Алгоритмы проверки доступа к сети и примеры для Windows Server 2003, Windows XP и Windows 2000

Переводы статьи Переводы статьи
Код статьи: 103390 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Ниже приведен упрощенный алгоритм, который объясняет, как Наблюдаемое Проверка учетной записи Windows для работы во время доступа к сети с использованием протокол NTLM. При использовании доступа через блок сообщений сервера (SMB) протокол, как в примере, но применяется для всех серверных приложений, поддерживает проверку подлинности NTLM. Это обсуждение не охватывает внутренний работой этого процесса. С этой информацией можно прогнозировать Windows сетевой вход в систему поведение детерминированные условиях.
При использовании Kerberos для проверки подлинности пользователя и получения доступ к ресурсам сервера, этот процесс сильно отличается от чего NTLM. Для получения дополнительных сведений посетите следующий веб-узел Microsoft TechNet Web:
http://technet2.Microsoft.com/WindowsServer/en/Library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx
Помните, что локальной базы данных в базу данных домена и только базы данных на контроллерах домена. Но на других серверах и все компьютеры, локальной базы данных отличается от контроллера домена.

Общие сведения

Когда два окна Компьютеры под управлением Server 2003, под управлением Windows XP или операционной системой Windows 2000 При связи по сети, они используют высокоуровневые протокол, называемый блока сообщений сервера (SMB). Встроенные команды SMB в транспортные протоколы, такие как NetBIOS Расширенный пользовательский интерфейс (NetBEUI) или ПРОТОКОЛ TCP/IP. Например, когда клиентский компьютер выполняет NET USE команда отправляется фрейм «SMB сеанса настройки и X».

В Windows, сеанс» Программа установки» SMB включает учетную запись пользователя, хэш-функции зашифрованный пароль и домен входа. Домен контроллер Рассмотрим эти сведения для определения, имеет ли клиент разрешения для выполнения NET USE команда.

Алгоритмы

Клиентский компьютер Windows отправляет следующую команду на сервере:
   NET USE x: \\server\share
		
Клиентский компьютер Windows отправляет SMB «При установке сеанса» содержит его имя входа домена, учетной записи пользователя и пароль.

Сервер проверяет имя домена или имя компьютера, заданное посредством SMB. Если имя является именем сервера, запустите следующий алгоритм:
    It checks its own domain database or computer database for
        a matching account.
    If it finds a matching account then
        The SMB password is compared to the domain database password or the computer database password.
        If  the password matches then
            The command completed successfully.
        If  the password does NOT match then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
        End
    If  it does NOT find the account in the domain Security Accounts Manager (SAM) database or computer SAM database then
        Guest permissions are tested.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            (* See Note a).
            The user is prompted for a password.
            System error 1326 has occurred. Logon failure:
                unknown user name or bad password.
        End
		
Если домен, указанный в протоколе SMB — это тот, который доверяет сервер, Запустите следующий алгоритм:
    The server will do pass-through authentication. The
        network logon request will be sent to a server that has a domain controller role in the
        specified trusted domain.
		
Если безопасный канал не настроена, ниже алгоритм выполнения:
The trusted domain controller checks its own domain database
        for a matching account.
    If the trusted domain controller finds a matching account, then
       NOT for Windows 2000 and later versions:
    It determines whether the account is a local or global account.
       If the account is local, then
           Guest permissions on the original server are tested.
           If the guest account is enabled
               The command completed successfully.
           If the guest account is disabled
               (* See Note a) The user is prompted for a password.
               System error 1326 has occurred. Logon failure:
               unknown user name or bad password.
        End
        If the account is global (the only option for Active Directory)
           The SMB password is compared to the domain database
               password.
           If  the password matches, then
               The command completed successfully.
               (* See Note b)
           If  the password does NOT match, then
               The user is prompted for a password.
                   The password is retested as above.
               System error 1326 has occurred. Logon failure:
               unknown user name or bad password.
       End
    If the trusted domain controller does NOT find the account in the trusted domain controller
           database, then
       Guest permissions are tested on the original server, not the trusted domain.  (* See Note c)
       If  the guest account is enabled
           The user will have original server guest access.
           The command completed successfully.
       If  the guest account is disabled
           (* See Note a) The user is prompted for a password.
           System error 1326 has occurred. Logon failure:
           unknown user name or bad password.
    End
Если домен, указанный в протоколе SMB не опознан сервером, для Например, если был указан домен, но не распознается сервером как доверенный домен и контроллер домена выполняется следующий алгоритм:
    It  will check its own account database for
        a matching account
    If  the server finds a matching account, then
        The SMB password is compared to the domain database password or the computer database password.
        If  the password matches, then
            The command completed successfully.
        If  the password does NOT match, then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
    End
    If  it does NOT find the account in the domain database then
        guest permissions are tested.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            System error 1326 has occurred. Logon failure:
            unknown user name or bad password.
    End
		
Если домен, указанный в протоколе SMB NULL, то есть не Указанный домен, запустите следующий алгоритм:
    The server will treat this a local network logon. The server
        will test for a matching account in its own database.
    If  it finds a matching account, then
        The SMB password is compared to the SAM database password.
        If  the password matches, then
            The command completed successfully.
        If  the password does NOT match, then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
    End
    If  it does NOT find the account in the local SAM database AND
      LsaLookupRestrictIsolatedNameLevel=0, then (* See Note d)
        The server will simultaneously ask each domain that it trusts whether it has account that
            matches the SMB account.
        The first trusted domain to reply is sent a request to
            perform pass-through authentication of the client
            information.
        The trusted domain will look in its own database.
        If  an account that matches the SMB account is found, then
            The trusted domain determines whether the account is a local or global
                account.
           Not for Windows 2000 and later versions:
            If  the account is local then
                Guest permissions on the original server are tested.
                If  the guest account is enabled
                    The command completed successfully.
                If  the guest account is disabled
                The user will be prompted for a password.
                Regardless of what password is entered, the user will receive
                    "Error 5: Access has been denied."
            End
            If  the account is global (the only option for Active Directory)
                The password that was specified in the SMB is compared
                    to the SAM database password.
                If  the password matches, then
                    The command completed successfully.
                If  the password does NOT match, then
                    The user is prompted for a password.
                        The password is retested as above.
                    System error 1326 has occurred. Logon failure:
                    unknown user name or bad password.
            End
    If  no trusted domains respond to the request to identify the
        account, then
        Guest permissions are tested on the original server,
            not the trusted server.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            System error 1326 has occurred. Logon failure:
            unknown user name or bad password.
    End
		

Заметки

  1. Если учетная запись гостя отключена и пользователь не имеет учетная запись, сервер по-прежнему будет запрашивать пароль. Несмотря на то, что пароль не будет ее требованиям, сервер будет по-прежнему запрашивают пароль безопасности измерения. Эта мера безопасности гарантирует, что невозможно определить неавторизованный пользователь Разница между случай, когда учетная запись уже существует, и когда учетная запись не существует. Пользователь всегда выводится приглашение для ввода пароля, независимо от существует ли учетная запись.
  2. На этом этапе возвращается следующая информация доверенный домен в ответе: глобальные группы SID домена, идентификатор пользователя Участие в группах, время входа в систему, время выхода из системы, KickOffTime, полное имя LastSet пароль Пароль можно изменить флаг, флаг, пользовательский сценарий, путь К профилю, необходимо изменить пароль Домашний каталог, а количество неверных паролей.
  3. Если учетная запись не найдена на доверенном домене для обеспечения правильного функционирования операционной системы необходимо использовать учетную запись гостя для проверки подлинности на сервере.
  4. Для получения дополнительных сведения об ограничении поиска изолированных имен во внешних Доверенные домены, используя параметр реестра LsaLookupRestrictIsolatedNameLevel щелкните следующий номер статьи базы Microsoft База знаний:
    818024Как ограничить поиск изолированных имен внешних доверенных доменов, используя параметр LsaLookupRestrictIsolatedNameLevel
  • Учетные записи гостя на доверенные домены никогда не будут доступные.
  • Фактический внутренний процесс сложнее, чем алгоритмы, которые описаны ниже.
  • Эти алгоритмы не обсуждаются реальные механизмы Сквозная проверка подлинности.Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
    102716Проверка подлинности NTLM пользователя в Windows
  • Эти алгоритмы шифрования пароля не обсуждаются процесс, используемый в Windows Server 2003, Windows XP и Windows 2000. Большой двоичный объект (BLOB), производный от хэш пароля односторонней отправляется как часть запроса проверки подлинности. В содержимое данного BLOB будет зависеть от протокола проверки подлинности, выбранного для вход в систему.
  • В этой статье не рассматриваются внутренние процессы Модуль проверки подлинности Microsoft.
  • Эти алгоритмы предполагается, что учетная запись «Гость», когда включен, не имеет пароля. По умолчанию не имеет учетной записи гостя пароль в Windows Server 2003, Windows XP и Windows 2000. Если гостей Указанный пароль учетной записи, пароль пользователя, который отправляется в SMB необходимо совпадают, пароль учетной записи «Гость».

Примеры

Ниже приведены примеры этих алгоритмов в действии.

Пример 1.

Вы вошли в систему с использованием того же имени учетной записи и пароль в базе данных учетных записей домена ДОМЕНА САМОСТОЯТЕЛЬНО. Когда вы запустить NET USE \\SCRATCH Команда для контроллера домена для домена НУЛЯ ДОМЕНА Команда выполнена успешно. При запуске NET USE \\NET Команда для контроллера домена, которому доверяет домен НУЛЯ домен, появляется следующее сообщение об ошибке:
Система 1326 произошла ошибка. Ошибка входа в систему: неизвестное имя пользователя или неверный пароль.
\SCRATCH-DOMAIN\USER1 учетная запись имеет разрешения на \\NET.

Примечание В этом примере предполагается, что следующие параметры конфигурации.

Конфигурации

Компьютер с локальным администратором безопасности.
  -Login account: USER1
  -Password:      PSW1
  -Login Domain:  LOCAL1
		
Контроллер домена Active Directory:
  -Server Name: NET</WWITEM>
  -Domain:      NET-DOMAIN</WWITEM>
  -Trust:       NET-DOMAIN Trust SCRATCH-DOMAIN (Therefore,
                accounts on SCRATCH-DOMAIN can be granted permissions 
                in the NET- DOMAIN).
		
В NET доменов:
  • В базе данных учетных записей домена для домена домен NET содержит учетную запись для пользователя USER1.
  • Учетная запись гостя отключена.
Windows Server 2003:
  -Server Name:                       SCRATCH
  -Domain:                            SCRATCH-DOMAIN
  -Domain Database contains account:  USER1
  -Domain Database contains password: PSW1
		
В этом примере компьютер вошел в его локальном домене не НУЛЯ ДОМЕНА домен которой находится учетная запись домена компьютера.

Пример 2.

При запуске NET USE x: \\NET\share команды выполняются следующие действия:
  1. В компьютер передает в SMB «При установке сеанса» следующее:
    учетная запись = «USER1»
    пароль = «psw1»
    домен = «local1»
  2. Сервер \\NET получает SMB и рассматривали учетной записи имя.
  3. Сервер проверяет свою базу данных учетных записей локального домена и совпадения не найдены.
  4. Затем сервер проверяет имя домена SMB.
  5. Сервер не доверяет «local1» так, чтобы сервер не поддерживает Проверьте его доверенных доменов.
  6. Сервер проверяет его учетной записи гостя.
  7. Учетная запись гостя отключена таким образом «Системная ошибка 1326 имеет произошло. Ошибка входа в систему: неизвестное имя пользователя или неверный пароль. "сообщение об ошибке создан.

Пример 3

При запуске NET USE x: \\SCRATCH\shareкоманды выполняются следующие действия:
  1. В компьютер передает в SMB «При установке сеанса» следующее:
    учетная запись = «USER1»
    пароль = «psw1»
    домен = «local1»
  2. Сервер \\SCRATCH получает SMB и проверяет Имя учетной записи.
  3. Сервер проверяет свою базу данных учетных записей локального домена и Поиск совпадения.
  4. Сервер сравнивает SMB паролей для домена пароль учетной записи.
  5. Пароли совпадают. Таким образом "завершения команды Успешно» создается сообщение.
В примере 2 и 3 пример — это отношение доверия недоступен. Если компьютер был подключен к НУЛЯ доменов очередь NET USE x: \\NET\share команда была бы успешно.

Идеально подходит решением является использование журнала всех компьютеров в домен. Чтобы войти в систему, пользователь должен указать домен, учетная запись и пароль. После этого, все NET USE-Тип команды передаст правильный домен учетной записи и пароль сведения. Администраторам следует избегать повторяющиеся учетные записи на обоих компьютеры и несколько доменов. Windows Server 2003 под управлением, управлением Windows XP, а также компьютеры под управлением Windows 2000 помогают избежать этой конфигурации с помощью доверительные отношения между доменами и по с помощью элементов, которые можно использовать базы данных домена.

Временное решение

Один метод, который может быть использован в этих случаях не существует. Из компьютер, можно выполнить следующую команду:
NET USE X: \\NET\SHARE /USER:SCRATCH-PSW1 ДОМЕН\ПОЛЬЗОВАТЕЛЬ1
В этой команде выполните true:
  - \\NET = The computer name of the domain controller being accessed.
  - \SHARE = The share name.
  - /USER: command line parameter that lets you specify the domain,
    account and password that should be specified in the "Session Setup"
    SMB.
  - SCRATCH-DOMAIN = Domain name of the domain where the user
    account resides.
  - \USER1 = account to be validated against.
  - PSW1 = password that matches account on the domain.
		
Для получения дополнительных сведений о данной команде введите следующее в в командной строке:
NET USE /?

Значение NULL, доменные имена

Microsoft SMB клиент, в Windows Server 2003, Windows XP и Windows 2000 домена передает значение NULL имена в сеансе" Настройки протокола SMB [x 73]" SMB. В Корпорация Майкрософт SMB-клиент обрабатывает имя домена, указав имя домена для входа, а также по Отправка символ NULL, если имя домена не указано в NET USE команда. В Microsoft SMB-клиент также вызывают необычное поведение описывается в примере 1.

Заметки

  • Имя домена по умолчанию указано в LANMAN.INI-файла на "ДОМЕНА =" строки. Это могут быть переопределены / ДОМЕНА: Переключение с NET ВХОД В СИСТЕМУ команда.
  • В обычно имеются два представления для «NULL» SMB: Пустые имя домена и имя домена один байт, состоящее из знак вопроса (?). SMB-сервер перехватывает вопросительным знаком и переводит его значение NULL, перед его передачей администратора локальной безопасности (LSA).

Устранение неполадок

Хороший совет для устранения неполадок сетевого доступа – Включение аудита следующим образом.

Windows 2000 и более поздних версиях контроллеры домена под управлением Windows 2000

  1. В меню Администрирование на контроллере домена запустите Active Directory — пользователи и компьютеры.
  2. Щелкните правой кнопкой мыши В Подразделении контроллеров домена, и Нажмите кнопку Свойства.
  3. На Групповая политика Дважды щелкнитеПо умолчанию политика контроллеров домена.
  4. Щелкните в окне редактора политики Компьютер Параметры, нажмите кнопку Параметры Windows, нажмите кнопкуПараметры безопасности, нажмите кнопку Локальные политики, и Нажмите кнопку Политика аудита.
  5. Выберите Вход в систему и успешный вход в систему с учетной записьюпараметр и Сбой параметр.

Настройка домена для серверов Windows 2000 и члены

  1. В меню Администрирование на контроллере домена запустите Active Directory — пользователи и компьютеры.
  2. Щелкните правой кнопкой мыши имя домена и нажмите кнопкуСвойства.
  3. На Групповая политика Дважды щелкнитеПолитика домена по умолчанию.
  4. Щелкните в окне редактора политики Компьютер Параметры, нажмите кнопку Параметры Windows Нажмите кнопкуПараметры безопасности, нажмите кнопку Локальные политики, и Нажмите кнопку Политика аудита.
  5. Выберите Вход в систему и успешный вход в систему с учетной записьюпараметр и Сбой параметр.

Локальные параметры для серверов Windows 2000 и члены

  1. В меню Администрирование запуска локальной безопасности Политики.
  2. Откройте оснастку «Политика аудита».
  3. Выберите Вход в систему и успешный вход в систему с учетной записьюпараметр и Сбой параметр.
Теперь каждый раз, что сетевой пользователь обращается к этому серверу удаленно в окне просмотра событий заносятся журнал аудита. Для просмотра этих событий в Окно просмотра событий, нажмите кнопку Безопасность В диалоговом окне Журнал меню.

Для получения дополнительных сведений о доверительных отношениях сквозную проверку подлинности разрешения пользователей и учетных записей домена содержатся в разделе «Технический обзор служб Windows Server 2003 безопасности.» Для этого посетите следующий веб-узел корпорации Майкрософт:
http://www.Microsoft.com/windowsserver2003/techinfo/Overview/Security.mspx

Свойства

Код статьи: 103390 - Последний отзыв: 1 июня 2011 г. - Revision: 6.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional Edition
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbnetwork kbmt KB103390 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:103390

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com