Guest account windows 2003

Network access validation algorithms and examples for Windows Server 2003, Windows XP, and Windows 2000

This article explains how Windows account validation is observed to function during network access using the NTLM protocol.

Original product version: Windows 10 — all editions, Windows Server 2012 R2
Original KB number: 103390

Summary

It’s using access through the server message block (SMB) protocol as the example, but it applies to all other server applications that support NTLM authentication. This discussion doesn’t cover the internal workings of this process. With this information, you can predict Windows network logon behavior under deterministic conditions.

When Kerberos is used to authenticate the user and obtain access to server resources, the process is different from what NTLM does.

Remember that the local database is the domain database and the only database on the domain controllers. But on other servers and all computers, the local database differs from the domain controller.

Background information

When two Windows Server 2003-based, Windows XP-based, or Windows 2000-based computers communicate over a network, they use a high-level protocol called server message block (SMB). SMB commands are embedded in the transport protocols, such as NetBIOS Enhanced User Interface (NetBEUI) or TCP/IP. For example, when a client computer performs a NET USE command, an «SMB Session Setup and X» frame is sent out.

In Windows, the «Session Setup» SMB includes the user account, a hash function of the encrypted password and logon domain. A domain controller will examine all this information to determine whether the client has permissions to complete the NET USE command.

Algorithms

A Windows client computer sends the following command to a server:

The Windows client computer sends a «Session Setup» SMB that contains its login domain, user account, and password.

The server examines the domain name or computer name that was specified by the SMB. If the name is the server’s own name, the following algorithm is run:

If the domain specified in the SMB is one that the server trusts, the following algorithm is run:

If a secure channel is not set up, the following algorithm is run:

The following cases discuss scenarios where the client uses a different user domain from that which the server has or knows of. There is a problem with this mismatch when the NTLMv2 authentication protocol is negotiated. NTLM at v2 uses a password salt, and the user domain is used in this salt by the client.

When the server obtains the information and finds the user in the local database, the server uses the name of the LOCAL database to compute the salt and the hash. Therefore, if the «source domain» as sent by the client is empty or is an unknown domain, the salt and therefore the password hash will not match. In these cases, the authentication attempt will fail with an «unknown user name or bad password» (STATUS_LOGON_FAILURE) error. The audit event for the attempt will report «incorrect password,» symbol STATUS_WRONG_PASSWORD.

Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Event ID: 4625
Task Category: Logon
Level: Information
Keywords: Audit Failure
Computer: server-computer1
Description:
An account failed to log on.

Security ID: NULL SID
Account Name: —
Account Domain: —
Logon ID: 0x0

Account for which logon failed:

Security ID: NULL SID
Account Name: ntadmin
Account Domain: client-computer1

Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc000006a
.

Detailed authentication information:

Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: —
Package Name (NTLM only): —
Key Length: 0

To avoid this scenario, you have to include the correct domain name explicitly on the client. For a drive-mapping on a workgroup scenario, that would be the following:
Net use x: \\server-computer1\data /u:server-computer1\ntadmin *

If the domain that’s specified in the SMB is unknown by the server-for example, if a domain was specified but was not recognized by the server as a trusted domain or its domain controller-the following algorithm is run:

If the domain that is specified in the SMB is NULL, that is, no domain is specified, the following algorithm is run:

Notes

If the guest account is disabled and the user does not have an account, the server will still request a password. Although no password will meet its requirements, the server will still request a password as a security measure. This security measure insures that an unauthorized user cannot tell the difference between a case where an account exists and when the account does not exist. The user will always be prompted for a password regardless of whether the account exists.

At this point, the following information is returned from the trusted domain in the response: Domain SID, User ID, Global Groups Memberships, Logon Time, Logoff Time, KickOffTime, Full Name, Password LastSet, Password Can Change Flag, Password Must Change Flag, User Script, Profile Path, Home Directory, and Bad Password Count.

If no account is found on the trusted domain, the operating system must use the local guest account to guarantee consistent behavior for authentication against the server.

For more information about how to restrict the lookup and logon of isolated names in trusted domains by using the LsaLookupRestrictIsolatedNameLevel and NeverPing registry entries, see the following articles:

Guest accounts on trusted domains will never be available.

The actual, internal process is more complex than the algorithms that are described here.

These algorithms do not discuss the actual mechanics of pass-through authentication. For more information, see NTLM user authentication in Windows

These algorithms do not discuss the password encryption process that is used in Windows Server 2003, Windows XP, and Windows 2000. A binary large object (BLOB) derived from a one-way password hash is sent as part of the authentication request. The content of this BLOB will depend on the authentication protocol chosen for the logon.

This article does not discuss the internal workings of the Microsoft Authentication Module.

These algorithms assume that the guest account, when enabled, has no password. By default, the guest account does not have a password in Windows Server 2003, Windows XP, and Windows 2000. If a guest account password is specified, the user password that is sent in the SMB must match that guest account password.

Examples

The following are examples of these algorithms in action.

Example 1

You are logged on to the computer by using the same account name and password that is in the SCRATCH-DOMAIN domain account database. When you run the NET USE \\SCRATCH command for the domain controller for the SCRATCH-DOMAIN domain, the command is completed successfully. When you run the NET USE \\NET command for the domain controller that trusts the SCRATCH-DOMAIN domain, you receive the following error message:

System error 1326 has occurred. Logon failure: unknown user name or bad password.

The \SCRATCH-DOMAIN\USER1 account has permissions on \\NET.

This example assumes the following configurations.

Computer that has a local security authority:

Active Directory domain controller:

The NET-DOMAIN domain:

• The domain account database for the NET-DOMAIN domain does not contain an account for USER1.
• The guest account is disabled.

Windows Server 2003:

In this example, the computer is logged on to its local domain, not the SCRATCH-DOMAIN domain where the computer’s domain account resides.

Example 2

When you run the NET USE x: \\NET\share command, the following steps occur:

The computer sends out the following in the «Session Setup» SMB:

The \\NET server receives the SMB and looked at the account name.

The server examines its local domain account database and does not find a match.

The server then examines the SMB domain name.

The server does not trust «LOCAL1,» so the server does not check its trusted domains.

The server then checks its guest account.

The guest account is disabled so the «System error 1326 has occurred. Logon failure: unknown user name or bad password.» error message is generated.

Example 3

When you run the NET USE x: \\SCRATCH\share command, the following steps occur:

The computer sends out the following in the «Session Setup» SMB:

The \\SCRATCH server receives the SMB and examines the account name.

The server examines its local domain account database and finds a match.

The server then compares the SMB password to the domain account password.

The passwords match.

Therefore, the «Command Completes Successfully» message is generated. In Example 2 and Example 3, the trust relationship is unavailable. If the computer had been logged on to the SCRATCH-DOMAIN domain, the NET USE x: \\NET\share command would have been successful.

The ideal solution is to have all computers log on to a domain. In order to log on, the user must specify the domain, account, and password. After you do this, all NET USE -type commands will pass the correct domain, account, and password information. Administrators should try to avoid duplicate accounts on both computers and multiple domains. Windows Server 2003-based, Windows XP-based, and Windows 2000-based computers help avoid this configuration by using trusts between domains and by using members that can use domain databases.

Workaround

There is one workaround that can be used in these cases. From the computer, you could run the following command:

In this command, the follow is true:

For more information about this command, type the following at the command prompt:

NULL domain names

The Microsoft SMB client that is included in Windows Server 2003, Windows XP, and Windows 2000 sends NULL domain names in the «Session Setup SMB [x73]» SMB. The Microsoft SMB client handles the domain name by specifying the logon domain name and by sending a NULL character if the domain name is not specified in the NET USE command. The Microsoft SMB client will also exhibit the behavior described in Example 1.

Notes

• The default domain name is specified in the LANMAN.INI file on the «DOMAIN =» line. This can be overridden by the /DOMAIN: switch with the NET LOGON command.
• There are typically two representations for «NULL» in the SMB: A zero-length domain name and a one-byte domain name that consists of the question mark character (?). The SMB server catches the question mark and translates it to NULL before passing it to the local security authority (LSA).

Troubleshooting

A good tip for troubleshooting network access problems is to enable auditing by doing the following.

Windows 2000 and later versions of Windows 2000-based domain controllers

1. From the Administrative Tools on a domain controller, start Active Directory Users and Computers.
2. Right-click Domain Controllers OU, and then click Properties.
3. On the Group Policy tab, double-click Default Domain Controller Policy.
4. In the Policy Editor, click Computer Settings, click Windows Settings, click Security Settings, click Local Policies, and then click Audit Policy.
5. Select the Logon and Account Logon Success option and the Failure option.

Domain settings for Windows 2000 servers and members

1. From the Administrative Tools on a domain controller, start Active Directory Users and Computers.
2. Right-click the domain name, and then click Properties.
3. On the Group Policy tab, double-click Default Domain Policy.
4. In the Policy Editor, click Computer Settings, click Windows Settings, click Security Settings, click Local Policies, and then click Audit Policy.
5. Select the Logon and Account Logon Success option and the Failure option.

Local settings for Windows 2000 servers and members

1. From the Administrative Tools, start Local Security Policy.
2. Open Audit Policy.
3. Select the Logon and Account Logon Success option and the Failure option. Now, anytime that a network user accesses this server remotely, an audit trail will be logged in Event Viewer. To see these events in Event Viewer, click Security in the Log menu.

For more information about trust relationships, pass-through authentication, user permissions, and domain logins, see the «Technical Overview of Windows Server 2003 Security Services.» To do it, visit the following Microsoft Web site: https://www.microsoft.com/windowsserver2003/techinfo/overview/security.mspx

More information

Basically, the same network access validation algorithms are applied to Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2.

Источник

Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Управление учетными записями (win2003)

Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows Server 2003, поскольку, назначая им права доступа и привилегии, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера.
Для работы с локальными учетными записями используется оснастка Local Users and Groups. Управление доменными учетными записями ведется централизованно на контроллерах домена, при этом используется оснастка Active Directory Users and Computers (см. главу 20 «Администрирование доменов»). Управление локальными учетными записями на контроллерах домена невозможно.

Оснастка Local Users and Groups

Оснастка Local Users and Groups (Локальные пользователи и группы) — это инструмент ММС, с помощью которого выполняется управление локальными учетными записями пользователей и групп — как на локальном, так и на удаленном компьютере. Запускать оснастку может любой пользователь. Выполнять администрирование учетных записей могут только администраторы и члены группы Power Users (Опытные пользователи).
Пример окна оснастки Local Users and Groups приведен на рис. 10.5.

Рис. 10.5. Окно оснастки Local Users and Groups в составе оснастки Computer Management

Папка Users
Сразу после установки системы Windows Server 2003 папка Users (Пользователи) содержит три автоматически создаваемые встроенные учетные записи, перечисленные ниже. Две первые записи имелись и в системах Windows 2000, третья появилась в Windows XP.

• Administrator (Администратор) — эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Administrators (Администраторы), ее можно только переименовать.
• Guest (Гость) — эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Guest не требует ввода пароля и по умолчанию заблокирована. (Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение, и входить в систему не может.) Она является членом группы Guests (Гости). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.
• SUPPORT_388945a0 — компания Microsoft зарезервировала эту запись за собой для поддержки справочной службы Help and Support Service; запись является заблокированной.

Примечание
Учетная запись HelpAssistant, использующаяся в системах Windows XP при работе средства удаленной помощи Remote Assistance; в Windows Server 2003 отсутствует.

Кроме того, могут появиться и другие пользовательские учетные записи, например, после установки служб Интернета — Internet Information Services.
Для работы с локальными пользователями можно использовать утилиту командной строки net user.
Команда net user /times позволяет определять день и время, когда пользователь может входить в данную систему.

Папка Groups
В системах Windows 2000 (на рабочей станции или сервере, являющимся членом домена) папка Groups (Группы) содержит шесть встроенных групп. Они создаются автоматически при установке системы. Ниже описаны свойства этих групп.

• Administrators (Администраторы) — ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав. По умолчанию содержит встроенную учетную запись Administrator. Если компьютер подключен к домену, эта группа также содержит группу Domain Admins.
• Backup Operators (Операторы архива) — члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности. По умолчанию пуста.
• Guests (Гости) — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Guest и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы. По умолчанию содержит пользователя Guest.
• Power Users (Опытные пользователи) — члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Users, Guests и Power Users. Члены группы Power Users не могут модифицировать членство в группах Administrators и Backup Operators. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий. По умолчанию пуста.
• Replicator (Репликатор) — членом группы Replicator должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи. По умолчанию пуста.
• Users (Пользователи) — члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер. По умолчанию содержит служебные учетные записи NT AUTHORITY\Authenticated Users (S-1-5-11) и NT AUTHORITY\INTERACTIVE (S-1-5-4). Если компьютер подключен к домену, эта группа также содержит группу Domain Users.

В системах Windows XP появились еще три группы.

• Network Configuration Operators (Операторы настройки сети) — группа, члены которой имеют некоторые права по настройке сетевых служб и параметров. По умолчанию пуста.
• Remote Desktop Users (Удаленные пользователи рабочего стола) — эта группа содержит имена пользователей, которым явно разрешен удаленный доступ к рабочему столу.
• HelpSenicesGroup (Группа служб поддержки) — группа для поддержки справочной службы Help and Support Service. По умолчанию содержит учетную запись SUPPORT_388945aO.

Еще четыре группы появились в системах Windows Server 2003.

• Performance Log Users — члены этой группы могут удаленно запускать журналы регистрации. По умолчанию содержит служебную учетную запись NT AUTHORITY\NETWORK SERVICE (S-l-5-20).
• Performance Monitor Users — группа, члены которой могут выполнять мониторинг производительности компьютера. По умолчанию пуста.
• Print Operators — члены этой группы могут администрировать принтеры в домене. По умолчанию пуста.
• TelnetClients — группа, члены которой имеют доступ к службе Telnet Server на данном компьютере. По умолчанию пуста.

Для работы с локальными пользователями можно использовать утилиту командной строки net localgroup.

Создание пользовательской учетной записи

Для создания учетных записей пользователей:
1. В оснастке Local Users and Groups установите указатель мыши на папку Users и нажмите правую кнопку. В контекстном меню выберите команду New User (Новый пользователь). Появится диалоговое окно New User (рис. 10.6).

Рис. 10.6. Создание новой локальной учетной записи

2. В поле User name (Пользователь) введите имя создаваемого пользователя, которое будет использоваться для регистрации в системе. В поле Full name (Полное имя) введите полное имя создаваемого пользователя; это имя будет отображаться в меню Start. В поле Description (Описание) можно ввести описание создаваемой учетной записи. В поле Password (Пароль) введите пароль пользователя и в поле Confirm password (Подтверждение) подтвердите его правильность вторичным вводом.
3. Установите или снимите флажки User must change password at next logon (Потребовать смену пароля при следующем входе в систему), User cannot change password (Запретить смену пароля пользователем), Password never expires (Срок действия пароля не ограничен) и Account is disabled (Отключить учетную запись).
4. Нажмите кнопку Create (Создать). Чтобы создать еще одного пользователя, повторите шаги 2 и 3. Для завершения работы нажмите кнопку Close (Закрыть).
Созданный пользователь автоматически включается в локальную группу Users; вы можете открыть вновь созданную учетную запись и изменить членство пользователя в группах.

Рис. 10.7. Окно свойств локальной учетной записи пользователя

Имя пользователя должно быть уникальным для компьютера. Имя пользователя не может состоять целиком из точек и пробелов. Оно может содержать до 20 символов верхнего и нижнего регистра. Ниже приведены символы, применение которых в имени пользователя недопустимо: » / \ [ ]:; | =, + *?<>
Обратите внимание на то, что в окне свойств учетной записи пользователя (рис. 10.7) имеется множество вкладок, на которых можно устанавливать различные параметры, определяющие возможности этой учетной записи при работе в различных режимах (например, вкладки Remote control и Sessions), а также конфигурацию пользовательской среды (например, вкладки Profile и Environment).

Управление локальными группами

Создание локальной группы
Для создания локальной группы:
1. В окне оснастки Local Users and Groups установите указатель мыши на папке Groups и нажмите правую кнопку. В появившемся контекстном меню выберите команду New Group (Новая группа). Откроется окно New Group (рис. 10.8).

Рис. 10.8. Создание локальной группы

2. В поле Group name (Имя группы) введите имя новой группы.
3. В поле Description (Описание) можно ввести описание новой группы.
4. В поле Members (Члены группы) можно сразу же добавить пользователей и группы, которые войдут в данную группу: для этого нужно нажать кнопку Add (Добавить) и указать члена группы в окне Select Users (Выбор Пользователей). Окно Select Users позволяет непосредственно ввести имя пользователя (и проверить его правильность, если будет нажата кнопка Check names). Нажав кнопку Advanced (Дополнительно), можно выполнить поиск всех учетных записей на компьютере и выбрать нужную запись из полученного списка. Если компьютер подключен к домену, то при наличии достаточных полномочий можно выполнять поиск в каталоге Active Directory и выбирать доменных пользователей и группы.
5. Для завершения нажмите кнопку Create и затем — Close.
Имя локальной группы должно быть уникальным в пределах компьютера. Оно может содержать до 256 символов в верхнем и нижнем регистрах. В имени группы запрещено применение символа обратной наклонной черты (\).

Изменение членства в локальной группе
Чтобы добавить или удалить учетную запись пользователя из группы:
1. Выберите модифицируемую группу в окне оснастки Local Users and Groups и нажмите правую кнопку. В появившемся контекстном меню выберите команду Add to Group (Добавить в группу) или Properties (Свойства).
2. Для того чтобы добавить новые учетные записи в группу, нажмите кнопку Add. Далее следуйте указаниям диалогового окна Select Users.
3. Для того чтобы удалить из группы некоторых пользователей, в поле Members (Члены группы) окна свойств группы выберите одну или несколько учетных записей и нажмите кнопку Remove (Удалить).
На компьютерах — членах домена в локальную группу можно добавлять как локальных пользователей, созданных на компьютере, так и пользователей и глобальные группы, созданные в домене, к которому принадлежит компьютер, или в доверяемых доменах.

Примечание
Встроенные группы не могут быть удалены. Удаленные группы не могут быть восстановлены. Удаление группы не отражается на учетных записях входящих в нее пользователей.

Изменение и удаление учетных записей

Изменять, переименовывать и удалять локальные учетные записи пользователей и групп можно с помощью контекстного меню, вызываемого щелчком правой кнопки мыши на имени пользователя, либо посредством меню Action (Действие) на панели меню оснастки Local Users and Groups (при этом в правом подокне оснастки должна быть выбрана модифицируемая или удаляемая учетная запись пользователя).
Поскольку переименованная учетная запись сохраняет идентификатор безопасности (Security Identifier, SID), она сохраняет и все свои свойства, например: описание, полное имя, пароль, членство в группах и т. д. Поскольку S1D уникален, нельзя после удаления пользователя или группы создать новую учетную запись со «старыми» свойствами. Поэтому иногда учетные записи пользователей просто временно блокируют.

Источник