AD, запросы проверки подлинности Windows-NT

Нужна помощь по следующим вопросам.

  1. Когда логин пользователя (на компьютере в сети) проверяется по AD, какой метод аутентификации используется?
  2. Когда логин пользователя проверяется в среде Windows NT (не в AD), какой метод аутентификации используется?
  3. Если вся учетная запись пользователя находится в AD, можно ли изменить только механизм аутентификации (или протоколы) с AD на NT и наоборот (если это возможно)?
  4. Если часть 3 вопроса верна, где следует искать способы изменения этих методов аутентификации?
  5. В чем разница между аутентификацией AD и Windows-NT?

Windows Server 2008 Доменный контроллер используется.

С Уважением,
Баладжи

Источник

3 ответа

  1. Это зависит. В том же лесу? Должно быть Kerberos. В пределах второго леса, который разделяет доверие на уровне леса? Также должен быть Kerberos. Через внешнее доверие? NTLM.
  2. Если вы имеете в виду домен NT 4.0, поддержка Kerberos отсутствует. NTLM.
  3. И ты не хотел бы. Kerberos считается более безопасным, чем NTLM, по ряду причин.
  4. N / A.
  5. Kerberos, который AD использует изначально, использует систему тикетов, которая уменьшает попадания в DC. Он также поддерживает делегирование, чего нет у NTLM. И он использует временную метку, которая снижает вероятность срабатывания атаки воспроизведения. Это некоторые из причин, по которым Kerberos является предпочтительным.
Источник

Я не уверен, что именно вы ищете о том, как работает аутентификация AD против локальной машины, но вы можете переключаться между ними. Тема достаточно, чтобы заняться объемами.

Суть в том, что запросы активных каталогов отправляются на активные серверы каталогов, а локальная аутентификация обрабатывается с использованием SAM в реестре. Если вы хотите переключать методы, вы должны проходить аутентификацию как \localmachinename\username вместо \activedirectory\username прямо при открытии приглашения на вход в систему при включении компьютера (в некоторых версиях Windows вы можете изменить "метод" в третьем поле под именем пользователя и паролем, где перечислены доступные домены или имя локального компьютера (этого компьютера).

Различия? Один из них является локальным только для этого компьютера, другой предоставляет вам возможность иметь действительную учетную запись на любом компьютере, который является членом домена. AD централизует управление учетными записями и централизует пароли и управление пользователями. Если у вас более пары компьютеров Windows, AD может быть очень полезным и почти необходимым для работы ИТ-инфраструктуры.

Это звучит немного как домашнее задание... не так ли? Есть ли какая-то конкретная проблема, на решение которой эти вопросы направлены, чтобы сообщество могло помочь вам в этом?

Источник

Подробная информация, которую вы ищете, находится в наборе ресурсов сервера 2008. Как упомянул Барт, это объемы информации (в буквальном смысле), например (поиск контроллера домена в DNS и т. Д.)

Источник
Другие вопросы по тегам