当我为期末考试寻找更多信息时,我想知道 Windows 用户的身份验证过程是如何进行的。
在我的想象中,情况可能是这样的:
- 用户在 Windows 机器上输入登录信息
- 机器将凭据传递给 PDC
- PDC 询问活动目录
- AD 将条目与数据库进行匹配
- AD 告诉 PDC --> 确定
- PDC 告诉 Windows 机器 --> 确定
- windows 机器登录用户
但或许Windows 机器只是跳过 PDC 并将请求直接传递给活动目录服务(例如,Unix 机器将身份验证请求传递给 LDAP 服务器...)?
有人知道它究竟是如何运作的吗?
答案1
这是我在搜索 Windows 登录过程时找到的一篇有关该过程的详细文章。
http://technet.microsoft.com/en-us/library/cc780332(v=ws.10).aspx
祝你好运
答案2
我不知道这将是一场什么样的考试,但如果你参加过任何与 Microsoft AD 相关的实际课程,你就不会说出这样的胡言乱语。
- 用户在本地机器上输入凭证。
- 本地机器检查是否已经拥有这些凭证的身份验证票。
- 如果没有,它会联系它能找到的第一个提供 Kerberos 身份验证功能的 ADS 服务器
- ADS 机器根据 LDAP 数据库检查凭证。
- 如果他们签出,kerberos 将向客户端计算机返回 TGT(票证授予票证)
- 在 AD 中设置的一定时间内(通常为 8 至 10 小时),如果本地计算机用户希望连接到需要其裸用户帐户中不存在的权限的资源(即组成员身份、附加计算机和共享访问等),此 TGT 将绕过任何凭据检查
TGT 允许 Windows 域中的所有成员和服务进行 SSO 行为。