Добрый вечер.
Продолжаю экспериментировать с Server 2012 в виртуальной среде.

Имеется сконфигурированный по умолчанию контроллер домена и введенный в этот домен Windows 7.

Cenmm проблемы:
При выключенном контроллере домена, на клиент с Windows 7 можно без проблем залогиниться от любого пользователя домена. Даже под пользователем который ранее не заходил на клиент Windows 7.

Я так понимаю, Windows 7 каким то образом закешировал структуру Active Directory. Как же так получилось?
Насколько я помню, в предыдущих версиях Active Directory на базе Server 2008/R2 такого не было. И при недоступности службы Active Directory, авторизоваться в системе было нельзя.

bombording,
Покажите вывод команды set после логона пользователя на клиентский компьютер.

Telepuzik,

Вот вывод команды set на клиентской машине.
Оба контроллера домена выключены. Даже интернет шлюз выключен.
Клиент входит в систему под любым пользователем. Мало того, он ещё проверяет правильность ввода пароля в случае ошибки набора.
А так же можно используя логин и пароль администратора домена изменять настройки компьютера (сеть и т.д.)

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\epo>set
ALLUSERSPROFILE=C:\ProgramData
APPDATA=C:\Users\epo\AppData\Roaming
CommonProgramFiles=C:\Program Files\Common Files
CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files
CommonProgramW6432=C:\Program Files\Common Files
COMPUTERNAME=CO-CLIENT01
ComSpec=C:\Windows\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Users\epo
LOCALAPPDATA=C:\Users\epo\AppData\Local
LOGONSERVER=\\CO-DC02
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32
\WindowsPowerShell\v1.0\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
PROCESSOR_ARCHITECTURE=AMD64
PROCESSOR_IDENTIFIER=Intel64 Family 6 Model 42 Stepping 7, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=2a07
ProgramData=C:\ProgramData
ProgramFiles=C:\Program Files
ProgramFiles(x86)=C:\Program Files (x86)
ProgramW6432=C:\Program Files
PROMPT=$P$G
PSModulePath=C:\Windows\system32\WindowsPowerShell\v1.0\Modules\
PUBLIC=C:\Users\Public
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\Windows
TEMP=C:\Users\epo\AppData\Local\Temp
TMP=C:\Users\epo\AppData\Local\Temp
USERDNSDOMAIN=DOMAIN.ORG
USERDOMAIN=DOMAIN
USERNAME=epo
USERPROFILE=C:\Users\epo
windir=C:\Windows

C:\Users\epo>

Оба контроллера домена выключены. »
не похоже

COMPUTERNAME=CO-CLIENT01
LOGONSERVER=\\CO-DC02

cameron, И тем не менее они выключены.
Я даже грешил на виртуальную среду VmWare, в которой крутятся все машины. Пробовал даже выключать клиента, затем выключать питание у сетевого адаптера клиента и включать заного. Не помогло. Клиент так же без проблем логинится в систему

может у вас многосайтовая структура и клиент проходит аунтификацию на каком-то другом КД.
хотя откуда тогда взялось бы CO-DC02 ».

забавно.
хорошо, КД выключены, целевая ОСCO-CLIENT01 » перезагружена после выключения КД, вы успешно входите под любым пользователем.

выполните команды:

dsquery server -isgc
nslookup domain.ru

cameron,
Нет, в домене только один сайт, который привязан к подсети в которой находится клиент и оба КД. Сетевая инфраструктура простейшая, без каких либо серьезных дополнительных изменений - VmWare - 1 шлюз, 2 КД Server 2012(1 лес, 1 домен, 1 сайт, свои GPO не создавались), 1 клиент Windows 7

dsquery server -isgc не ищет, т.к. Windows 7 не знает о такой команде.

PS C:\Users\epo> nslookup domain.org
*** Серверы по умолчанию недоступны
╤хЁтхЁ: UnKnown
Address: 127.0.0.1

а теперь ещё раз вывод
echo %logonserver%

cameron,

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\epo>echo %logonserver%
\\CO-DC01

весело. я не могу это объяснить, ждём более опытных коллег.

Насколько я помню, в предыдущих версиях Active Directory на базе Server 2008/R2 такого не было. И при недоступности службы Active Directory, авторизоваться в системе было нельзя. »
Такого и сейчас нет. Профилей пользователей на клиенте точно не было? Или может остались от прошлого домена с тем же именем?

Профилей пользователей на клиенте точно не было? »
это всё может быть, кроме того что в случае кешированного входа в %logonserver% было бы %computername% ;)

кроме того что в случае кешированного входа в %logonserver% было бы %computername% »
cameron, безотносительно темы; это поведение где-то описано, или просто — из опыта?

или просто — из опыта? »
это мои личные наблюдения, поэтому есть вероятность я ошибаюсь, но пока другого не видела.

cameron, спасибо, ясно.

Проверил. Ноут(8) у меня четвертый день на приличном расстоянии от домашнего диси(2012) и не связан с ним.

C:\Users\winbond>set
...
LOGONSERVER=\\HDC1
...

Скорее всего профили все-таки были закэшированы.

Проверил. Ноут(8) у меня четвертый день на приличном расстоянии от домашнего диси(2012) и не связан с ним. »
logoff - logon
после чего
echo %logonserver%

cameron, через set считывается весь список переменных, я просто опустил остальные. Естественно по эху тот же самый логонсервер выходит, к которому уже почти неделю коннекта нет. Ноутбук перезагружал не раз.

Могу предположить, что ТС уже создавал ранее виртуальный DC+домен с точно таким же именем как и сейчас, и в обоих AD у него пользователи с одинаковыми именами. Также вероятно, что клиентская(виртуальная?) машина была из старого домена выведена и введена в новый. Все имена/явки/пароли полностью одинаковые (ибо никакого смысла на тесте нет выдумывать всё по новому и запоминать), а вот SID'ы у пользователей/машин по любому вышли разные. Соответственно если глянуть в папку USERS на клиенте, там двойной комплект профилей (те которыми заходил в прежний домен, и те которыми в новый). Старые профили и сбивают с толку.

P.S. Свойства системы - Дополнительно - Профили пользователей - Параметры. Все не относящиеся к текущему домену вошедшего пользователя профили будут показаны не по именам, а по SID.