Сценарии входа в Windows
В этом справочном разделе для ИТ-специалистов приведены общие сценарии входа в систему и входа в Windows.
Операционные системы Windows требуют, чтобы все пользователи входить на компьютер с допустимой учетной записью для доступа к локальным и сетевым ресурсам. Компьютеры под управлением Windows защищают ресурсы путем реализации процесса входа, в котором пользователи проходят проверку подлинности. После проверки подлинности пользователя технологии авторизации и управления доступом реализуют второй этап защиты ресурсов: определяет, разрешен ли прошедший проверку подлинности пользователь для доступа к ресурсу.
Содержимое этого раздела относится к версиям Windows, указанным в списке «Область применения» в начале этого раздела.
Кроме того, приложения и службы могут требовать, чтобы пользователи могли войти в систему для доступа к этим ресурсам, предлагаемым приложением или службой. Процесс входа аналогичен процессу входа, в котором требуются допустимые учетные данные и правильные учетные данные, но сведения о входе хранятся в базе данных диспетчера учетных записей безопасности (SAM) на локальном компьютере и в Active Directory, где это применимо. Учетная запись входа и учетные данные управляются приложением или службой, и при необходимости можно хранить локально в Credential Locker.
Сведения о том, как работает проверка подлинности, см. в разделе «Основные понятия проверки подлинности Windows».
В этом разделе описаны следующие сценарии:
- Интерактивный вход в систему
- Вход в сеть
- Вход в smart карта
- Биометрический вход
Интерактивный вход в систему
Процесс входа начинается либо при вводе учетных данных в диалоговом окне входа учетных данных, либо при вставке смарт-карта в средство чтения смарт-карта или при взаимодействии пользователя с устройством биография метрик. Пользователи могут выполнять интерактивный вход с помощью учетной записи локального пользователя или учетной записи домена для входа на компьютер.
На следующей схеме показаны элементы интерактивного входа и процесс входа.
Архитектура проверки подлинности клиента Windows
Локальный и доменный вход
Учетные данные, представленные пользователем для входа в домен, содержат все элементы, необходимые для локального входа, например имя учетной записи и пароль или сертификат, а также сведения о домене Active Directory. Процесс подтверждает идентификацию пользователя в базе данных безопасности на локальном компьютере пользователя или домене Active Directory. Этот обязательный процесс входа нельзя отключить для пользователей в домене.
Пользователи могут выполнять интерактивный вход на компьютер двумя способами:
- Локально, когда пользователь имеет прямой физический доступ к компьютеру или когда компьютер входит в сеть компьютеров. Локальный вход предоставляет пользователю разрешение на доступ к ресурсам Windows на локальном компьютере. Для локального входа требуется, чтобы у пользователя была учетная запись пользователя в диспетчере учетных записей безопасности (SAM) на локальном компьютере. SAM защищает и управляет сведениями о пользователях и группах в виде учетных записей безопасности, хранящихся в реестре локальных компьютеров. Компьютер может иметь сетевой доступ, но это не обязательно. Для управления доступом к локальным ресурсам используется учетная запись локального пользователя и сведения о членстве в группах. Сетевой вход предоставляет пользователю разрешение на доступ к ресурсам Windows на локальном компьютере в дополнение к ресурсам на сетевых компьютерах, как определено маркером доступа учетных данных. Для локального входа в систему и входа в сеть требуется, чтобы у пользователя была учетная запись пользователя в диспетчере учетных записей безопасности (SAM) на локальном компьютере. Учетная запись локального пользователя и сведения о членстве в группах используются для управления доступом к локальным ресурсам, а маркер доступа для пользователя определяет, какие ресурсы можно получить на сетевых компьютерах. Локальный вход и сетевой вход недостаточно, чтобы предоставить пользователю и компьютеру разрешение на доступ к ресурсам домена и использовать их.
- Удаленно через службы терминалов или службы удаленных рабочих столов (RDS), в этом случае вход будет более квалифицирован как удаленный интерактивный.
После интерактивного входа Windows запускает приложения от имени пользователя, а пользователь может взаимодействовать с этими приложениями.
Локальный вход предоставляет пользователю разрешение на доступ к ресурсам на локальном компьютере или ресурсах на сетевых компьютерах. Если компьютер присоединен к домену, функция Winlogon пытается войти в этот домен.
Вход в домен предоставляет пользователю разрешение на доступ к локальным и доменным ресурсам. Для входа в домен требуется, чтобы у пользователя была учетная запись пользователя в Active Directory. Компьютер должен иметь учетную запись в домене Active Directory и физически подключаться к сети. Пользователи также должны иметь права пользователя для входа на локальный компьютер или домен. Сведения об учетной записи пользователя домена и сведения о членстве в группах используются для управления доступом к домену и локальным ресурсам.
Удаленный вход
В Windows доступ к другому компьютеру через удаленный вход использует протокол удаленного рабочего стола (RDP). Так как пользователь уже должен успешно войти на клиентский компьютер, прежде чем пытаться подключиться к удаленному подключению, интерактивные процессы входа в систему успешно завершены.
RDP управляет учетными данными, которые пользователь вводит с помощью клиента удаленного рабочего стола. Эти учетные данные предназначены для целевого компьютера, и пользователь должен иметь учетную запись на этом целевом компьютере. Кроме того, целевой компьютер должен быть настроен для принятия удаленного подключения. Учетные данные целевого компьютера отправляются для попытки выполнить процесс проверки подлинности. Если проверка подлинности выполнена успешно, пользователь подключен к локальным и сетевым ресурсам, доступным с помощью предоставленных учетных данных.
Вход в сеть
Вход в сеть можно использовать только после того, как произошла проверка подлинности пользователя, службы или компьютера. Во время входа в сеть процесс не использует диалоговые окна ввода учетных данных для сбора данных. Вместо этого используется ранее установленные учетные данные или другой метод сбора учетных данных. Этот процесс подтверждает удостоверение пользователя для любой сетевой службы, к которым пользователь пытается получить доступ. Этот процесс обычно невидим для пользователя, если не нужно предоставлять альтернативные учетные данные.
Чтобы обеспечить этот тип проверки подлинности, система безопасности включает следующие механизмы проверки подлинности:
- Протокол Kerberos версии 5
- Сертификаты открытого ключа
- Уровень безопасности сокетов или безопасность транспортного уровня (SSL/TLS)
- Дайджест
- NTLM для совместимости с системами на основе Microsoft Windows NT 4.0
Сведения об элементах и процессах см. на схеме интерактивного входа выше.
Вход по смарт-карте
Смарт-карта можно использовать для входа только в учетные записи домена, а не локальные учетные записи. Для проверки подлинности smart карта требуется использование протокола проверки подлинности Kerberos. В Windows 2000 Server в операционных системах под управлением Windows реализовано расширение открытого ключа для начального запроса проверки подлинности протокола Kerberos. В отличие от шифрования общего ключа секрета, криптография открытого ключа асимметрична, т. е. требуются два разных ключа: один для шифрования, другой для расшифровки. Вместе ключи, необходимые для выполнения обеих операций, составляют пару закрытых и открытых ключей.
Чтобы инициировать типичный сеанс входа, пользователь должен доказать свое удостоверение, предоставив сведения, известные только пользователю и базовой инфраструктуре протокола Kerberos. Секретная информация — это криптографический общий ключ, производный от пароля пользователя. Общий секретный ключ является симметричным, что означает, что один и тот же ключ используется как для шифрования, так и для расшифровки.
На следующей схеме показаны элементы и процессы, необходимые для интеллектуального входа в систему карта.
Архитектура поставщика учетных данных смарт-карты
Если смарт-карта используется вместо пароля, пара закрытых и открытых ключей, хранящейся на смарт-карта пользователя, заменяется общим секретным ключом, производным от пароля пользователя. Закрытый ключ хранится только в смарт-карта. Открытый ключ можно предоставить любому пользователю, с которым владелец хочет обмениваться конфиденциальной информацией.
Дополнительные сведения о процессе входа в смарт-карта в Windows см. в статье «Как работает интеллектуальный вход карта в Windows».
Биометрический вход
Устройство используется для захвата и создания цифровой характеристики артефакта, например отпечатка пальца. Затем это цифровое представление сравнивается с образцом одного артефакта, и при успешном сравнении двух данных может произойти проверка подлинности. Компьютеры под управлением любой из операционных систем, указанных в списке «Область применения» в начале этого раздела, можно настроить для принятия этой формы входа. Однако если биография метрический вход настроен только для локального входа, пользователь должен предоставить учетные данные домена при доступе к домену Active Directory.
Дополнительные ресурсы
Сведения о том, как Windows управляет учетными данными, отправленными во время входа, см. в разделе «Управление учетными данными» в проверке подлинности Windows.
Вход под локальным пользователем в доменный компьютер
Бывает что нужно зайти в локальный компьютер, который подключен в домен под локальным пользователем, любым, не обязательно Администратором.
Это делается очень просто.
Перед именем пользователя нужно поставить точку и косую.
Например, входим под локальным админом
.\Admin
Конечно указанный пользователь уже должен быть в системе Windows.
Фразы: вход под админом без домена в доменный компьютер, локальный пользователь в доменном компьютере
Вход под доменной учетной записью AD при отключенной сети
Возможно ли настроить вход под доменной учетной записью после перезагрузки ПК при отключенном сетевом соединении?
Ответ
На компьютерах, введенных в домен с помощью утилиты Winbind, offline-авторизация пользователей AD после перезагрузки компьютера невозможна. Чтобы включить возможность offline-авторизации пользователей AD, следует использовать способ ввести компьютер в домен с помощью astra-ad-sssd-client . Пошаговые инструкции по использованию утилиты приведены в статье Справочного центра Ввод Astra Linux в домены Windows Active Directory или Samba.
Как войти в другой домен
Сообщения: 971
Благодарности: 15
Может ли компьютер (не член домена) получить доступ к расшаренной папке на компьютере контроллера домена? Если да, то как это настроить? Помогите пожалуйста, только начинаю администрировать
Сообщения: 3994
Благодарности: 442
На контроллере домена в оснастке «Active Directory — пользователи и компьютеры» (dsa.msc) в контейнере User (если конечно вы пользователей по OU не разбрасывали).
Вообще посмотри настройки файервола и хотя ты и писал, что пользователь может войти с другого компьютера внутри домена, проверь разрешения на сетевой ресурс и разрешения NTFS на эту папку.
——-
RadioActive — and therefore harmful, cynical and the extremely dangerous.
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.
Сообщения: 41
Благодарности: 0
| я тоже думаю что заблокировалась учетная запись, а где это можно посмотреть? и что надо сделать чтобы ее разблокировать? |
Скорее всего у тебя выключен пользователь гость. (Ты же этого пользователя имел ввиду)
Дабы его включить, сделай следующее:
Открывай оснастку «Active Directory — пользователи и компьютеры» Кликай на «Users» Ищи Гость или Guest. Щелкай по нему дважды. Щелкай по вкладке Учетная запись и ищи CheckBox «Отключить учетную запись», если там стоит галочка — снимай. Все. Удачи.
Сообщения: 971
Благодарности: 15
yager
Гость действительно был заблокирован, но после разблокирования все равно не работает
Давайте расскажу все сначала:
Была у меня простая рабочая группа, был у меня сервер, на нем несколько расшареных папок. В этой же рабочей группе есть еще два компьютера, на одном работаю я под локальным пользователем alex, на другом тоже работает человек под локальным пользователем sveta. На этих компьютерах у локальных пользователей паролей нет.
Чтобы эти пользователи могли работать с расшаренными папками, я на сервере сделал тоже локальных пользователей с теми же именами.
— На серваке себя я добавил в группу администраторов и сделал там себе пароль.
— Другого пользователя включил в группу опытных пользователей, пароля не давал.
— И еще я сделал пользователя с именем «user» с ограниченными правами, чтобы кто-то мог локально войти на сервак, но ничего не мог там делать.
После этого мы спокойно работали с этим сервером со своих компов.
Потом мне «приспичило» переделать все в домен. После настройки active directory на этом серваке, пользователь sveta по прежнему может работать с расшаренными папками без проблем, а я — нет. Причем локально на сервак я вхожу, моя учетная запись не заблокирована. Настроил аудит, в системных сообщениях сначала при попытке входа пишет «успех», а потом «отказ» , код ошибки 0xc000006a, и написано «неверное имя пользователя или пароль». Почему не могу понять, потому что в окошке которое мне выскакивает на моем компьютере я ввожу имя пользователя с учетом имени домена.
И еще интересная вещь , пользователь user теперь даже локально не может войти, выдается ошибка: «интерактивный вход в систему на данном компьютере запрещен локальной политикой».
Подскажите еще что-нибудь