АДМИНИСТРИРОВАНИЕ И НАСТРОЙКА ОС WINDOWS NT

Транзитная аутентификация в многодоменной сети


Пользователи могут входить в сеть из рабочих станций не только того домена, где хранится их учетная информация, но и из рабочих станций доменов, которые доверяют этому домену.

При входе в учетный домен с компьютера ресурсного домена также выполняется транзитная аутентификация. Пользователь в многодоменной сети полностью идентифицируется в сети составным именем в форме имя_домена\имя_пользователя.

Транзитная аутентификация происходит в двух случаях:

  • при начальном логическом входе в учетный домен с рабочей станции,
  • при использовании ресурсов доверяющего домена.

Транзитная аутентификация выполняется в следующей последовательности:

  1. Компьютер Windows NT при старте выполняет сервис Netlogon, с помощью которого обнаруживает контроллер своего домена (например, домена 2) на основе Windows NT Server.
  2. Пользователь (например, пользователь 2) логически входит в компьютер домена 2, имея учетную информацию в домене 1. Он делает это изменяя имя домена в окне From с имени "домен 2" на имя "домен 1".
  3. Контроллер домена 2 не может произвести аутентификацию пользователя, поскольку в запросе указано, что учетная информация пользователя находится в домене 1.
  4. Аутентификационный запрос передается по доверительной связи в контроллер домена 1. Этот контроллер проверяет базу данных учетной информации домена 1 на наличие там данных о пользователе 2 и корректность введенного пароля.
  5. Контроллер домена 1 аутентифицирует пользователя 2 и передает его идентификатор и идентификатор его группы контроллеру домена 2. Затем контроллер домена 2 передает эту информацию компьютеру Windows NT, через который осуществлял вход пользователь 2.



Содержание раздела