当其他用户解锁先前锁定的PC时再次登录和注销-它如何工作？

我在某些办公室PC上观察到Windows 7的行为很奇怪：

用户A照常登录到他的帐户。
用户A锁定PC（通过Win + L或类似方式）。
用户B（无关紧要，只要是具有不同用户帐户的人），然后使用其凭据（直接在PC或远程）登录到同一台PC。
用户B再次注销。
出现“注销”屏幕后，用户A的会话将立即解锁，而无需用户A的密码。

这种精确的模式可以在所有受影响的PC上以任意用户帐户组合呈现。我听说我们的管理员提到，即使管理员帐户碰巧保持登录正确的PC，它甚至可以解锁管理员帐户。但是，它不能在我们最近为我们的团队购买的一批较新的PC上使用。

这种现象是众所周知的吗？我无法通过Google找到类似行为的报告，因此我认为它必须是我们办公环境所特有的。Windows 7配置中的哪些缺陷可能导致这种现象？

一些背景：

我们的PC运行Windows 7 Professional 64位。已安装SP1。安全更新似乎被定期应用。
所有用户帐户均为域帐户。
几个月前，我曾告知一位管理员有关此功能的问题，但由于这种行为仍然存在，因此我将尝试以更紧迫的方式介绍此问题（并确保这次也包括负责IT安全的人员）。
我知道这对信息安全有一些影响。（这允许模拟，访问受限的网络驱动器等。）但是至少在我的PC上，它严重干扰了我的窗口布置，因此如果没有我的注意，那么有人就不可能利用它。我敢肯定，尚未得到解决的唯一原因是因为没有任何（已知）滥用案例。此外，还需要对相应PC进行物理访问才能被利用。
我只是没有提升特权的用户。我将尽力提供所需的任何信息（如果有的话），但迟早可能会遇到一些限制。
我也很抱歉，如果我关于系统管理的术语不正确-我不是专业人士。请让我知道我是否可以改善我的措辞。

自动运行的“登录”选项卡（隐藏了Microsoft条目）：涂黑部分是一个脚本，该脚本根据登录的用户来映射网络驱动器。自动运行的Winlogon选项卡（仅Windows条目）：

windows-7

— Inarion
source

我真的怀疑这是由于本地修改导致您的新PC尚未遭受损坏。（我不记得有任何新闻报道就此特定问题抨击过微软……）

— user1686

这绝对是由第三方程序引起的。本地用户帐户会发生这种情况吗？在安全模式下？使用自动运行禁用所有非微软的应用程序启动和测试的行为（注意与驱动程序和服务，虽然这是最有可能的这可能是导致它）。

— 我说恢复莫妮卡

另外，1）在自动运行中，Winlogon选项卡上有什么？请尽可能发布该标签的屏幕截图。2）问题发生后，密钥中LastLoggedOnProvider值的数据是什么HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\SessionData\#？（哪里#的会话数量可能不止一个。）

— 我说的是恢复莫妮卡（Monica）

@TwistyImpersonator Autoruns似乎也要在我的私人PC上使用-非常漂亮！1）在“登录”选项卡上有一堆条目，它们对我来说都可疑。将截图添加到我的问题。2）所有键对LastLoggedOnProvider都显示相同的值，但是只有第一个键在LoggedOnUsername中显示我的用户名，而其他所有键中都有我同事的名字（与我进行测试的那个人）。

— Inarion

@TwistyImpersonator关于本地帐户：我仍然需要测试。我无法禁用HKCU中的条目，因为我没有这样做的特权。将必须让我们的IT人员做到这一点。

— Inarion

Answers:

这是设计好的。

请参阅交互式登录：需要域控制器身份验证才能解锁工作站

它是一种安全设置，从本质上讲，如果未启用，则允许用户登录而无需验证域控制器。

在您的情况下，用户A已验证并被缓存。用户B已通过验证，并且当用户A返回时，它使用了缓存。如果设置了该设置，则应该要求重新验证到域控制器，以便进行回退。如果您说一台笔记本电脑而失去了网络连接，则如何连接回域控制器以进行解锁。因此，这可能是一个“危险”的环境。

— todd_placher
source

谢谢，该链接对我的一般理解很有帮助。但是，您的链接和相关的Google结果均未表明缓存的凭据将用于自动验证用户身份（无需输入密码）。据我了解，即使本地缓存的凭据也只能用作用户登录时输入内容的比较。因此，从理论上讲，不存在用户B可以以用户A身份登录的场景，无论用户A是否具有其凭据已缓存。然而它仍然发生。

— Inarion

有趣的是，您的评论引发了人们对Windows使用的各种登录方法有何不同的疑问，对于Windows 10，它已被Microsoft Windows Credential Provider Integration取代，进行更深入的研究，您会发现CREDENTIAL_PROVIDER_USAGE_SCENARIO枚举请参阅备注部分

— todd_placher

备注：从Windows 10开始，已合并CPUS_LOGON和CPUS_UNLOCK_WORKSTATION用户方案。这使系统能够支持多个用户登录到计算机，而不必创建和切换会话。一旦计算机被锁定，该计算机上的任何用户都可以登录，而无需退出当前会话并创建一个新会话。因此，CPUS_LOGON既可以用于登录系统，也可以用于工作站解锁时。

— todd_placher

错了 OP正在经历一种情况，以前登录但已锁定的帐户在没有用户提供其凭据的情况下被解锁。当提供凭据时，您引用的GPO设置控制Windows行为...但是必须提供那些凭据才能解锁登录会话。

— 我说恢复莫妮卡

因此，看来我们的IT人员发现了问题。我们所有的PC，无论是Dell还是HP品牌的，都安装了HP Remote Graphics Sender（对于我的PC，是6.0.3版）。禁用相应的服务会立即停止违规行为。

至于为什么这项特定服务在Windows中启用了这种闻所未闻的行为：我们不知道。我们完全一无所知。
由于我们不需要发送方服务（仅使用接收方），因此我们很可能不会为该问题分配更多资源。因此，我只能推测该问题可能是由于HP软件与我们的Dell品牌PC之间存在某种不兼容引起的。（大多数受影响的PC是戴尔生产的，尽管有几台-较旧？-惠普计算机的行为也不尽如人意，所以这不是全部。）

所有被认为是整个事件的事物仍然令人难以置信地神秘，但是不幸的是，无论是从资金还是从特权的角度来看，我都无法进一步调查此事。

— Inarion
source