Я изучил подробную архитектуру процедуры интерактивного входа в Windows как для локального, так и для доменного входа.
Но в одном я не уверен, как на самом деле это работает, когда:
Моя система является частью группы домена, и у локального администратора и администратора домена одинаковые учетные данные / пароль.
например: MyDomain \ Administrator, это администратор домена, имеет тот же пароль для локального администратора.
В этом случае, как на самом деле работает аутентификация? Проверяет ли он пользователя из локального LSA или идет до LSA контроллера домена?
Не имеет значения, есть ли у них один и тот же пароль (хотя это не обязательно лучшая практика). При входе в систему пароль проверяется в разных местах:
Когда вы входите в систему, диалоговое окно входа в систему делает это различие, например, требуя от вас префикса имени учетной записи с доменом (или именем локального компьютера), если вы хотите использовать что-либо, кроме текущего выбранного домена или имени машины ( в «Параметры»).
Между прочим, для частного случая контроллера домена (машины) нет локального администратора. У него есть только учетная запись администратора домена.
Если вы входите в домен, он аутентифицируется с помощью контроллера домена. Если вы входите в систему на локальном компьютере, он аутентифицируется с помощью локального органа безопасности компьютера, на котором вы входите. Неважно, что имена пользователей и пароли совпадают. Разница в контексте, вы входите в домен или на локальный компьютер?
Домен \ Имя пользователя
ИЛИ
Компьютер \ Имя пользователя