Аутентификация пользователей.

Сервис входа в сеть выполняет аутентификацию запроса на вход в систему за три шага:

1. Обнаружение

2. Установка безопасного канала

3. Сквозная аутентификация

Обнаружение. Когда пользователь входит в домен с компьютера, который не является контроллером домена, компьютер должен определить местоположение контроллера домена в его домене. Действия по поиску контроллера домена для установления соединения называется обнаружением.

При запуске контроллера домена сервис входа в сеть пытается выполнить обнаружение во всех доверяемых доменах. Каждый домен опрашивается по три раза с интервалом в 5 секунд и если это не даёт результата, обнаружение считается неудавшимся.

Канал безопасной коммуникации. Прежде чем разрешить установление соединения между двумя компьютерами Windows, сервер входа в сеть каждого из этих компьютеров должен получить подтверждение того, что компьютер на другом конце правильно идентифицирует себя. При этом создаются следующие специальные внутренние пользовательские бюджеты:

· Бюджет доверия рабочей станции - позволяет рабочей станции домена выполнять сквозную аутентификацию для принадлежащего к домену компьютера Windows Server.

· Бюджеты доверия сервера позволяют компьютерам под управлением Windows Server получать с контроллера домена копии баз данных главного домена.

· Междоменные бюджеты доверия позволяют компьютеру под управлением Windows Server выполнять сквозную аутентификацию для другого домена.

  Сквозная аутентификация. Сквозная аутентификация имеет место в том случае, когда необходимо аутентифицировать пользовательский бюджет, но локальный компьютер не может сделать этого сам.

Сквозная аутентификация требуется в следующих случаях:

1) Когда пользователь с компьютера, который не является контроллером домена, пытается войти в домен или доверяемый домен.

2)        При удаленном входе в систему, когда домен указан как доверяемый            домен.

Интерактивный вход в систему.

Интерактивный вход в систему может иметь место в любой БД пользовательских бюджетов, где у пользователя имеется бюджет.

 

Компьютер принадлежит к:	Пользователь может регистрироваться в	Уникальный идентификатор
Рабочей группе	Локальной базе данных	имя компьютера и пользовательское имя
Домену	Локальной БД	Имя компьютера и пользовательское имя
	БД домена	Имя домена и пользовательское имя
Домену с доверительными отношениями	Локальной БД	Имя компьютера и пользовательское имя
	БД локального домена	Имя домена и пользовательское имя
	БД доверяемого домена	Имя доверяемого домена и пользовательское имя
Домену без доверительных отношений	Локальной БД	Имя компьютера и пользовательское имя Имя недоверяющего домена и пользовательское имя

 

 

Удалённый вход в систему.

 

Для успешного осуществления удалённого входа в систему необходимо выполнять следующую последовательность шагов.

1) пользовательское имя, пароль и имя домена регистрирующегося пользователя отправляются с компьютера пользователя на удаленный сервер Windows.

2) Диспетчер бюджета безопасности сравнивает пользовательское имя и пароль с информацией, которая хранится в БД пользовательских бюджетов.

3) Если доступ санкционирован, распорядитель локальной безопасности строит маркер безопасного доступа и передает его процессу сервера, который создает идентификатор пользователя.

4) Пользовательский идентификатор возвращается клиентскому компьютеру для исполнения во всех последующих запросах к серверу.