各位都知道,工作組下本地用戶登錄需要到本地的SAM數(shù)據(jù)庫中做身份驗證�����,而域用戶如果在域內(nèi)的客戶機上登錄�,需要到AD數(shù)據(jù)庫中作身份驗證。我在這里僅以域用戶為例來說明用戶的詳細的登錄過程��。
如果是你是域用戶����,在域內(nèi)的客戶機登錄,必須選擇登錄到域��,此時你的這臺計算機會到DNS服務(wù)器上找到該域的DC是誰���,由DC負責對用戶的身份進行驗證��,如果驗證通過�,那么該用戶就能正常登錄。那么DC除了驗證用戶的是AD數(shù)據(jù)庫中合法用戶�����,到底還會做什么呢���?
其實����,當用戶在本地登錄到域時�����,DC驗證用戶身份通過后�,會替用戶建立一個訪問令牌(Access
Token),其中包含著該用戶的SID及用戶所屬所有組的SID(關(guān)于通用組的SID�,需要聯(lián)系GC,當然如果該域的域功能級別如果是win2000
mixed�,就不檢查通用組情況。此外不管用戶是否加入過通用組��,該DC都將聯(lián)系GC來檢查)。如果DC能成功聯(lián)系上GC���,該用戶的訪問令牌正常生成�����,用戶也就能順利登錄成功��,如果此時聯(lián)系不上GC����,那該用戶也就拿不到訪問令牌���,當然也就無法登錄到域,這就是為什么我們會在上篇活動目錄系列之五:單域環(huán)境的實現(xiàn)(多站點)下--優(yōu)化 的原因�。如下圖所示:
如果用戶拿到訪問令牌,登錄成功��,你要是訪問某臺本域內(nèi)計算機的共享資源時��,則必須出示訪問令牌�。從而來決定用戶將擁有何種權(quán)限來訪問。
注意:因此當一個用戶登錄域后���,你才將用戶加入到某個組���,因為用戶的訪問令牌中并不包含本組的SID�����,故有關(guān)本組的權(quán)限該用戶也不會有��。比如你創(chuàng)建共享并設(shè)置相應(yīng)的該組的訪問權(quán)限�,其實該用戶并不能訪問�����,除非你讓該用戶重新登錄再次生成訪問令牌后方可�����。
下面討論一下跨域資源的訪問:用戶user1屬于A域�����,登錄成功后���,要訪問B域資源�����。
用戶user1登錄A域成功�����,獲得訪問令牌���,具備了訪問該域資源的能力����,但如果要訪問B域資源�,必須有B域的那臺共享資源的計算機發(fā)送訪問令牌。故該用戶會依據(jù)信任路徑��,依次找到那臺計算機所屬域的GC����,由那臺GC發(fā)送給用戶“服務(wù)票據(jù)”�,用戶拿著該票據(jù),再到那臺計算機上獲得訪問令牌�。從而才能訪問其共享資源。
注意:這個過程�����,User1會通過逐級訪問GC,才能找到那個域的����。
本文出自 “千山島主之微軟技術(shù)空間站”
博客,請務(wù)必保留此出處http://jary3000.blog.51cto.com/610705/122727
|
