Назад | Перейти на главную страницу

Как Microsoft Active Directory обрабатывает аутентификацию пользователей?

Поскольку я ищу дополнительную информацию для своего последнего экзамена, мне было интересно, как работает процесс аутентификации пользователей Windows.

В моем воображении это могло бы выглядеть так:

пользователь вводит данные для входа на свой компьютер с Windows

машины передают учетные данные PDC

PDC запрашивает активный каталог

AD сопоставляет запись со своей базой данных

AD сообщает PDC -> O.K.

PDC сообщает машине Windows -> O.K.

машина Windows входит в систему пользователя

Но может быть машина Windows просто пропускает PDC и передает запрос непосредственно в службу активного каталога (например, машины unix передают запросы аутентификации на сервер LDAP ...)?

Кто-нибудь точно знает, как это работает?

Я не знаю, какой это будет экзамен, но если бы вы посещали какие-либо уроки, связанные с Microsoft AD, вы бы не стали изливать такую ерунду.

пользователь вводит учетные данные на локальном компьютере.
локальный компьютер проверяет, есть ли у него билет проверки подлинности для этих учетных данных.
в противном случае он связывается с первым найденным сервером ADS, который предлагает функции аутентификации Kerberos.
машина ADS проверяет учетные данные по базе данных LDAP.
если они выписываются, kerberos возвращает TGT (ticket-granting-ticket) на клиентскую машину
в течение определенного времени, установленного в AD (обычно 8 ~ 10 часов), этот TGT будет обходить любую проверку учетных данных в случае, если пользователь локального компьютера хочет подключиться к ресурсам, требующим разрешений, отсутствующих в его простой учетной записи (например, членство в группах, дополнительная машина и общий доступ и т. д.)

TGT - это то, что позволяет вести единый вход для всех участников и служб домена Windows.

Вот хорошая подробная статья о процессе, которую я нашел, выполнив поиск по процессу входа в Windows.
http://technet.microsoft.com/en-us/library/cc780332(v=ws.10).aspx

Удачи