ID do artigo: 103390 - �ltima revis�o: ter�a-feira, 20 de fevereiro de 2007 - Revis�o: 4.4

Algoritmos de valida��o de acesso de rede e exemplos para o Windows Server 2003, Windows XP e Windows 2000

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Exibir Aviso de Isen��o de Tradu��o Autom�tica

Exibir os produtos aos quais esse artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

Nesta p�gina

Expandir tudo | Recolher tudo

A seguir est� um algoritmo simplificado que explica como � observada valida��o de conta do Windows a fun��o durante o acesso � rede usando o protocolo NTLM. Ele est� usando o acesso atrav�s do protocolo SMB (bloco) de mensagens do servidor como o exemplo a, mas ele se aplica a todos os outros aplicativos de servidor que oferece suporte � autentica��o NTLM. Esta discuss�o n�o abrange os funcionamentos internos desse processo. Com essas informa��es, voc� pode prever Windows rede comportamento do logon sob condi��es deterministas.

Voltar para o in�cio

Quando Kerberos � usado para autenticar o usu�rio e obter acesso a recursos do servidor, o processo � muito diferente do que o NTLM. Para obter mais informa��es, visite o seguinte site da Microsoft TechNet:

http://technet2.microsoft.com/WindowsServer/en/Library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx (http://technet2.microsoft.com/WindowsServer/en/Library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx)

Lembre-se que o banco de dados local � o banco de dados dom�nio e o banco de dados somente nos controladores de dom�nio. Mas em outros servidores e todos os computadores, o banco de dados local difere do controlador de dom�nio.

Voltar para o in�cio

Informa��es de plano de fundo

Quando dois computadores baseados no Windows Server 2003, baseado no Windows XP ou baseado no Windows 2000 se comuniquem em uma rede, eles usam um protocolo de alto n�vel denominado (SMB) bloco de mensagens de servidor. Comandos SMB s�o incorporados nos protocolos de transporte, como NetBIOS Enhanced User Interface (NetBEUI) ou TCP/IP. Por exemplo, quando um computador cliente executa um comando NET USE , um quadro "SMB sess�o instala��o e X" � enviado.

No Windows, "Instala��o da sess�o" SMB inclui a conta de usu�rio, uma fun��o de hash de senha criptografada e dom�nio de logon. Um controlador de dom�nio ir� examinar todas essas informa��es para determinar se o cliente tem permiss�es para concluir o comando NET USE .

Voltar para o in�cio

Algoritmos

Um computador cliente com Windows envia o comando a seguir para um servidor:

   NET USE x: \\server\share

O Windows cliente computador envia um SMB de "Instala��o de sess�o" que cont�m seu dom�nio de logon, conta de usu�rio e senha.

O servidor examina o nome de dom�nio ou nome de computador que foi especificado pelo SMB. Se o nome � o nome do servidor, o algoritmo a seguir � executado:

    It checks its own domain database or computer database for
        a matching account.
    If it finds a matching account then
        The SMB password is compared to the domain database password or the computer database password.
        If  the password matches then
            The command completed successfully.
        If  the password does NOT match then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
        End
    If  it does NOT find the account in the domain Security Accounts Manager (SAM) database or computer SAM database then
        Guest permissions are tested.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            (* See Note a).
            The user is prompted for a password.
            System error 1326 has occurred. Logon failure:
                unknown user name or bad password.
        End

se o dom�nio especificado no SMB � aquele que o servidor confia, o seguinte algoritmo � executar:

    The server will do pass-through authentication. The
        network logon request will be sent to a server that has a domain controller role in the
        specified trusted domain.

Se um canal seguro n�o est� configurado, o algoritmo a seguir � executado:

The trusted domain controller checks its own domain database
for a matching account.
If the trusted domain controller finds a matching account, then
NOT for Windows 2000 and later versions:
It determines whether the account is a local or global account.
If the account is local, then
Guest permissions on the original server are tested.
If the guest account is enabled
The command completed successfully.
If the guest account is disabled
(* See Note a) The user is prompted for a password.
System error 1326 has occurred. Logon failure:
unknown user name or bad password.
End
If the account is global (the only option for Active Directory)
The SMB password is compared to the domain database
password.
If the password matches, then
The command completed successfully.
(* See Note b)
If the password does NOT match, then
The user is prompted for a password.
The password is retested as above.
System error 1326 has occurred. Logon failure:
unknown user name or bad password.
End
If the trusted domain controller does NOT find the account in the trusted domain controller
database, then
Guest permissions are tested on the original server, not the trusted domain. (* See Note c)
If the guest account is enabled
The user will have original server guest access.
The command completed successfully.
If the guest account is disabled
(* See Note a) The user is prompted for a password.
System error 1326 has occurred. Logon failure:
unknown user name or bad password.
End

se o dom�nio especificado no SMB � desconhecido pelo servidor, por exemplo, se um dom�nio foi especificado, mas n�o foi reconhecido pelo servidor como um dom�nio confi�vel ou seu controlador de dom�nio, o algoritmo a seguir � executado:

    It  will check its own account database for
        a matching account
    If  the server finds a matching account, then
        The SMB password is compared to the domain database password or the computer database password.
        If  the password matches, then
            The command completed successfully.
        If  the password does NOT match, then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
    End
    If  it does NOT find the account in the domain database then
        guest permissions are tested.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            System error 1326 has occurred. Logon failure:
            unknown user name or bad password.
    End

se o dom�nio que est� especificado no SMB for NULL, ou seja, nenhum dom�nio for especificado, o algoritmo a seguir � executado:

The server will treat this a local network logon. The server
will test for a matching account in its own database.
If it finds a matching account, then
The SMB password is compared to the SAM database password.
If the password matches, then
The command completed successfully.
If the password does NOT match, then
The user is prompted for a password.
The password is retested as above.
System error 1326 has occurred. Logon failure: unknown
user name or bad password.
End
If it does NOT find the account in the local SAM database AND
LsaLookupRestrictIsolatedNameLevel=0, then (* See Note d)
The server will simultaneously ask each domain that it trusts whether it has account that
matches the SMB account.
The first trusted domain to reply is sent a request to
perform pass-through authentication of the client
information.
The trusted domain will look in its own database.
If an account that matches the SMB account is found, then
The trusted domain determines whether the account is a local or global
account.
Not for Windows 2000 and later versions:
If the account is local then
Guest permissions on the original server are tested.
If the guest account is enabled
The command completed successfully.
If the guest account is disabled
The user will be prompted for a password.
Regardless of what password is entered, the user will receive
"Error 5: Access has been denied."
End
If the account is global (the only option for Active Directory)
The password that was specified in the SMB is compared
to the SAM database password.
If the password matches, then
The command completed successfully.
If the password does NOT match, then
The user is prompted for a password.
The password is retested as above.
System error 1326 has occurred. Logon failure:
unknown user name or bad password.
End
If no trusted domains respond to the request to identify the
account, then
Guest permissions are tested on the original server,
not the trusted server.
If the guest account is enabled
The command completed successfully.
If the guest account is disabled
System error 1326 has occurred. Logon failure:
unknown user name or bad password.
End

Anota��es

Se a conta Convidado � desabilitada e o usu�rio n�o tem uma conta, o servidor ainda ir� solicitar uma senha. Embora nenhuma senha atender� aos seus requisitos, o servidor ainda solicitar� uma senha como uma medida de seguran�a. Essa medida de seguran�a assegura que um usu�rio n�o autorizado n�o � poss�vel saber a diferen�a entre um caso onde existe uma conta e quando a conta n�o existe. O usu�rio sempre ser� solicitado para uma senha independentemente da conta existe.
Neste ponto, as informa��es a seguir s�o retornadas de dom�nio confi�vel na resposta: SID de dom�nio, ID de usu�rio, membros de grupos globais, tempo de logon, Logoff tempo, KickOffTime, nome completo, senha LastSet, senha pode alterar sinalizador, senha deve alterar sinalizador, script de usu�rio, caminho do perfil, diret�rio base e contagem de senha inv�lida.
Se nenhuma conta foi encontrada no dom�nio confi�vel, o sistema operacional deve usar a conta Convidado local para garantir um comportamento consistente para autentica��o em rela��o ao servidor.
Para obter mais informa��es sobre como restringir a pesquisa de nomes isolados em dom�nios confi�veis externos usando a entrada de registro LsaLookupRestrictIsolatedNameLevel, clique no n�mero abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
818024� (http://support.microsoft.com/kb/818024/ ) Como restringir a pesquisa de nomes isolados em dom�nios confi�veis externos usando a entrada de registro LsaLookupRestrictIsolatedNameLevel

Contas de convidado em dom�nios confi�veis nunca estar� dispon�veis.
O processo real, interno � mais complexo do que os algoritmos que s�o descritos aqui.
Esses algoritmos n�o discutir a mec�nica real de autentica��o de passagem. Para obter mais informa��es, clique no n�mero abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
102716� (http://support.microsoft.com/kb/102716/ ) A autentica��o de usu�rio NTLM no Windows
Esses algoritmos n�o discutir o processo de criptografia de senha que � usado no Windows Server 2003, Windows XP e Windows 2000. Um objeto bin�rio grande (BLOB) derivado de um hash de senha unidirecional � enviado como parte da solicita��o de autentica��o. O conte�do desse BLOB depender� o protocolo de autentica��o escolhido para o logon.
Este artigo n�o aborda o funcionamento interno do m�dulo de autentica��o de Microsoft.
Esses algoritmos pressup�em que a conta Convidado, quando ativado, n�o tem nenhuma senha. Por padr�o, a conta de convidado n�o tem uma senha no Windows Server 2003, Windows XP e Windows 2000. Se uma senha de conta de convidado for especificada, a senha de usu�rio que � enviada no SMB dever� coincidir com a senha de conta de convidado.

Voltar para o in�cio

Exemplos

A seguir est�o exemplos desses algoritmos em a��o.

Exemplo 1

Voc� est� conectado ao computador usando o mesmo nome de conta e senha no banco de dados zero dom�nio dom�nio conta. Quando voc� executa o comando NET USE \\SCRATCH para o controlador de dom�nio para o dom�nio dom�nio zero, o comando � conclu�do com �xito. Quando voc� executa o comando NET USE \\NET para o controlador de dom�nio que confia zero-dom�nio no dom�nio, voc� receber a seguinte mensagem de erro:

Sistema ocorreu erro 1326. Falha de logon: nome de usu�rio desconhecido ou senha incorreta.

A conta \SCRATCH-DOMAIN\USER1 tem permiss�es no \\NET.

Observa��o Este exemplo assume que as configura��es a seguir.

configura��es

Computador que tenha uma autoridade de seguran�a local:

  -Login account: USER1
  -Password:      PSW1
  -Login Domain:  LOCAL1

controlador de dom�nio do Active Directory:

  -Server Name: NET</WWITEM>
  -Domain:      NET-DOMAIN</WWITEM>
  -Trust:       NET-DOMAIN Trust SCRATCH-DOMAIN (Therefore,
                accounts on SCRATCH-DOMAIN can be granted permissions 
                in the NET- DOMAIN).

dom�nio dom�nio NET:

O banco de dados de conta de dom�nio para o dom�nio NET-dom�nio n�o cont�m uma conta para o Usu�rio1.
A conta Convidado � desativada.

Windows Server 2003:

  -Server Name:                       SCRATCH
  -Domain:                            SCRATCH-DOMAIN
  -Domain Database contains account:  USER1
  -Domain Database contains password: PSW1

neste exemplo, o computador estiver conectado ao seu dom�nio local, n�o o dom�nio de zero-dom�nio onde reside a conta de dom�nio do computador.

Exemplo 2

Quando voc� executa o comando NET USE x: \\NET\share , ocorrem as seguintes etapas:

O computador envia o seguinte no SMB "Instala��o de sess�o":
conta = "USER1"
senha = "PSW1"
dom�nio = "LOCAL1"
O servidor \\NET recebe o SMB e ver o nome da conta.
O servidor examina seu banco de dados conta de dom�nio local e n�o encontra uma correspond�ncia.
O servidor, em seguida, examina o nome de dom�nio SMB.
O servidor n�o confia "LOCAL1," para que o servidor n�o verifica seus dom�nios confi�veis.
O servidor, em seguida, verifica sua conta de convidado.
A conta Convidado � desativada para o "Ocorreu o erro de sistema 1326. Falha de logon: nome de usu�rio desconhecido ou senha incorreta. "mensagem de erro � gerada.

Exemplo 3

Quando voc� executa o comando NET USE x: \\SCRATCH\share , ocorrem as seguintes etapas:

O computador envia o seguinte no SMB "Instala��o de sess�o":
conta = "USER1"
senha = "PSW1"
dom�nio = "LOCAL1"
O servidor \\SCRATCH recebe o SMB e examina o nome da conta.
O servidor examina seu banco de dados conta de dom�nio local e encontra uma correspond�ncia.
O servidor, em seguida, compara a senha SMB para a senha da conta de dom�nio.
As senhas coincidem. Portanto, a mensagem "Comando conclui successfully" � gerada.

No exemplo 2 e 3 de exemplo, a rela��o de confian�a n�o est� dispon�vel. Se o computador tivesse sido conectado ao dom�nio dom�nio zero, o comando NET USE x: \\NET\share teria sido bem-sucedido.

A solu��o ideal � que todos os computadores log em um dom�nio. Para fazer logon, o usu�rio deve especificar o dom�nio, a conta e a senha. Depois de fazer isso, todos os NET USE -os comandos de tipo ir�o passar as informa��es corretas de dom�nio, conta e senha. Os administradores devem tentar evitar contas duplicadas em computadores e v�rios dom�nios. Computadores baseados no Windows 2000 e Windows Server 2003, baseado no Windows XP ajudam a evitar essa configura��o usando rela��es de confian�a entre dom�nios e usando os membros que podem usar bancos de dados de dom�nio.

Voltar para o in�cio

Solu��o alternativa

H� uma solu��o que pode ser usada nesses casos. No computador, voc� pode executar o seguinte comando:

NET USE X: \\NET\SHARE /USER:SCRATCH-DOMAIN\USER1 PSW1

Neste comando, a seguir for verdadeira:

  - \\NET = The computer name of the domain controller being accessed.
  - \SHARE = The share name.
  - /USER: command line parameter that lets you specify the domain,
    account and password that should be specified in the "Session Setup"
    SMB.
  - SCRATCH-DOMAIN = Domain name of the domain where the user
    account resides.
  - \USER1 = account to be validated against.
  - PSW1 = password that matches account on the domain.

para obter mais informa��es sobre esse comando, digite o seguinte no prompt de comando:

USE NET /?

Voltar para o in�cio

Nomes de dom�nio NULL

O SMB Microsoft cliente que est� inclu�do no Windows Server 2003, Windows XP e Windows 2000 envia nomes de dom�nio NULL no "sess�o instala��o SMB [x 73]" SMB. O cliente SMB Microsoft trata o nome de dom�nio, especificando o nome de dom�nio de logon e enviando um caractere NULL se o nome de dom�nio n�o for especificado no comando NET USE . O cliente SMB Microsoft tamb�m exibir�o o comportamento descrito no exemplo 1.

Anota��es

O nome de dom�nio padr�o � especificado no arquivo LANMAN.ini na "DOMAIN =" linha. Isso pode ser substitu�do pelo / DOMAIN: alternar com o comando NET LOGON .
H� normalmente duas representa��es para "NULL" no SMB: um nome de dom�nio de comprimento zero e um nome de um byte dom�nio consiste no caractere de ponto de interroga��o (?). O servidor SMB captura o ponto de interroga��o e converte a NULL antes de pass�-lo para a autoridade de seguran�a local (LSA).

Voltar para o in�cio

Solu��o de problemas

Uma boa dica para solucionar problemas de acesso de rede � habilitar a auditoria, fazendo o seguinte.

Windows 2000 e vers�es posteriores de controladores de dom�nio baseados no Windows 2000

Em Ferramentas administrativas em um controlador de dom�nio, inicie o Active Directory Users e computadores.
Clique com o bot�o direito do mouse OU controladores de dom�nio e, em seguida, clique em Propriedades .
Na guia Diretiva de grupo , clique duas vezes Diretiva de controlador de dom�nio padr�o .
No Editor de diretiva, clique em Configura��es do computador , clique em Configura��es do Windows , clique em Configura��es de seguran�a , clique em Diretivas locais e, em seguida, clique em Diretiva de auditoria .
Selecione o logon e v�lidas de logon de conta op��o e a op��o de Falha .

Configura��es de dom�nio para servidores do Windows 2000 e membros

Em Ferramentas administrativas em um controlador de dom�nio, inicie o Active Directory Users e computadores.
Clique com o bot�o direito do mouse no nome de dom�nio e, em seguida, clique em Propriedades .
Na guia Diretiva de grupo , clique duas vezes em Diretiva de dom�nio padr�o .
No Editor de diretiva, clique em Configura��es do computador , clique em Configura��es do Windows, clique em Configura��es de seguran�a , clique em Diretivas locais e, em seguida, clique em Diretiva de auditoria .
Selecione o logon e v�lidas de logon de conta op��o e a op��o de Falha .

Configura��es de locais para servidores do Windows 2000 e membros

A partir de ferramentas administrativas, inicie Local Security Policy.
Abrir a diretiva de auditoria.
Selecione o logon e v�lidas de logon de conta op��o e a op��o de Falha .

Agora, sempre que um usu�rio de rede acessa este servidor remotamente, uma trilha de auditoria ser� registrada em Visualizar eventos. Para ver esses eventos em Visualizar eventos, clique em seguran�a no menu log .

Para obter mais informa��es sobre rela��es de confian�a, autentica��o de passagem, permiss�es de usu�rio e logons de dom�nio, consulte o "Technical Overview of Windows Server 2003 Security Services." Para fazer isso, visite o seguinte site:

http://www.microsoft.com/windowsserver2003/techinfo/overview/security.mspx (http://www.microsoft.com/windowsserver2003/techinfo/overview/security.mspx)

Voltar para o in�cio

A informa��o contida neste artigo aplica-se a:

Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Web Edition
Microsoft Windows XP Professional
Microsoft Windows 2000 Professional Edition
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server

Voltar para o in�cio

kbmt kbnetwork KB103390 KbMtpt

Voltar para o in�cio

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine Translation ou MT), n�o tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em portugu�s a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradu��o autom�tica n�o � sempre perfeita, podendo conter erros de vocabul�rio, sintaxe ou gram�tica. A Microsoft n�o � respons�vel por incoer�ncias, erros ou preju�zos ocorridos em decorr�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualiza��es freq�entes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 103390� (http://support.microsoft.com/kb/103390/en-us/ )

Voltar para o in�cio

Outros Recursos

Outros Sites de Suporte

Comunidades

Obtenha Ajuda Agora

Entre em contato com um profissional de suporte por email, online, ou telefone.

Tradu��es deste artigo

United States (English)

This site in other countries/regions:

Algoritmos de valida��o de acesso de rede e exemplos para o Windows Server 2003, Windows XP e Windows 2000

Nesta p�gina

Informa��es de plano de fundo

Algoritmos

Anota��es

Exemplos

Exemplo 1

Exemplo 2

Exemplo 3

Solu��o alternativa

Nomes de dom�nio NULL

Anota��es

Solu��o de problemas

Windows 2000 e vers�es posteriores de controladores de dom�nio baseados no Windows 2000

Configura��es de dom�nio para servidores do Windows 2000 e membros

Configura��es de locais para servidores do Windows 2000 e membros

A informa��o contida neste artigo aplica-se a:

Palavras-chave:�

Outros Sites de Suporte

Comunidades

Obtenha Ajuda Agora

Tradu��es deste artigo

Centros de suporte relacionados