想象一下一个 Windows 工作组网络,其中两台计算机各自拥有一个具有相同用户名/密码组合的本地帐户。如果我登录到一台计算机,并尝试连接到另一台计算机上的非公共共享资源,系统不会提示我输入凭据 — 事实上,远程计算机拥有一个本地帐户,其凭据与我正在使用的计算机上的本地帐户相同,这意味着我“悄无声息”地通过了身份验证。
- 我的理解没有错吧?
- 如果是,为什么我找不到任何文档?我已经在 Google 上搜索了很久。该功能有名字吗?有人能给我提供一些官方文档吗?
提前致谢。
答案1
这称为直通 NTLM 身份验证,NTLM TechNet 文章中有记录Pass-through authentication。请参阅底部标题部分。
NetLogon 服务实现传递身份验证。它执行以下功能:
选择传递身份验证请求的域。
选择域内的服务器。
将身份验证请求传递至选定的服务器。
选择域很简单。域名将传递给 LsaLogonUser。域名的处理方式如下:
如果域名与 SAM 数据库的名称匹配,则在该计算机上处理身份验证。在作为域成员的 Windows 工作站上,SAM 数据库的名称被视为计算机的名称。在 Active Directory 域控制器上,帐户数据库的名称是域的名称。在非域成员的计算机上,所有登录都在本地处理请求。
如果指定的域名受此域信任,则身份验证请求将传递到受信任的域。在 Active Directory 域控制器上,可以轻松获得受信任域的列表。在 Windows 域成员上,请求始终传递到工作站的主域,让主域确定指定的域是否受信任。
如果指定的域名不受域信任,则在连接的计算机上处理身份验证请求,就好像指定的域名就是该域名一样。NetLogon 不区分不存在的域、不受信任的域和错误输入的域名。