我已经了解了本地登录和域登录的 Windows 交互式登录过程的详细架构。
但有一件事我不确定它实际上是如何工作的:
我的系统是域组的一部分,本地管理员和域管理员都具有相同的凭据/密码。
例如:MyDomain\Administrator,这是域管理员,与本地管理员具有相同的密码。
在这种情况下,身份验证实际上是如何工作的?它是从本地 LSA 验证用户,还是一直到域控制器 LSA?
答案1
如果您登录域,则它会通过域控制器进行身份验证。如果您登录本地计算机,则它会通过您登录的计算机的本地安全机构进行身份验证。用户名和密码相同并不重要。区别在于上下文,您是登录域还是本地计算机?
域\用户名
或者
计算机\用户名
答案2
如果密码相同则无所谓(尽管这不一定是最佳做法)。登录时,密码会在以下不同位置进行检查:
- 本地管理员已在当地的机器
- 域管理员已在领域(活动目录)。
当您登录时,登录对话框会进行这种区分,例如,如果您想使用当前选定的域名或机器名(在“选项”中)以外的任何名称,则要求您在帐户名前加上域名(或本地机器名)作为前缀。
顺便说一句,对于域控制器(机器)的特殊情况,没有本地管理员。它只有域管理员帐户。