需要以下问题的帮助。
- 当根据 AD 验证用户登录(在网络中的计算机上)时,使用的身份验证方法是什么?
- 当在 Windows NT 环境(而非 AD)中验证用户登录时,使用的身份验证方法是什么?
- 如果所有用户的帐户都在 AD 上,是否可以仅将身份验证机制(或协议)从 AD 更改为 NT,反之亦然(如果可能)?
- 如果问题 3 的部分/全部有效,那么应该在哪里更改这些身份验证方法?
- AD 和 Windows-NT 身份验证有什么区别?
使用Windows Server 2008 域控制器。
问候,
巴拉吉
答案1
我不确定你到底想了解 AD 与本地计算机身份验证的工作原理,但你可以在两者之间切换。这个主题足以占据很多篇幅。
简而言之,活动目录查询被发送到活动目录服务器,而本地身份验证则使用注册表中的 SAM 进行处理。如果您想切换方法,您可以在打开计算机时立即以 \localmachinename\username 而不是 \activedirectory\username 进行身份验证(某些版本的 Windows 允许您在用户名和密码下的第三个框中更改“方法”,其中列出了可用的域或本地计算机名称(此计算机)。
区别是什么?一个只存在于该计算机本地,另一个为您提供一种在域成员的任何计算机上都有效的帐户的方法。AD 集中管理帐户,集中管理密码和用户。如果您拥有多台 Windows 计算机,那么 AD 可能非常有用,并且对于运行 IT 基础架构来说几乎必不可少。
这听起来有点像家庭作业问题...是吗?这些问题旨在解决某个特定问题,而社区可能会提供帮助,这正是您所要解决的问题吗?
答案2
您要查找的详细信息位于服务器 2008 资源工具包中。正如 Bart 提到的,这是大量信息(字面意思),例如(在 DNS 中定位域控制器等)。
答案3
- 视情况而定。在同一个林中?应该是 Kerberos。在共享林级信任的第二个林中?也应该是 Kerberos。通过外部信任?NTLM。
- 如果您指的是 NT 4.0 域,那么就没有 Kerberos 支持。NTLM。
- 你肯定不想这么做。Kerberos 被认为比 NTLM 更安全,原因有很多。
- 不适用。
- AD 原生使用的 Kerberos 使用票证系统,可减少对 DC 的攻击。它还支持委派,而 NTLM 不支持。它使用时间戳,可降低重放攻击成功的可能性。这些都是 Kerberos 受到青睐的一些原因。