设想一个Windows工作组networking,其中两台计算机各有一个本地帐户,使用相同的用户名/密码组合。 如果我login到一台计算机,并尝试连接到另一个上的非公共共享资源,则不会提示input凭据 – 远程计算机具有与本地帐户相同凭据的本地帐户我正在使用的计算机意味着我“无声”地进行了身份validation。
提前致谢。
它被称为传递NTLM身份validation, 并logging在NTLM TechNet文章中 。 请参阅标题为Pass-through authentication的部分。
NetLogon服务实现传递身份validation。 它执行以下function:
select要传递validation请求的域。
select域内的服务器。
将身份validation请求传递给选定的服务器。
select域很简单。 域名被传递给LsaLogonUser。 域名处理如下:
如果域名与SAM数据库的名称相匹配,则在该计算机上处理authentication。 在作为域成员的Windows工作站上,SAM数据库的名称被认为是计算机的名称。 在Active Directory域控制器上,帐户数据库的名称是域的名称。 在不是域成员的计算机上,所有login都会在本地处理请求。
如果指定的域名由该域信任,则authentication请求将被传递到受信任的域。 在Active Directory域控制器上,可信域的列表很容易获得。 在Windows域的成员上,请求总是通过工作站的主域,让主域确定指定的域是否可信。
如果指定的域名不受域名信任,则authentication请求将在所连接的计算机上处理,就好像指定的域名是该域名一样。 NetLogon不区分不存在的域,不可信域和不正确types的域名。