ticket es el que se presenta al equipo al que se accede por la red, sea una crpeta compartida o un servidor Outlook, que al ver un ticket correcto, porque sigue siendo correcto, le permite el acceso si tiene los permisos adecuados. Al cerrar sesión se destruye el ticket y ya no puede iniciar sesión el usuario.

    Que se caduque la cuenta no implica que se cierre las sesiones que tenga abiertas o se caduquen sus tickets kerberos; sólo empezaría a tener problemas de acceso a recursos remotos pasadas las 10 horas de vigencia del ticket.


    Un saludo

    Fernando Reyes
    MCSA 2000/2003/2012
    MCSE 2000/2003
    MCITP Enterprise Administrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/

    • Propuesto como respuesta Moderador M martes, 7 de octubre de 2014 15:34
    • Marcado como respuesta Moderador M miércoles, 8 de octubre de 2014 21:19
    martes, 7 de octubre de 2014 6:23
    Moderador

Todas las respuestas

  • Hola mitos67 como estas,

    La directiva de bloqueo de cuentas deshabilita una cuenta de usuario si se escribe una contraseña incorrecta un número de veces especificado durante un período de tiempo dado. Esta configuración de directiva ayuda a impedir que los intrusos averigüen las contraseñas de los usuarios y reducen la probabilidad de que los ataques a la red.
    Las cuentas de los usuarios autorizados pueden quedar bloqueadas si no escriben la contraseña correcta o si se cambia su contraseña en un equipo mientras están conectados en otro equipo. El equipo que utiliza la contraseña incorrecta intenta repetidamente autenticar al usuario y, como la contraseña que utiliza para la autenticación es incorrecta, la cuenta de usuario acaba por bloquearse. Para evitar el bloqueo de usuarios autorizados, configurá el umbral de bloqueo de cuentas en un valor alto.

    Una buena nota para comprender bloqueos de cuentas:

    http://technet.microsoft.com/en-us/library/cc770842(v=ws.10).aspx

    Troubleshoot:

    http://technet.microsoft.com/en-us/library/cc773155(v=ws.10).aspx

    Tool:

    http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=18465

    Espero sea de utilidad. Saludos.

    martes, 7 de octubre de 2014 2:42
  • Es simple, el ticket kerberos es operativo durante el tiempo que marca la directiva de kerberos, de forma predeterminada 10 horas. Este ticket es el que se presenta al equipo al que se accede por la red, sea una crpeta compartida o un servidor Outlook, que al ver un ticket correcto, porque sigue siendo correcto, le permite el acceso si tiene los permisos adecuados. Al cerrar sesión se destruye el ticket y ya no puede iniciar sesión el usuario.

    Que se caduque la cuenta no implica que se cierre las sesiones que tenga abiertas o se caduquen sus tickets kerberos; sólo empezaría a tener problemas de acceso a recursos remotos pasadas las 10 horas de vigencia del ticket.


    Un saludo

    Fernando Reyes
    MCSA 2000/2003/2012
    MCSE 2000/2003
    MCITP Enterprise Administrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/

    • Propuesto como respuesta Moderador M martes, 7 de octubre de 2014 15:34
    • Marcado como respuesta Moderador M miércoles, 8 de octubre de 2014 21:19
    martes, 7 de octubre de 2014 6:23
    Moderador
  • muchas gracias fernando, ahora mi consulta sería, donde es que se autentican las cuentas de correo webmail y las cuentas asociadas a los celulares?, ya que, el criterio de 10 horas de kerberos no parece afectarles y en cuando se bloquea un usuario, estos lo hacen tambien.
    miércoles, 8 de octubre de 2014 14:05
  • Ahí entra en juego no el ticket kerberos, si no la duración de la sesión que se establece en el servidor Web que proporciona el acceso a webmail y la sincronización de los terminales móviles.

    Un saludo

    Fernando Reyes
    MCSA 2000/2003/2012
    MCSE 2000/2003
    MCITP Enterprise Administrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/

    miércoles, 8 de octubre de 2014 14:26
    Moderador