Moin,
nein. Das Kennwort des Users wird nur lokal vom Winlogon-Prozess verarbeitet. Bei der Kommunikation mit dem DC wird nur der Hash übertragen. Der DC kennt das Kennwort nicht, nur den Hash.Liege ich richtig mit der Annahme, dass das Passwort eines Domänen-Benutzers nur bei der Anfrage nach einem TGT ins Spiel kommt (also bei der AS_REQ-Nachricht)?
Danach hingegen, und das meinst du vermutlich, wird nur das Kerberos-Ticket übertragen. Eine kennwort- bzw. hashbasierende Anmeldung erfolgt nur gegenüber den Domänencontrollern.
Das beschriebene Szenario habe ich allerdings nicht verstanden und kann daher nichts dazu sagen.
Gruß, Nils -- MVP Windows Server: Directory Services www.kaczenski.de Twitter: @Kaczenski www.faq-o-matic.net http://about.me/Nils.Kaczenski MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski