Síťový přístup ověřovací algoritmy a příklady pro Windows Server 2003, Windows XP a Windows 2000

Překlady článku Překlady článku
ID článku: 103390 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Je zjednodušený algoritmus, který vysvětluje, jak Ověření účtu systému Windows nejsou pozorovány funkci během pomocí přístupu k síti protokol NTLM. Používá přístup přes server message block (SMB) protokol jako příklad, ale platí pro jiné serverové aplikace, podporu ověřování protokolem NTLM. Tato diskuse se nezabývá vnitřní důlní díla tohoto procesu. Pomocí těchto informací lze odhadnout, Windows chování sítě přihlášení deterministický podmínkách.
Při použití protokolu Kerberos k ověření uživatele a získání přístup k prostředkům na serveru, proces je velmi odlišné od nemá NTLM. Další informace naleznete na následujícím webu Microsoft TechNet:
http://technet2.microsoft.com/windowsserver/en/library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx
Místní databáze je v databázi domény a databáze pouze v řadičích domény. Ale na ostatní servery a všechny počítače v místní databázi se liší od řadiče domény.

Základní informace

Při dvou oknech Server 2003, Windows XP nebo Windows 2000 počítačů komunikaci prostřednictvím sítě, používají vysoké úrovni protokol nazývá blok zprávy serveru (SMB). Příkazy SMB jsou vloženy do transportní protokoly takových jako NetBIOS Enhanced User Interface (NetBEUI) nebo PROTOKOL TCP/IP. Například, když provádí klientského počítače NET POUŽITÍ příkaz snímek "SMB Session Setup a X" je odeslána.

V systému Windows, relace" Instalace" SMB obsahuje uživatelský účet, funkce hash šifrovaného hesla a Přihlašovací doména. Domény Řadič přezkoumá tyto informace k určení, zda má klient oprávnění k dokončení NET POUŽITÍ příkaz.

Algoritmy

Windows klientský počítač odešle serveru následující příkaz:
   NET USE x: \\server\share
		
Klientský počítač se systémem Windows odešle SMB "Nastavení relace" obsahuje jeho přihlašovací doména uživatelského účtu a heslo.

Server zkoumá název domény nebo název počítače, který byl určen SMB. Pokud název je název serveru, je spustit následující algoritmus:
    It checks its own domain database or computer database for
        a matching account.
    If it finds a matching account then
        The SMB password is compared to the domain database password or the computer database password.
        If  the password matches then
            The command completed successfully.
        If  the password does NOT match then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
        End
    If  it does NOT find the account in the domain Security Accounts Manager (SAM) database or computer SAM database then
        Guest permissions are tested.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            (* See Note a).
            The user is prompted for a password.
            System error 1326 has occurred. Logon failure:
                unknown user name or bad password.
        End
		
Je-li doména určená v SMB, který server důvěřuje, je-li spustit následující algoritmus:
    The server will do pass-through authentication. The
        network logon request will be sent to a server that has a domain controller role in the
        specified trusted domain.
		
Pokud zabezpečený kanál není nastavena, následující algoritmus je spuštěn:
The trusted domain controller checks its own domain database
        for a matching account.
    If the trusted domain controller finds a matching account, then
       NOT for Windows 2000 and later versions:
    It determines whether the account is a local or global account.
       If the account is local, then
           Guest permissions on the original server are tested.
           If the guest account is enabled
               The command completed successfully.
           If the guest account is disabled
               (* See Note a) The user is prompted for a password.
               System error 1326 has occurred. Logon failure:
               unknown user name or bad password.
        End
        If the account is global (the only option for Active Directory)
           The SMB password is compared to the domain database
               password.
           If  the password matches, then
               The command completed successfully.
               (* See Note b)
           If  the password does NOT match, then
               The user is prompted for a password.
                   The password is retested as above.
               System error 1326 has occurred. Logon failure:
               unknown user name or bad password.
       End
    If the trusted domain controller does NOT find the account in the trusted domain controller
           database, then
       Guest permissions are tested on the original server, not the trusted domain.  (* See Note c)
       If  the guest account is enabled
           The user will have original server guest access.
           The command completed successfully.
       If  the guest account is disabled
           (* See Note a) The user is prompted for a password.
           System error 1326 has occurred. Logon failure:
           unknown user name or bad password.
    End
Je-li doména určená v SMB neznámý server pro Pokud byla zadána doména, ale nebyl rozpoznán jako server například důvěryhodné domény, nebo její řadič domény, je spustit následující algoritmus:
    It  will check its own account database for
        a matching account
    If  the server finds a matching account, then
        The SMB password is compared to the domain database password or the computer database password.
        If  the password matches, then
            The command completed successfully.
        If  the password does NOT match, then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
    End
    If  it does NOT find the account in the domain database then
        guest permissions are tested.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            System error 1326 has occurred. Logon failure:
            unknown user name or bad password.
    End
		
Pokud doménu, která je zadána v SMB je NULL, tedy ne doména zadána, je spustit následující algoritmus:
    The server will treat this a local network logon. The server
        will test for a matching account in its own database.
    If  it finds a matching account, then
        The SMB password is compared to the SAM database password.
        If  the password matches, then
            The command completed successfully.
        If  the password does NOT match, then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
    End
    If  it does NOT find the account in the local SAM database AND
      LsaLookupRestrictIsolatedNameLevel=0, then (* See Note d)
        The server will simultaneously ask each domain that it trusts whether it has account that
            matches the SMB account.
        The first trusted domain to reply is sent a request to
            perform pass-through authentication of the client
            information.
        The trusted domain will look in its own database.
        If  an account that matches the SMB account is found, then
            The trusted domain determines whether the account is a local or global
                account.
           Not for Windows 2000 and later versions:
            If  the account is local then
                Guest permissions on the original server are tested.
                If  the guest account is enabled
                    The command completed successfully.
                If  the guest account is disabled
                The user will be prompted for a password.
                Regardless of what password is entered, the user will receive
                    "Error 5: Access has been denied."
            End
            If  the account is global (the only option for Active Directory)
                The password that was specified in the SMB is compared
                    to the SAM database password.
                If  the password matches, then
                    The command completed successfully.
                If  the password does NOT match, then
                    The user is prompted for a password.
                        The password is retested as above.
                    System error 1326 has occurred. Logon failure:
                    unknown user name or bad password.
            End
    If  no trusted domains respond to the request to identify the
        account, then
        Guest permissions are tested on the original server,
            not the trusted server.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            System error 1326 has occurred. Logon failure:
            unknown user name or bad password.
    End
		

Poznámky

  1. Pokud je účet guest zakázán a uživatel nemá. účet, bude server nadále požadovat heslo. Přestože nebude žádné heslo. jeho požadavkům, bude server nadále požadovat heslo jako zabezpečení rozměr. Toto bezpečnostní opatření zajistí, že neoprávněný uživatel nelze zjistit rozdíl mezi případ, kdy účet existuje a pokud nemá účet neexistuje. Uživatel vždy vyzváni k zadání hesla bez ohledu na zda existuje účet.
  2. V tomto okamžiku vrátil následující informace důvěryhodné domény v odpovědi: číslo SID domény, ID uživatele, globální skupiny Členství, přihlašovací čas, čas odhlášení, KickOffTime, celé jméno, heslo LastSet, Heslo můžete změnit příznak, příznak, skriptu uživatele, cesta k profilu musí změnit heslo Domovský adresář a počet chybné heslo.
  3. Pokud nebyl nalezen žádný účet v důvěryhodné doméně, operační systém musí používat účet místního hosta zajistit konzistenci pro ověření proti serveru.
  4. Další informace informace o omezení vyhledávání osamocených názvů v externích důvěryhodné domény pomocí registru LsaLookupRestrictIsolatedNameLevel Klepnutím na následující číslo článku Microsoft Znalostní báze Knowledge Base:
    818024Postup omezení vyhledávání osamocených názvů v externích důvěryhodných domén pomocí registru LsaLookupRestrictIsolatedNameLevel
  • Účty Guest na důvěryhodných domén již nikdy nebude. k dispozici.
  • Skutečný vnitřní proces je složitější než algoritmy, které jsou popsané zde.
  • Tyto algoritmy nezabývají skutečné mechanismus z předávací ověření.Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    102716NTLM ověřování uživatelů v systému Windows
  • Tyto algoritmy šifrování hesla nezabývají. proces, který se používá v systému Windows Server 2003, Windows XP a Windows 2000. Binary large object (BLOB) odvozené od jednosměrnou hash je odeslána jako součást požadavku na ověření. Na obsah tohoto objektu BLOB závisí na zvoleném pro ověřovací protokol přihlášení.
  • Tento článek není popsán vnitřní činnost Modul Microsoft Authentication.
  • Tyto algoritmy předpokládají, že účet guest, kdy povolena, nemá žádné heslo. Ve výchozím nastavení nemá účet guest heslo v systému Windows Server 2003, Windows XP a Windows 2000. Jestliže guest je zadáno heslo účtu, musíte heslo uživatele, který je odeslán v SMB odpovídat dané heslo účtu guest.

Příklady

Následují příklady těchto algoritmů v akci.

Příklad 1

Jste přihlášeni k počítači pomocí stejný název účtu a heslo, které je v databázi účtů domény ZAČÁTKU domény. Pokud jste spustit NET \\SCRATCH POUŽITÍ příkaz pro řadič domény pro nové domény příkaz úspěšně dokončena. Při spuštění NET \\NET POUŽITÍ příkaz pro řadič domény, který je ZAČÁTKU domény a vztahy důvěryhodnosti domény, zobrazí se následující chybová zpráva:
Systém došlo k chybě 1326. Přihlašovací chyba: Neznámé uživatelské jméno nebo chybné heslo.
\SCRATCH-DOMAIN\USER1 účet má oprávnění k \\NET.

Poznámka: Tento příklad předpokládá, že následující konfigurace.

Konfigurace

Počítače, který má místním úřadem zabezpečení:
  -Login account: USER1
  -Password:      PSW1
  -Login Domain:  LOCAL1
		
Řadič domény služby Active Directory:
  -Server Name: NET</WWITEM>
  -Domain:      NET-DOMAIN</WWITEM>
  -Trust:       NET-DOMAIN Trust SCRATCH-DOMAIN (Therefore,
                accounts on SCRATCH-DOMAIN can be granted permissions 
                in the NET- DOMAIN).
		
Na NET domény:
  • Databáze účtů domény pro domény NET nemá neobsahuje účet pro uživatel1.
  • Účet guest je zakázán.
Systém Windows Server 2003:
  -Server Name:                       SCRATCH
  -Domain:                            SCRATCH-DOMAIN
  -Domain Database contains account:  USER1
  -Domain Database contains password: PSW1
		
V tomto příkladu počítač je přihlášen k jeho místní domény. není ZAČÁTKU-domény kde je umístěn účet počítače v doméně.

Příklad 2

Při spuštění NET USE x: \\NET\share příkaz, proběhnou následující kroky:
  1. Na počítač odešle v SMB "Session Setup" následující:
    účet = "UŽIVATEL1."
    heslo = "psw1"
    Domain = "místní 1"
  2. \\NET server přijme SMB a dívali na účet název.
  3. Server zkontroluje svou databázi účtů místní domény a nebyla nalezena.
  4. Server zkontroluje název domény SMB.
  5. Server tak, aby server nepodporuje nedůvěřuje "místní" (1), Zkontrolujte jeho důvěryhodných domén.
  6. Server ověří jeho účet guest.
  7. Účet guest je zakázán tak na "systém 1326 došlo k chybě došlo k. Přihlašovací chyba: Neznámé uživatelské jméno nebo špatné heslo. "se zobrazí chybová zpráva generovat.

Příklad 3

Při spuštění NET USE x: \\SCRATCH\sharepříkaz, proběhnou následující kroky:
  1. Na počítač odešle v SMB "Session Setup" následující:
    účet = "UŽIVATEL1."
    heslo = "psw1"
    Domain = "místní 1"
  2. \\SCRATCH server přijme SMB a zkoumá název účtu.
  3. Server zkontroluje svou databázi účtů místní domény a nalezne odpovídající.
  4. Server pak porovná SMB heslo k doméně heslo účtu.
  5. Hesla shodná. Proto "dokončení příkazu Zpráva je generována úspěšně".
V příkladu 2 a 3 příklad je vztah důvěryhodnosti není k dispozici. Pokud počítač kdyby byli přihlášeni k ZAČÁTKU domény na NET USE x: \\NET\share příkaz by byl úspěšný.

Ideální Roztok je protokol všech počítačů do domény. K přihlášení, uživatel musí zadat doménu, účtu a heslo. Poté, co učiníte, všechny NET POUŽITÍ-příkazy typu předá správnou doménu účtu a heslo informace. Správci by měli vyhnout duplicitní účty i počítače a více domén. Windows Server 2003 založené systémem Windows XP, a v počítačích se systémem Windows 2000 vyhnout této konfigurace pomocí vztahy důvěryhodnosti mezi doménami a podle pomocí členů, které mohou používat doménové databáze.

Řešení

Existuje jedno řešení, které lze použít v těchto případech. Od počítač můžete spustit následující příkaz:
NET POUŽITÍ X: \\NET\SHARE /USER:SCRATCH-DOMAIN\USER1 PSW1
V tomto příkazu i platí:
  - \\NET = The computer name of the domain controller being accessed.
  - \SHARE = The share name.
  - /USER: command line parameter that lets you specify the domain,
    account and password that should be specified in the "Session Setup"
    SMB.
  - SCRATCH-DOMAIN = Domain name of the domain where the user
    account resides.
  - \USER1 = account to be validated against.
  - PSW1 = password that matches account on the domain.
		
Další informace o tomto příkazu zadejte následující do příkazového řádku:
NET USE /?

Názvy domén NULL

Microsoft SMB Klient, je součástí systému Windows Server 2003, Windows XP a Windows 2000 odesílá NULL domény názvy v relaci" Instalaci protokolu SMB [x 73]" SMB. Na Klient Microsoft SMB zpracovává název domény podle zadání přihlašovací jméno domény a odesílání znakem NULL, pokud není zadán název domény v NET POUŽITÍ příkaz. Na Klient Microsoft SMB bude také vykazují chování popsáno v příkladu 1.

Poznámky

  • Výchozí název domény je zadán v LANMAN.Soubor INI na "DOMAIN =" řádku. To lze přepsat / DOMAIN: Přepněte se NET PŘIHLÁŠENÍ příkaz.
  • Obvykle jsou dvě reprezentace pro "NULL" v SMB: Název domény nulové délky a názvu domény jednobajtových, skládá znak otazníku (?). SMB server úlovky otazník a převede jej na hodnotu NULL před jeho odesláním do místního úřadu zabezpečení (LSA).

Poradce při potížích

Je dobrý tip pro odstraňování problémů se přístup k síti Povolte auditování pomocí následujícího postupu.

Systém Windows verze 2000 a novějších řadičů domény se systémem Windows 2000

  1. Nástroje pro správu v řadiči domény spusťte následující příkaz: Active Directory Users and Computers.
  2. Klepněte pravým tlačítkem myši Organizační jednotce řadičů domény, a Klepněte na tlačítko Vlastnosti.
  3. V Zásady skupiny karta, poklepejte na položkuVýchozí zásady řadiče domény.
  4. Klepněte v editoru zásad Počítač Nastavení, klepněte na tlačítko Nastavení systému Windows, klepněte na tlačítkoNastavení zabezpečení, klepněte na tlačítko Místní zásady, a Klepněte na tlačítko Zásady auditu.
  5. Vyberte Přihlášení a úspěšné přihlášení účtumožnost a Selhání možnost.

Nastavení domény pro servery systému Windows 2000 a členy

  1. Nástroje pro správu v řadiči domény spusťte následující příkaz: Active Directory Users and Computers.
  2. Klepněte pravým tlačítkem myši na název domény a klepněte na tlačítkoVlastnosti.
  3. V Zásady skupiny karta, poklepejte na položkuVýchozí zásady domény.
  4. Klepněte v editoru zásad Počítač Nastavení, klepněte na tlačítko Nastavení systému Windows Klepněte na tlačítkoNastavení zabezpečení, klepněte na tlačítko Místní zásady, a Klepněte na tlačítko Zásady auditu.
  5. Vyberte Přihlášení a úspěšné přihlášení účtumožnost a Selhání možnost.

Místní nastavení servery systému Windows 2000 a členy

  1. Nástroje pro správu spuštění místního zabezpečení Zásady.
  2. Otevřít zásady auditu.
  3. Vyberte Přihlášení a úspěšné přihlášení účtumožnost a Selhání možnost.
Nyní kdykoli, že přistupuje uživatel sítě tohoto serveru revizní vzdáleně, bude zaznamenána v prohlížeči událostí. Zobrazí se tyto události v Prohlížeč událostí, klepněte na tlačítko Zabezpečení v Protokol nabídka.

Další informace o vztazích důvěryhodnosti předávací ověření uživatelská oprávnění a přihlášení k doméně, naleznete v části "Technický přehled systému Windows Server 2003 Security Services." Chcete-li to provést, navštivte následující Web společnosti Microsoft:
http://www.microsoft.com/windowsserver2003/techinfo/overview/Security.mspx

Vlastnosti

ID článku: 103390 - Poslední aktualizace: 23. dubna 2011 - Revize: 6.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Klíčová slova: 
kbnetwork kbmt KB103390 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:103390

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com