Artigo: 283201 - Última revisão: quinta-feira, 9 de Fevereiro de 2006 - Revisão: 2.0

Como utilizar a delegação no Windows 2000 com +

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaVer isenção de responsabilidades para tradução automática
Retired KB ArticleExclusão de Responsabilidade para Conteúdo sem Suporte na KB
Ver produtos para os quais este artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
Expandir tudo | Reduzir tudo

Sumário

Por predefinição, o Microsoft Windows 2000 utiliza o protocolo Kerberos para autenticação. O protocolo Kerberos suporta delegação e resolve uma limitação da autenticação NTLM do Microsoft Windows NT 4.0. Este artigo explica como utilizar a delegação no Windows 2000 com +.

importante Delegação é uma funcionalidade muito poderosa e deve ser utilizada com precaução. Computadores configurados para suportar a delegação devem ser em acesso controlado para evitar utilização indevida desta funcionalidade.
Voltar ao topo

Mais Informação

A autenticação Kerberos gera um token de nível de delegação, desde que as seguintes duas condições sejam cumpridas:
  1. A conta que está a tentar delegado não está marcada "sensível e não pode ser delegada" no Active Directory.
  2. A conta principal em relação à qual está a autenticação (a conta de utilizador sob o qual o processo do servidor está a ser executado) está marcado como "Fidedigna para delegação" no Active Directory.

Passos para marcar a conta de utilizador "fidedigno para delegação"

  1. No controlador de domínio, clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e clique em computadores e utilizadores do Active Directory .
  2. Em domínio, clique na pasta utilizadores .
  3. Em sua conta de utilizador, clique em Propriedades .
  4. No separador ' conta ', seleccione a caixa de verificação fidedigno para delegação .
  5. Sob a conta que está a tentar delegar, desmarque o conta é sensível não pode ser delegada caixa de verificação.

Passos para marcar a conta de computador "fidedigno para delegação"

Se o processo do servidor estiver em execução sob uma conta de sistema, a conta principal é a conta de computador no Active Directory. Por conseguinte, terá de fazer-se de que selecciona a caixa de verificação fidedigno para delegação para a conta de computador no Active Directory. Para o fazer, siga estes passos:
  1. No controlador de domínio, clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e clique em computadores e utilizadores do Active Directory .
  2. Em domínio, clique na pasta computadores .
  3. Em sua conta de computador, clique em Propriedades .
  4. No separador Geral , seleccione a caixa de verificação fidedigno para delegação .

Quando as credenciais de utilizador delegado

cenário 1

Um cenário típico no qual poderá pretender delegar as credenciais de utilizador é se um computador (computador A) que tenha o Microsoft Internet Explorer instalado pedidos de páginas ASP (Active Server Pages) de um servidor Web do Microsoft Internet Information Server (IIS) no segundo computador (computador B) e as páginas ASP invocar COM (Component Object Model) / componentes do COM + numa terceira computador (computador C). Pretende que o COM / aplicação COM + para verificar a identidade do utilizador com sessão iniciada ao primeiro computador.

Reduzir esta tabelaExpandir esta tabela
Computador AComputador BComputador C
Internet ExplorerServiços de informação InternetCOM / componentes do COM +
Utilizador AUtilizador BUtilizador C

Para delegação trabalhar neste cenário, desmarque a caixa de verificação conta é sensível e não pode ser delegada para o utilizador A e seleccione a caixa de verificação fidedigno para delegação para o computador B. Depois de configurar estas definições para um utilizador e computador B, o COM / aplicação COM + no computador C pode ver a identidade do utilizador que iniciou sessão computador a.

cenário 2

Poderá também pretender delegar as credenciais do utilizador quando uma aplicação de cliente COM num computador (computador A) chama uma aplicação do COM + ou servidor COM outro computador (computador B), que chama a função CoImpersonateClient utilizar credenciais do cliente para invocar a outra aplicação COM + ou COM componentes de servidor numa terceira computador (computador C).

Reduzir esta tabelaExpandir esta tabela
Computador AComputador BComputador C
COM clienteCOM / aplicação COM +COM / aplicação COM +
Utilizador AUtilizador BUtilizador C

Para este cenário trabalhar, defina o nível de representação no computador A delegar, desmarque a caixa de verificação conta é sensível e não pode ser delegada para o utilizador A no Active Directory e seleccione a caixa de verificação fidedigno para delegação para utilizador B no Active Directory. Quando configurar estas definições, o processo remoto no computador C pode representar a identidade do cliente. Desta forma, pode interligar delegação para outros computadores na cadeia de chamada.

Nota Estes passos assumem que está a utilizar Windows 2000 e do Active Directory, bem como todas as contas de utilizador e computador se encontram no mesmo domínio ou domínio fidedigno.
Voltar ao topo

Referências

Para mais informações sobre delegação e representação, consulte o seguinte Web site da Microsoft:
http://msdn.microsoft.com/library/psdk/com/security_0dri.htm (http://msdn.microsoft.com/library/psdk/com/security_0dri.htm)
Voltar ao topo
A informação contida neste artigo aplica-se a:
  • Microsoft COM+ 1.0
Voltar ao topo
Palavras-chave: 
kbmt kbclient kbclientserver kbdcom kbhowto KB283201 KbMtpt
Voltar ao topo
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 283201  (http://support.microsoft.com/kb/283201/en-us/ )
Voltar ao topo
Retired KB ArticleExclusão de Responsabilidade para Conteúdo sem Suporte na KB
Este artigo foi escrito sobre produtos para os quais a Microsoft já não fornece suporte. Por conseguinte, este artigo é oferecido "tal como está" e deixará de ser actualizado.
Voltar ao topo