问题:AD是否通过networking发送用户的访问令牌?
研究:以下两段经文自相矛盾 – 考虑到TGT是通过devise在networking上传输的。
从Oreilly的第五版Active Directory开始:
最重要的是,用户的访问令牌存储在TGT中。 访问令牌包括重要信息,例如用户所属的组,用户的NT权限和dynamic访问控制(DAC)声明。
从Microsoft Press出版的Windows Server 2008 Active Directory资源工具包:
访问令牌由安全子系统在用户试图访问资源时使用。 当用户尝试访问本地资源时,令牌由客户端工作站呈现给请求安全信息的任何线程或应用程序,然后才允许访问资源。 访问令牌绝不会通过networking传输到另一台计算机; 相反,在用户尝试访问资源的每台服务器上都会创build一个本地访问令牌。 例如,当用户尝试访问运行Exchange Server 2007的服务器上的邮箱时,服务器上将创build一个访问令牌。
这些描述有些模糊。 有两个令牌。 一个进程访问令牌和一个Kerberos令牌。 进程令牌是特定于本地计算机的。
“在Windows实施中,应用程序服务器派生授权数据(PAC)并请求Windows操作系统生成访问令牌。”
Kerberos TGT包含授权数据,签名以及Kerberos的Microsoft Active Directory实现,这是一种称为特权属性证书(PAC)的扩展。 PAC包含用户身份信息,组SID,用户权限/用户configuration文件信息,域控制器授权数据,客户端计算机信息以及受保护的凭据/密码。
创build的进程访问令牌将任何本地安全策略/权限/特权/组与TGT PAC中指定的组合/合并。
如果创build的访问令牌是委派级别的模拟令牌,则可以使用它访问远程计算机上的资源,因为委派令牌包含受保护的凭据。 尽pipe在远程计算机上创build了新的进程访问令牌。
访问令牌如何工作
https://technet.microsoft.com/en-us/library/cc783557(v=ws.10).aspx
[MS-PAC]:特权属性证书数据结构
https://msdn.microsoft.com/en-us/library/cc237917.aspx
黄色,
来自2008 AD资源工具包的信息是正确的,访问令牌由本地系统创build,然后附加到用户正在运行的线程。 这里有一些非常好的信息:
https://msdn.microsoft.com/en-us/library/windows/desktop/aa374909(v=vs.85).aspx
和这里
https://technet.microsoft.com/en-us/library/cc783557(v=ws.10).aspx
虽然第二个链接有点旧了。