Назад | Перейти на главную страницу

Как именно работает «тихая» аутентификация с использованием соответствующих локальных учетных записей в сети Windows?

Представьте себе сеть рабочей группы Windows, в которой два компьютера имеют локальную учетную запись с одинаковой комбинацией имени пользователя и пароля. Если я вхожу в систему на одном компьютере и пытаюсь подключиться к общедоступному общему ресурсу на другом, мне не предлагается ввести учетные данные - тот факт, что удаленный компьютер имеет локальную учетную запись с теми же учетными данными, что и локальная учетная запись на компьютер, который я использую, означает, что я аутентифицируюсь "тихо".

  1. Я правильно понял, да?
  2. Если да, то почему я нигде не могу найти это документально? Я провел обширный поиск в Google. У функции есть название? Может ли кто-нибудь указать мне на официальную документацию?

Заранее спасибо.

Это называется сквозной аутентификацией NTLM и описано в статье NTLM TechNet. См. Раздел под названием Pass-through authentication к низу.

Служба NetLogon реализует сквозную аутентификацию. Он выполняет следующие функции:

  • Выбирает домен для передачи запроса аутентификации.

  • Выбирает сервер в домене.

  • Передает запрос аутентификации выбранному серверу.

Выбрать домен очень просто. Доменное имя передается LsaLogonUser. Доменное имя обрабатывается следующим образом:

  • Если имя домена совпадает с именем базы данных SAM, аутентификация обрабатывается на этом компьютере. На рабочей станции Windows, которая является членом домена, имя базы данных SAM считается именем компьютера. На контроллере домена Active Directory имя базы данных учетных записей является именем домена. На компьютере, который не является членом домена, все запросы на вход обрабатываются локально.

  • Если указанному доменному имени доверяет этот домен, запрос аутентификации передается в доверенный домен. На контроллерах домена Active Directory легко доступен список доверенных доменов. На члене домена Windows запрос всегда передается в основной домен рабочей станции, позволяя основному домену определять, является ли указанный домен доверенным.

  • Если указанное доменное имя не является доверенным для домена, запрос аутентификации обрабатывается на компьютере, к которому он подключен, как если бы указанное доменное имя было этим доменным именем. NetLogon не делает различий между несуществующим доменом, ненадежным доменом и неправильно набранным доменным именем.