问题:AD 是否通过网络发送用户的访问令牌?
研究:鉴于 TGT 是根据设计通过网络传输的,以下两段文字相互矛盾。
摘自 Oreilly 编写的《Active Directory》第 5 版:
最重要的是,用户的访问令牌存储在 TGT 中。访问令牌包含重要信息,例如用户属于哪些组、用户的 NT 权限以及动态访问控制 (DAC) 声明。
摘自 Microsoft Press 编写的 Windows Server 2008 Active Directory 资源工具包:
每当用户尝试访问资源时,安全子系统都会使用访问令牌。当用户尝试访问本地资源时,客户端工作站会将令牌提供给任何在允许访问资源之前请求安全信息的线程或应用程序。访问令牌是从未通过网络传输到另一台计算机;而是在用户尝试访问资源的每台服务器上创建一个本地访问令牌。例如,当用户尝试访问运行 Exchange Server 2007 的服务器上的邮箱时,服务器上会创建一个访问令牌。
答案1
这些描述有点模糊。有两个令牌。一个是进程访问令牌,另一个是 Kerberos 令牌。进程令牌特定于本地计算机。
“在 Windows 实现中,应用程序服务器获取授权数据 (PAC) 并请求 Windows 操作系统生成访问令牌。”
Kerberos TGT 包含授权数据、签名以及 Kerberos 的 Microsoft Active Directory 实现中的扩展,称为特权属性证书 (PAC)。PAC 包含用户身份信息、组 SID、用户权限/特权、用户配置文件信息、域控制器授权数据、客户端计算机信息以及受保护的凭据/密码。
创建的进程访问令牌将任何本地安全策略/权利/特权/组与 TGT PAC 中指定的策略/权利/特权/组进行结合/合并。
如果创建的访问令牌是委托级模拟令牌,则可以使用它来访问远程计算机上的资源,因为委托令牌包含受保护的凭据。尽管在远程计算机上创建了一个新的进程访问令牌。
访问令牌的工作原理
https://technet.microsoft.com/en-us/library/cc783557(v=ws.10).aspx
[MS-PAC]:特权属性证书数据结构
https://msdn.microsoft.com/en-us/library/cc237917.aspx
答案2
黄色的,
2008 AD 资源工具包中的信息是正确的,访问令牌由本地系统创建,然后附加到用户正在运行的线程。这里有一些非常好的信息:
https://msdn.microsoft.com/en-us/library/windows/desktop/aa374909(v=vs.85).aspx
和这里
https://technet.microsoft.com/en-us/library/cc783557(v=ws.10).aspx
虽然第二个链接有点旧。