Iniciar Sess�o

Select the product you need help with

Algoritmos de valida��o de acesso de rede e exemplos para o Windows Server 2003, Windows XP e Windows 2000

Artigo: 103390 - Ver produtos para os quais este artigo se aplica.

Ver isen��o de responsabilidades para tradu��o autom�tica

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Expandir tudo | Reduzir tudo

Nesta p�gina

Segue-se um algoritmo simplificado que explica como valida��o de conta do Windows � observada para fun��o durante o acesso � rede utilizando o protocolo NTLM. Est� a utilizar acesso atrav�s do protocolo server message block (SMB) do exemplo, mas se aplica a todas as outras aplica��es de servidor que suportem a autentica��o NTLM. Esta discuss�o n�o abrange o funcionamento interno deste processo. Com estas informa��es, poder� prever Windows comportamento de in�cio de sess�o em determinista condi��es de rede.

Voltar ao topo | Submeter coment�rios

Quando o Kerberos � utilizado para autenticar o utilizador e obter acesso a recursos do servidor, o processo � muito diferente do que faz NTLM. Para mais informa��es, visite o seguinte site da Web da Microsoft TechNet:

http://technet2.microsoft.com/WindowsServer/en/Library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx

(http://technet2.microsoft.com/WindowsServer/en/Library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx)

Tenha em aten��o que a base de dados local � a base de dados do dom�nio e a �nica base de dados nos controladores de dom�nio. Mas em outros servidores e todos os computadores, a base de dados local difere o controlador de dom�nio.

Informa��es de fundo

Quando dois computadores baseados no Windows Server 2003, baseado no Windows XP ou baseados no Windows 2000 comunicam atrav�s de uma rede, utilizam um protocolo de n�vel superior denominado bloco de mensagem de servidor (SMB). Comandos SMB s�o incorporados nos protocolos de transporte, tal como interface do utilizador avan�ado de NetBIOS (NetBEUI) ou TCP/IP. Por exemplo, quando um computador cliente executa um comando NET USE , � enviado um pacote de "SMB sess�o de programa de configura��o e X".

No Windows, "Session Setup" SMB inclui a conta de utilizador, uma fun��o de hash do dom�nio de in�cio de sess�o e palavra-passe encriptada. Um controlador de dom�nio ir� examinar todas estas informa��es para determinar se o cliente tem permiss�es para concluir o comando NET USE .

Algoritmos

Um computador de cliente Windows envia o seguinte comando para um servidor: computador cliente do Windows O

   NET USE x: \\server\share

envia um SMB "Session Setup" que cont�m o dom�nio de in�cio de sess�o, conta de utilizador e palavra-passe.

O servidor examina o nome de dom�nio ou nome de computador que foi especificado pelo SMB. Se o nome � o nome do servidor, o seguinte algoritmo � executado:

    It checks its own domain database or computer database for
        a matching account.
    If it finds a matching account then
        The SMB password is compared to the domain database password or the computer database password.
        If  the password matches then
            The command completed successfully.
        If  the password does NOT match then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
        End
    If  it does NOT find the account in the domain Security Accounts Manager (SAM) database or computer SAM database then
        Guest permissions are tested.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            (* See Note a).
            The user is prompted for a password.
            System error 1326 has occurred. Logon failure:
                unknown user name or bad password.
        End

se o dom�nio especificado no SMB � que o servidor de fidedignidades, � executado o seguinte algoritmo:

    The server will do pass-through authentication. The
        network logon request will be sent to a server that has a domain controller role in the
        specified trusted domain.

Se um canal seguro n�o est� configurado, o seguinte algoritmo � executado:

The trusted domain controller checks its own domain database
for a matching account.
If the trusted domain controller finds a matching account, then
NOT for Windows 2000 and later versions:
It determines whether the account is a local or global account.
If the account is local, then
Guest permissions on the original server are tested.
If the guest account is enabled
The command completed successfully.
If the guest account is disabled
(* See Note a) The user is prompted for a password.
System error 1326 has occurred. Logon failure:
unknown user name or bad password.
End
If the account is global (the only option for Active Directory)
The SMB password is compared to the domain database
password.
If the password matches, then
The command completed successfully.
(* See Note b)
If the password does NOT match, then
The user is prompted for a password.
The password is retested as above.
System error 1326 has occurred. Logon failure:
unknown user name or bad password.
End
If the trusted domain controller does NOT find the account in the trusted domain controller
database, then
Guest permissions are tested on the original server, not the trusted domain. (* See Note c)
If the guest account is enabled
The user will have original server guest access.
The command completed successfully.
If the guest account is disabled
(* See Note a) The user is prompted for a password.
System error 1326 has occurred. Logon failure:
unknown user name or bad password.
End

se o dom�nio especificado no SMB � desconhecido pelo servidor, por exemplo, se foi especificado um dom�nio, mas n�o foi reconhecido pelo servidor como um dom�nio fidedigno ou o controlador de dom�nio, o seguinte algoritmo � executado:

    It  will check its own account database for
        a matching account
    If  the server finds a matching account, then
        The SMB password is compared to the domain database password or the computer database password.
        If  the password matches, then
            The command completed successfully.
        If  the password does NOT match, then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
    End
    If  it does NOT find the account in the domain database then
        guest permissions are tested.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            System error 1326 has occurred. Logon failure:
            unknown user name or bad password.
    End

se o dom�nio especificado no SMB for NULL, ou seja, n�o � especificado nenhum dom�nio, o seguinte algoritmo � executado:

The server will treat this a local network logon. The server
will test for a matching account in its own database.
If it finds a matching account, then
The SMB password is compared to the SAM database password.
If the password matches, then
The command completed successfully.
If the password does NOT match, then
The user is prompted for a password.
The password is retested as above.
System error 1326 has occurred. Logon failure: unknown
user name or bad password.
End
If it does NOT find the account in the local SAM database AND
LsaLookupRestrictIsolatedNameLevel=0, then (* See Note d)
The server will simultaneously ask each domain that it trusts whether it has account that
matches the SMB account.
The first trusted domain to reply is sent a request to
perform pass-through authentication of the client
information.
The trusted domain will look in its own database.
If an account that matches the SMB account is found, then
The trusted domain determines whether the account is a local or global
account.
Not for Windows 2000 and later versions:
If the account is local then
Guest permissions on the original server are tested.
If the guest account is enabled
The command completed successfully.
If the guest account is disabled
The user will be prompted for a password.
Regardless of what password is entered, the user will receive
"Error 5: Access has been denied."
End
If the account is global (the only option for Active Directory)
The password that was specified in the SMB is compared
to the SAM database password.
If the password matches, then
The command completed successfully.
If the password does NOT match, then
The user is prompted for a password.
The password is retested as above.
System error 1326 has occurred. Logon failure:
unknown user name or bad password.
End
If no trusted domains respond to the request to identify the
account, then
Guest permissions are tested on the original server,
not the trusted server.
If the guest account is enabled
The command completed successfully.
If the guest account is disabled
System error 1326 has occurred. Logon failure:
unknown user name or bad password.
End

Notas

Se a conta de convidado est� desactivada e o utilizador n�o tem uma conta, o servidor pedir� ainda uma palavra-passe. Embora nenhuma palavra-passe ir� cumprir os requisitos, o servidor pedir� ainda uma palavra-passe como medida de seguran�a. Esta medida de seguran�a assegura que um utilizador n�o autorizado n�o perceber a diferen�a entre um incidente onde existe uma conta e quando a conta n�o existe. Sempre vai ser pedido ao utilizador uma palavra-passe independentemente se a conta j� existe.
Neste ponto, as informa��es seguintes s�o devolvidas do dom�nio fidedigno na resposta: SID de dom�nio, ID de utilizador, membros de grupos globais, hora de in�cio de sess�o, hora de fim de sess�o, KickOffTime, nome completo, LastSet de palavra-passe, palavra-passe pode alterar sinalizador, sinalizador de alterar tem palavra-passe, script de utilizador, caminho do perfil, direct�rio raiz e contagem de palavra-passe incorrecta.
N�o se for encontrada nenhuma conta no dom�nio fidedigno, o sistema operativo tem de utilizar a conta de convidado local para garantir um comportamento consistente de autentica��o relativamente ao servidor.
Para obter mais informa��es sobre como restringir a pesquisa de isolado nomes externos de dom�nios fidedignos utilizando a entrada de registo LsaLookupRestrictIsolatedNameLevel, clique no n�mero de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
818024
(http://support.microsoft.com/kb/818024/ )
Como restringir a pesquisa de isolado nomes externos de dom�nios fidedignos utilizando a entrada de registo LsaLookupRestrictIsolatedNameLevel

Contas de convidado em dom�nios fidedignos nunca estar� dispon�veis.
O processo interno, real � mais complexo do que os algoritmos s�o aqui descritos.
Estes algoritmos n�o debater mechanics real da autentica��o pass-through. Para obter mais informa��es, clique no n�mero de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
102716
(http://support.microsoft.com/kb/102716/ )
A autentica��o de utilizador NTLM no Windows
Estes algoritmos n�o explica o processo de encripta��o de palavra-passe que � utilizado no Windows Server 2003, Windows XP e Windows 2000. Um objectos grandes bin�rios (BLOB) derivado de um hash unidireccional palavra-passe � enviado como parte do pedido de autentica��o. O conte�do deste BLOB depender� do protocolo de autentica��o seleccionado para o in�cio de sess�o.
Este artigo n�o explica o funcionamento interno do m�dulo de autentica��o da Microsoft.
Estes algoritmos partem do princ�pio que a conta de convidado, quando activada, tem sem palavra-passe. Por predefini��o, a conta de convidado n�o tem uma palavra-passe no Windows Server 2003, Windows XP e Windows 2000. Se for especificada uma palavra-passe da conta de convidado, a palavra-passe do utilizador que � enviada no SMB dever�o corresponder �s palavra-passe de que conta de convidado.

Exemplos

Seguem-se exemplos destes algoritmos em ac��o.

Exemplo 1

Tem sess�o iniciada no computador utilizando o mesmo nome de conta e palavra-passe que est� a ser a base de dados novo dom�nio de contas de dom�nio. Quando executa o comando NET USE \\SCRATCH para o controlador de dom�nio para o dom�nio do dom�nio de raiz, o comando for conclu�do com �xito. Quando executar o comando NET USE \\NET para o controlador de dom�nio nesse dom�nio fidedignidades de dom�nio de raiz, receber� a seguinte mensagem de erro:

Sistema 1326 erro. Falha de in�cio de sess�o: nome de utilizador desconhecido ou palavra-passe incorrecta.

A conta \SCRATCH-DOMAIN\USER1 tem as permiss�es no \\NET.

Nota Este exemplo assume as seguintes configura��es.

configura��es

Computador que tenha uma autoridade de seguran�a local:

  -Login account: USER1
  -Password:      PSW1
  -Login Domain:  LOCAL1

controlador de dom�nio do Active Directory:

  -Server Name: NET</WWITEM>
  -Domain:      NET-DOMAIN</WWITEM>
  -Trust:       NET-DOMAIN Trust SCRATCH-DOMAIN (Therefore,
                accounts on SCRATCH-DOMAIN can be granted permissions 
                in the NET- DOMAIN).

dom�nio dom�nio NET:

A base de conta de dom�nio dados para o dom�nio de NET-dom�nio n�o cont�m uma conta de Utilizador1.
A conta de convidado est� desactivada.

Windows Server 2003:

  -Server Name:                       SCRATCH
  -Domain:                            SCRATCH-DOMAIN
  -Domain Database contains account:  USER1
  -Domain Database contains password: PSW1

neste exemplo, o computador � registado no respectivo dom�nio local, n�o o dom�nio do dom�nio raiz onde reside a conta de dom�nio do computador.

Exemplo 2

Quando executa o comando NET USE x: \\NET\share , ocorrem os seguintes passos:

O computador envia seguinte no SMB "Session Setup":
conta = "Utilizador1"
palavra-passe = "PSW1"
dom�nio = "LOCAL1"
O servidor \\NET recebe o SMB e olhou para o nome da conta.
O servidor examina a respectiva base de conta de dom�nio local dados e n�o encontrar uma correspond�ncia.
O servidor, em seguida, examina o nome de dom�nio SMB.
O servidor n�o fidedigna "LOCAL1," para que o servidor n�o verifica os dom�nios fidedignos.
O servidor, em seguida, verifica a respectiva conta de convidado.
A conta de convidado est� desactivada, o "sistema 1326 erro. Falha de in�cio de sess�o: nome de utilizador desconhecido ou palavra-passe incorrecta. "mensagem de erro � gerada.

Exemplo 3

Quando executa o comando NET USE x: \\SCRATCH\share , ocorrem os seguintes passos:

O computador envia seguinte no SMB "Session Setup":
conta = "Utilizador1"
palavra-passe = "PSW1"
dom�nio = "LOCAL1"
O servidor \\SCRATCH recebe o SMB e examina o nome da conta.
O servidor examina a respectiva base de conta de dom�nio local dados e encontra uma correspond�ncia.
Em seguida, o servidor compara a palavra-passe SMB para a palavra-passe da conta de dom�nio.
As palavras-passe correspondem. Por conseguinte, � gerada a mensagem "com comando conclui �xito".

No exemplo 2 e 3 de exemplo, a rela��o de fidedignidade n�o est� dispon�vel. Se o computador tinha sido iniciado sess�o no dom�nio do dom�nio de raiz, o comando NET USE x: \\NET\share poderia ter sido com �xito.

A solu��o ideal consiste em ter todos os computadores registo para um dom�nio. Para iniciar sess�o, o utilizador tem de especificar o dom�nio, conta e palavra-passe. Depois de o fazer, todos os NET USE -tipo comandos passar� as informa��es de dom�nio, conta e palavra-passe correctas. Os administradores dever�o tentar evitar contas duplicadas em computadores e v�rios dom�nios. Computadores baseados no Windows 2000 e Windows Server 2003, Windows XP ajudam a evitar esta configura��o, utilizar fidedignidades entre dom�nios e utilizando membros que podem utilizar bases de dados de dom�nio.

Solu��o

Existe uma solu��o que pode ser utilizada nestes casos. A partir do computador, pode executar o seguinte comando:

NET USE X: \\NET\SHARE /USER:SCRATCH-DOMAIN\USER1 PSW1

Neste comando, acontece o seguinte:

  - \\NET = The computer name of the domain controller being accessed.
  - \SHARE = The share name.
  - /USER: command line parameter that lets you specify the domain,
    account and password that should be specified in the "Session Setup"
    SMB.
  - SCRATCH-DOMAIN = Domain name of the domain where the user
    account resides.
  - \USER1 = account to be validated against.
  - PSW1 = password that matches account on the domain.

para obter mais informa��es sobre este comando, escreva o seguinte na linha de comandos:

NET USE /?

Nomes de dom�nio NULL

A Microsoft SMB cliente inclu�do no Windows Server 2003, Windows XP e Windows 2000 envia nomes de dom�nio NULL na "sess�o configura��o SMB [x 73]" SMB. O cliente SMB Microsoft processa o nome de dom�nio, especificando o nome de dom�nio de in�cio de sess�o e enviando um car�cter nulo se o nome de dom�nio n�o for especificado no comando NET USE . O cliente Microsoft SMB tamb�m vai apresentar o comportamento descrito no exemplo 1.

Notas

O nome de dom�nio predefinido � especificado no ficheiro LANMAN.ini no "DOMAIN =" linha. Isto pode ser substitu�do pelo / DOMAIN: mudar com o comando NET LOGON .
Normalmente, existem duas representa��es de "NULL" no SMB: um nome de dom�nio de comprimento zero e um nome de um byte dom�nio que consiste o car�cter de ponto de interroga��o (?). O servidor SMB identificou o ponto de interroga��o e converte-NULL antes de passar � autoridade de seguran�a local (LSA).

Resolu��o de problemas

Uma boa sugest�o para a resolu��o de problemas de acesso de rede deve activar a auditoria, efectuando o seguinte procedimento.

Windows 2000 e vers�es posteriores de controladores de dom�nio baseado no Windows 2000

A partir das ferramentas administrativas num controlador de dom�nio, inicie computadores e utilizadores do Active Directory.
Clique com o bot�o direito do rato OU dos controladores de dom�nio e, em seguida, clique em Propriedades .
No separador Pol�tica de grupo , fa�a duplo clique em Pol�tica predefinida de controlador de dom�nio .
No Editor de pol�tica, clique em Defini��es do computador , clique em Defini��es do Windows , clique em Defini��es de seguran�a , clique em Pol�ticas locais (Local Policies) e clique em Pol�tica de auditoria .
Seleccione o in�cio de sess�o e com �xito de in�cio de sess�o de conta e a op��o de Falha .

Defini��es de dom�nio para servidores Windows 2000 e membros

A partir das ferramentas administrativas num controlador de dom�nio, inicie computadores e utilizadores do Active Directory.
Clique com o bot�o direito do rato no nome de dom�nio e, em seguida, clique em Propriedades .
No separador Pol�tica de grupo , fa�a duplo clique em Pol�tica predefinida de dom�nio .
No Editor de pol�tica, clique em Defini��es do computador , clique em Defini��es do Windows, clique em Defini��es de seguran�a , clique em Pol�ticas locais (Local Policies) e clique em Pol�tica de auditoria .
Seleccione o in�cio de sess�o e com �xito de in�cio de sess�o de conta e a op��o de Falha .

Defini��es de locais para servidores Windows 2000 e membros

Ferramentas administrativas, inicie o local de seguran�a pol�tica.
Abra Pol�tica de auditoria.
Seleccione o in�cio de sess�o e com �xito de in�cio de sess�o de conta e a op��o de Falha .

Agora, sempre que um utilizador de rede acede a este servidor remotamente, um registo de auditoria ser� registado no Visualizador de eventos. Para ver estes eventos no Visualizador de eventos, clique em seguran�a no menu Iniciar .

Para obter mais informa��es sobre rela��es de fidedignidade, autentica��o pass-through, permiss�es de utilizador e in�cios de sess�o de dom�nio, consulte o "Descri��o t�cnica geral do Windows Server 2003 Security Services." Para o fazer, visite o seguinte Web site da Microsoft:

http://www.microsoft.com/windowsserver2003/techinfo/overview/security.mspx

(http://www.microsoft.com/windowsserver2003/techinfo/overview/security.mspx)

Voltar ao topo | Submeter coment�rios

Propriedades

Artigo: 103390 - �ltima revis�o: ter�a-feira, 20 de Fevereiro de 2007 - Revis�o: 4.4

A informa��o contida neste artigo aplica-se a:

Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows XP Professional Edition
Microsoft Windows 2000 Professional Edition
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server

kbmt kbnetwork KB103390 KbMtpt

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine translation ou MT), n�o tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais. O objectivo � simples: oferecer em Portugu�s a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradu��o autom�tica n�o � sempre perfeita. Esta pode conter erros de vocabul�rio, sintaxe ou gram�tica? erros semelhantes aos que um estrangeiro realiza ao falar em Portugu�s. A Microsoft n�o � respons�vel por incoer�ncias, erros ou estragos realizados na sequ�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualiza��es frequentes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 103390

(http://support.microsoft.com/kb/103390/en-us/ )

Voltar ao topo | Submeter coment�rios