Cached Credentials: вход в Windows под сохраненными учетными данными при недоступности домена
16.02.2022
itpro
Active Directory, Групповые политики
комментариев 15
Когда доменный пользователь входит в Windows, по умолчанию его учетные данные (Cached Credentials: имя пользователя и хэш пароля) сохраняются на локальном компьютере. Благодаря этому, пользователь сможет войти на локальный компьютер, даже если контроллеры домена AD недоступны, выключены или на компьютере отключен сетевой кабель. Функционал кэширования учетных данных доменных аккаунтов удобен для пользователей ноутбуков, которые могут получить доступ к своим локальным данным на компьютере, когда нет доступа к корпоративной сети.
Сохраненный кэш доменной учетной записи в Windows
Вход на компьютер под кэшированными данными для пользователя доступен, если он ранее хотя бы один раз авторизовался на этом компьютере, и пароль в домене не был сменен с момента входа. Пароль пользователя в cashed credentials никогда не истекает. Если доменная политика паролей вынудит пользователя изменить пароль, сохраненный пароль пользователя в локальном кэше компьютера не изменится, пока пользователь не войдет на компьютер под новым паролем. Т.е. если пароль пользователя в AD был изменен после последнего входа на компьютер, и компьютер находился все время в офлайн режиме без доступа в сеть, то пользователь сможет войти на этот компьютер под старым паролем.
Если домен Active Directory недоступен, Windows проверяет, что введенные имя пользователя и пароль соответствуют сохраненному локальному хэшу и разрешает локальный вход на компьютер.
Сохраненные пароли хранятся в ветке реестра HKEY_LOCAL_MACHINE\Security\Cache (файл %systemroot%\System32\config\SECURITY). Каждый сохранённый хэш содержится в Reg_Binary параметре NL$x (где x – индекс кэшированных данных). По умолчанию даже у администратора нет прав на просмотр содержимого этой ветки реестра, но при желании их можно легко получить.
Если в локальном кэше для пользователя нет сохранённых учетных данных, то при входе на офлайн компьютер, появится сообщение:
Настройка Cached Credentials с помощью групповых политик
С помощью параметров групповых политик вы можете задать количество уникальных пользователей, чьи учетные данные могут быть сохранены в локальный кэш на компьютерах домена. Чтобы данные попали в кэш, пользователь должен хотя бы один раз залогиниться на компьютер.
По-умолчанию в Windows 10 /Windows Server 2016 сохраняются учетные данные для 10 пользователей. Чтобы изменить это количество, используется параметр GPO Interactive logon: Number of previous logons to cache (in case domain controller is not available) (Интерактивный вход в систему: количество предыдущих подключений к кэшу в случае отсутствия доступа к контроллеру домена), который находится в разделе Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options. Можно задать значение от 0 до 50.
При входе под сохраненными данными, пользователь не видит, что контроллер домена не доступен. С помощью GPO можно вывести уведомление о входе под кэшированными данными. Для этого нужно включить политику Report when logon server was not available during user logon (Сообщать, когда сервер входа недоступен при входе пользователя) в разделе Compute configuration -> Policies -> Administrative templates -> Windows Components -> Windows Logon Options.
В этом случае при входе пользователя в трее будет появляться уведомление:
- ValueName: ReportControllerMissing
- Data Type: REG_SZ
- Values: TRUE
Безопасность кэшированных учетных данных в Windows
Локальное кэширование учетных данных несет ряд рисков безопасности. Злоумышленник, получив физический доступ к компьютеру/ноутбуку с кэшированными данными, может с помощью брутфорса расшифровать хэш пароля (тут все зависит от сложности и длины пароля, для сложных паролей время подбора огромное). Поэтому не рекомендуется использовать кеширование для учетных записей с правами локального администратора (или, тем более, доменного администратора).
Для уменьшения рисков безопасности, можно отключить кэширование учетных записей на офисных компьютерах и компьютерах администраторов. Для мобильных устройств желательно уменьшить количество кэшируемых аккаунтов до 1. Т.е. даже если администратор заходил на компьютер и его учетные данные попали в кэш, при входе пользователя-владельца устройства, хэш пароля администратора будет удален.
Для доменов с функциональным уровнем Windows Server 2012 R2 или выше можно добавить учетные записи администраторов домена в группу Protected Users. Для таких пользователей запрещено локальное сохранение кэшированных данных для входа.
Можно создать в домене отдельные политики по использованию кэшированных учетных данных для разных устройств и категорий пользователей (например, с помощью GPO Security filters, WMI фильтров, или распространению настроек параметра реестра CashedLogonsCount через GPP Item level targeting).
Для мобильных пользователей – CashedLogonsCount = 1
Для обычных компьютеров – CashedLogonsCount = 0
Такие политики снизят вероятность получения хэша привелигированных пользователей с персональных компьютеров.
Предыдущая статья Следующая статья 
Cпособы выгрузки учетных записей из кэша домена
В этой статье будет рассмотрена атака с целью получения учетных записей из кэша домена и различные техники для извлечения хэшей паролей через эксплуатацию пользователя домена.
Domain Cache credential (DCC2)
Microsoft Windows хранит информацию о предыдущей авторизации пользователей локально. Соответственно, эти сведения используются в случае, если сервер авторизации (logon server) окажется недоступным. Эта технология носит название Domain Cache credential (или по другому MSCACHE или MSCASH хэш), которая сортирует хэши паролей пользователей, чтобы вы не смогли выполнить атаки навроде pass-the-hash. Для генерации хэшей используется алгоритм MSCACHE, хранящихся локально в реестре операционной системы Windows (по умолчанию, последние 10 хэшей).
Существует две версии MSCASH/MSCACHE (или DCC):
MSCACHEV1 или DCC1, используемый до Vista и Server 2003
MSCACHEV2 или DCC2, используемый после Vista и Server 2003
Переходим к рассмотрению техник для извлечения хэшей.
Metasploit – первый инструмент в нашем списке, помогающий пентестеру извлекать MSCACHE хэши, хранимые в реестре. Соответствующий модуль извлекает хэши домена, которые были закэшированы в результате настройки групповой политики (GPO). По умолчанию Windows хранит информацию о 10 последних успешных авторизаций:
По результатам отработки модуля выгружаются хэши паролей из DCC2/MSCACHE, как показано на рисунке ниже:
Этот тип хэшей также можно извлечь при помощи Python и библиотек impacket. Перед использованием данной техники следует сохранить ветви реестра system и security на локальной машине при помощи следующих команд:
reg save hklm\system c:\system
reg save hklm\security c:\secuirty
Рисунок: Сохранение ветвей реестра на локальную машину
Далее скопируйте полученные файлы туда, где установлен impacket. В нашем случае копирование происходит в систему с Kali Linux. Затем для извлечения DCC2/MSCACHE хэшей используем следующую команду:
python secretsdump.py -security -system system LOCAL
Результат отработки скрипта показан на рисунке ниже:
Рисунок: Выгрузка хэшей при помощи скрипта secretsdump.py
Ни для кого не секрет, что mimikatz – одна из наилучших утилит в арсенале пентестера для извлечения учетных записей в ОС Windows. С целью извлечения DCC2 / MSCACHEv2 хэшей необходимо установить mimikatz на скомпрометированной машине и выполнить следующую команду:
Результат выполнения вышеуказанных команд показан на рисунке ниже:
Рисунок: Выгрузка хэшей при помощи mimikatz
Переходим к следующей технике. В PowerShell Empire есть модуль для извлечения MSCACHEV2 хэшей из реестра скомпрометированной машины. Загрузите и запустите Empire в вашей локальной системе, скомпрометируйте целевой хост с целью использования пост-модуля, а затем введите следующую команду:
set agent <agent_id>
Результаты работы модуля по выгрузке MSCACHEv2 хэшей показаны на рисунке ниже:
Рисунок: Результат выгрузки хэшей при помощи модуля в PowerShell Empire
Как и в случае с Powershell Empire, вы можете использовать утилиту Koadic для извлечения DCC2 хэшей при помощи следующего модуля:
set MIMICMD lsadump::cache
Результаты работы этого модуля показаны на рисунке ниже:
Рисунок: Извлечение хэшей при помощи Koadic
Как и в примере с impacket вы можете воспользоваться скриптом mscache.py для извлечения MSCACHEV2 хэшей. Загрузите скрипт с github, и во время запуска в качестве параметров укажите пути к выгруженным файлам (как рассматривалось в разделе с impacket):
python mscache.py —security /root/Desktop/security –system /root/Desktop/system
Результаты работы скрипта показаны на рисунке ниже:
Рисунок: Выгрузка хэшей при помощи скрипта mscache.py
Расшифровка полученных хэшей
Как мы уже знаем, эти хэши не используются во время атак pass the hash, и нам нужна утилита john the ripper для расшифровки:
john —format=mscasch2 —wordlist=/usr/share/wordlists/rockyou.txt mhash
В результате получаем пароль в открытом виде для указанного хэша. Старайтесь не путаться между понятиями DCC2 и MSCACHEV2/MSCASH. Эти хэши идентичные и могут извлекаться при помощи вышеуказанных техник.
1.4K постов 25.1K подписчика
Правила сообщества
Обязательно к прочтению для авторов:
1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда «Какой-то банк слил данные, потому что мне звонили мошенники» будут выноситься в общую ленту.
2. Все вопросы «Как обезопасить сервер\приложение\устройство» — в лигу «Компьютер это просто».
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.
А контрится все это, насколько я помню, банальным убиранием прав дебага. И выдачей их крайне на ограниченное время.
Один раз мимикатц здорово помог в одной фирме. Был конфликт со старыми админами, каша с юрлицами, крч работать надо, а дела старые админы не передавали. В итоге дернули из файла гибернации локального админа, поставили кейлоггер, а юзеры позвали одного из старых админов пофиксить какой-то косяк. Как итог на руках доменный админ))
Всегда нравилось описание хакерских утилит, которые банально ловятся Касперским.
А ломается брутфорсом также долго как и 20 лет назад лофткряком?
А сейчас хеши цельные или если пароль 16 символов то хеши насколько я помню было два по 8?
Наш маленький секрет
Ответ Vzazu в «Ревнивец»
У меня тоже есть, что рассказать!
Было лет 15 назад. Выходной, часов 6 утра, сладко спим с парнем. Звонок на сотовый, зачем-то взяла трубку, там оооочень возмущённый женский голос:
— Это ConDar? (имя прям угадала, но оно у меня распространëнное)
— Вы зачем моему Диме звоните?
Тут я аж проснулась:
— Какому Диме? Вы о чём вообще?
— Моему Димеееее. Хватит звонить.
— Девушка, у меня из знакомых Дим только бывший одноклассник, которого я с самого выпуска и не видела. И вообще, 6 утра! Совесть имейте.
— В смысле 6 утра? Я куда звоню?
— В Москву вы звоните!
— Ой, кажется, правда ошиблась, я из Уфы. Извините.
Трубку положила, очень надеялась спать дальше, тут звонок с этого же номера и, собственно, фраза, из-за которой я и запомнила эту историю:
— Я, конечно, извиняюсь, что опять звоню, но, скажите, пожалуйста: я могу вам доверять?
Шпионам на заметку
Живу в Англии, парень англичанин. Через год совместного проживания случайно обратили внимание, что мы чихаем по-разному. Я чихаю АААПЧХИИИИ, а он АААЧХУУУУ. Задумались, стали расспрашивать окружающих, как они чихают. После опроса выяснилось: а) это не тот вопрос, который люди от тебя ожидают; б) все опрошенные русские апчхикают, а европейцы апчхукают
Если тут есть шпионы, мотайте на ус.
Агностик
Человечность
На волне постов про опаздывающих
По юности встречался я с одной дамой. Отношения наши были недолгими, около полугода. Но запомнились тем, что она постоянно опаздывала.
«В 7 буду готова, заезжай!»
В 7 часов я у нее под подъездом, звоню — «Выхожу, выхожу!». И пошло время ожидания) В среднем каждый раз по полчаса я ее ждал. Я не знаю с чем была связана эта особенность, но она реально не видела в этом ничего плохого. Ни разу не слышал от нее извинений, ни разу не объяснила в чем дело.
В начале это воспринималось мною снисходительно, но со временем начинало напрягать. Говорил об этом не раз. В ответ «Ой ха ха хи хи, ну опоздала немного, ты же подождал и ничего с тобой не случилось».
В последний раз я просидел в машине под ее подъездом 55 минут. Когда она вышла, то высказал ей всё в лицо и уехал без неё. Видимо это очень задело ее гордость, т.к. после этого ни звонка, ни смски от нее не поступало.
А для общих знакомых причиной нашего расставания было «Он повысил на меня голос!».
Ира, если ты это прочитала и узнала себя, то купи себе часы!
Насекомых на мясо, ленивцев на почту
Тут даже Корчевников ох..ел
Ответ ConDar в «Ревнивец»
Мама на и днях рассказала.
Звонок на мобильный. Там какая-то баба:
— Ты че моему Равшану (имя точно не помню, но подобное) звонишь? Ты что-то на него имеешь?
— Какой Равшан.
— Такой-то! Я его жена, зачем ты ему звонишь?
— Дура, мне 62 года! А Равшан мне машину чинит.
— Ой, извините.
Ответ на пост «Слабаки и соплегоны?»
А я просто оставлю это здесь. Харьков-2023. Жена в Польше. Теперь уже «с другом», подробнее тяжело рассказывать. Родители на связь выходят только когда надо чтобы приехал помог со Светом, водой, отвезти куда-то. Брат в Полтаве. У друзей свои проблемы. Позавчера даже с работы далеко уезжать не стал. В магазине рядом взял бутылку коньяка, в сзади фуфайки расстелил (у меня ВАЗ-2104). На буке ТБВ включил, телефон отключил и бутылку коняшки с лимончиком и плавленым сырком сожрал.
Наутро выслушал какое я говно от всех.
Теперь сижу думаю, а нахрен мне вообще всё это нужно.
Ответ BanPObespredelu в «Про вакансии»
Ооо!Как мне это знакомо!
Устроилась оператором на Почту России в 2012 году, тогда ещё был голый оклад плюс премия, если отделение на неё выйдет.Начальница отделения не особо стремилась к премии, предпенсионный возраст и хороший оклад, мотивации не добавлял, ну и всю основную работу она свалила потихоньку на меня.Себе же оставила, закрытие и открытие смены, на что уходило пол часа в день, а весь остальной её рабочий день проходил по принципу: чай сам себя не попьёт!
Ну а мне и пофиг, больше работы, быстрее смена проходит.
Но тут её вызвали на собрание… с собрания она вернулась слегка озадаченная и в резкой форме велела мне впредь, работать на компьютере под её паролем и её фамилией.
Но я тоже не пальцем делана, начала спорить, что не имею права заходить под чужим паролем и в случае моих ошибок спросят с неё.Так и не добившись внятного ответа, я позвонила в отдел кадров, девочке с которой периодически общались.
Она то мне и пояснила, что со следующего месяца мы переходим на сдельную оплату труда и заработок будет зависеть от рабочих операций произведённых за месяц.
Тут то всё стало ясно…
Естественно работала я как работала, под своим паролем и через месяц получила зарплату раза в три больше, чем у начальницы.А когда с пришли расчетные листы ( они приходили не лично каждому, а в общем письме сразу на всех)она мне заявила, что это расчетчица ошиблась и сказала отдать ей половину, она в контору сама отнесёт.Конечно же я позвонила расчетчице и нет, никто не ошибся, всё моё!
И было жутко обидно, что я то к человеку по- хорошему, а меня не единожды пытались использовать.
6 способов выгрузки учетных записей из кэша домена
В этой статье будет рассмотрена атака с целью получения учетных записей из кэша домена и различные техники для извлечения хэшей паролей через эксплуатацию пользователя домена.
Автор: Raj Chandel
В этой статье будет рассмотрена атака с целью получения учетных записей из кэша домена и различные техники для извлечения хэшей паролей через эксплуатацию пользователя домена.
Domain Cache credential (DCC2)
Microsoft Windows хранит информацию о предыдущей авторизации пользователей локально. Соответственно, эти сведения используются в случае, если сервер авторизации (logon server) окажется недоступным. Эта технология носит название Domain Cache credential (или по другому MSCACHE или MSCASH хэш), которая сортирует хэши паролей пользователей, чтобы вы не смогли выполнить атаки навроде pass-the-hash. Для генерации хэшей используется алгоритм MSCACHE, хранящихся локально в реестре операционной системы Windows (по умолчанию, последние 10 хэшей).
Существует две версии MSCASH/MSCACHE (или DCC):
- MSCACHEV1 или DCC1, используемый до Vista и Server 2003
- MSCACHEV2 или DCC2, используемый после Vista и Server 2003
Переходим к рассмотрению техник для извлечения хэшей.
Metasploit
Metasploit – первый инструмент в нашем списке, помогающий пентестеру извлекать MSCACHE хэши, хранимые в реестре. Соответствующий модуль извлекает хэши домена, которые были закэшированы в результате настройки групповой политики (GPO). По умолчанию Windows хранит информацию о 10 последних успешных авторизаций:
По результатам отработки модуля выгружаются хэши паролей из DCC2/MSCACHE, как показано на рисунке ниже:
Рисунок 1: Извлечение хэшей при помощи модуля в Metasploit
Impacket
Этот тип хэшей также можно извлечь при помощи Python и библиотек impacket. Перед использованием данной техники следует сохранить ветви реестра system и security на локальной машине при помощи следующих команд:
Рисунок 2: Сохранение ветвей реестра на локальную машину
Далее скопируйте полученные файлы туда, где установлен impacket. В нашем случае копирование происходит в систему с Kali Linux. Затем для извлечения DCC2/MSCACHE хэшей используем следующую команду:
Результат отработки скрипта показан на рисунке ниже:
Рисунок 3: Выгрузка хэшей при помощи скрипта secretsdump.py
Mimikatz
Ни для кого не секрет, что mimikatz – одна из наилучших утилит в арсенале пентестера для извлечения учетных записей в ОС Windows. С целью извлечения DCC2 / MSCACHEv2 хэшей необходимо установить mimikatz на скомпрометированной машине и выполнить следующую команду:
Результат выполнения вышеуказанных команд показан на рисунке ниже:
Рисунок 4: Выгрузка хэшей при помощи mimikatz
PowerShell Empire
Переходим к следующей технике. В PowerShell Empire есть модуль для извлечения MSCACHEV2 хэшей из реестра скомпрометированной машины. Загрузите и запустите Empire в вашей локальной системе, скомпрометируйте целевой хост с целью использования пост-модуля, а затем введите следующую команду:
Результаты работы модуля по выгрузке MSCACHEv2 хэшей показаны на рисунке ниже:
Рисунок 5: Результат выгрузки хэшей при помощи модуля в PowerShell Empire
Koadic
Как и в случае с Powershell Empire, вы можете использовать утилиту Koadic для извлечения DCC2 хэшей при помощи следующего модуля:
Результаты работы этого модуля показаны на рисунке ниже:
Рисунок 6: Извлечение хэшей при помощи Koadic
Python скрипт
Как и в примере с impacket вы можете воспользоваться скриптом mscache.py для извлечения MSCACHEV2 хэшей. Загрузите скрипт с github, и во время запуска в качестве параметров укажите пути к выгруженным файлам (как рассматривалось в разделе с impacket):
Результаты работы скрипта показаны на рисунке ниже:
Рисунок 7: Выгрузка хэшей при помощи скрипта mscache.py
Расшифровка полученных хэшей
Как мы уже знаем, эти хэши не используются во время атак pass the hash, и нам нужна утилита john the ripper для расшифровки:
В результате получаем пароль в открытом виде для указанного хэша. Старайтесь не путаться между понятиями DCC2 и MSCACHEV2/MSCASH. Эти хэши идентичные и могут извлекаться при помощи вышеуказанных техник.
Рисунок 8: Расшифровка извлеченного хэша при помощи утилиты john the ripper
7.2. Администрирование учетных записей пользователей
Для регистрации пользователя в домене или в локальной системе и доступа к ресурсам создается учетная запись пользователя (user accounts) — набор уникальных реквизитов, идентифицирующих его для Windows Server. Учетная запись включает имя пользователя и, если требуется, пароль для регистрации в системе, указывает его принадлежность к группам и определяет его привилегии и разрешения на использование компьютера и сети и на доступ к ресурсам.
7.2.1.Учетные записи пользователей Windows Server
Windows поддерживает два типа учетной записи пользователя: локальную и доменную.
Локальные учетные записи разрешают пользователям входить в систему и получать доступ к ресурсам только на том ко м- пьютере, на котором создана локальная учетная запись. Эти учетные записи существуют в локальной базе данных SAM ( Security Accounts Manager ) на каждой системе, работающей под управлением Windows 2003. Они создаются с использованием инстру-
мента Local Users and Groups ( Локальные пользователи и группы ) консоли Computer Management ( Управление компьютером ).
Для входа в систему по локальной учетной записи эта учетная запись обязательно должна присутствовать в базе данныхSAM на системе, в которую Вы пытаетесь войти. Это делает локальные учетные записи непрактичными для больших сетей вследствие больших накладных расходов по их администрированию.
Windows не реплицирует информацию о локальной учетной записи на контроллеры домена. После создания локальной учетной записи компьютер использует свою локальную БД безопасности для аутентификации локальной учетной записи, что позволяет пользователю войти в систему данного компьютера.
Учетные записи пользователей домена хранятся в Active Directory и могут использоваться для входа в систему и доступа к ресурсам по всему лесу Active Directory. Учетные записи этого типа создаются централизованно при помощи консоли Active Directory Users and Computers ( Active Directory – пользователи и компьютеры ). Они позволяют войти в домен и получить доступ
к ресурсам сети. Эта информация позволяет Windows Server аутентифицировать его и создать маркер доступа, содержащий сведения о пользователе и параметрах безопасности. Маркер доступа идентифицирует пользователя для компьютеров с Windows, к ресурсам которых он пытается получить доступ. Windows предоставляет маркер доступа на время выполнения входа.
Доменные учетные записи пользователей хранятся в специальных контейнерах Active Directory. Это могут быть либо стандартные контейнеры Users для пользователей и Computers для компьютеров, либо созданное администратором Организационное подразделение (ОП). Исключение составляют учетные записи контроллеров домена, они всегда хранятся в ОП с назва-
нием Domain Controllers.
Контроллер домена реплицирует информацию о новой учетной записи пользователя на все контроллеры домена в домене. После репликации информации о новой учетной записи пользователя все контроллеры данного домена могут аутентифицировать его при входе.
Кроме того, Windows предоставляет встроенные учетные записи . Эти учетные записи создаются самой системой и не могут быть удалены. Windows автоматически создает несколько встроенных учетных записей, из которых чаще всего применя-
ются Администратор (Administrator) и Гость (Guest) . ОС не позволяет удалять встроенные учетные записи или отключать запись Administrator , хотя встроенные учетные записи можно переименовывать.
Учетная запись Administrator
Учетная запись Administrator применяется для управления общей конфигурацией компьютера или домена, например для создания и изменения учетных записей пользователей и групп, управления политикой безопасности, создания принтеров и предоставления учетным записям разрешений доступа к ресурсам. Если Вы администратор, создайте учетную запись пользователя для выполнения неадминистративных задач. Применяйте учетную запись Administrator только для выполнения административных задач.
Учетная запись Guest
Позволяет случайным пользователям войти в систему и получить временный доступ к ресурсам.
7.2.2. Планирование новых учетных записей пользователей
Планируя и организуя информацию для учетных записей пользователей, можно упростить процесс их создания.
• правила именования учетных записей пользователей;
• требования к паролям;
• параметры учетных записей, например время входа в систему, компьютеры, с которых в нее можно войти, и срок действия учетной записи.
7.2.2.1. Правила именования
Определяют порядок идентификации пользователей в домене. Постоянные правила именования помогут Вам и Вашим пользователям запомнить пользовательские имена входа в систему и найти их в списке.
В таблице 7.2 приведены пояснения некоторых вопросов, рассматриваемых при определении правил именования.