Artigo: 929272 - Última revisão: terça-feira, 2 de Outubro de 2007 - Revisão: 2.3

Estilos de início de sessão interactivo e pesquisa de conta do Centro de distribuição de chaves no Windows Server 2003

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaVer isenção de responsabilidades para tradução automática
Ver produtos para os quais este artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
Expandir tudo | Reduzir tudo

INTRODUÇÃO

Este artigo descreve os estilos de início de sessão interactivo e pesquisa de conta do Centro de distribuição de chaves (KDC, Key Distribution Center) no Windows Server 2003.

Mais Informação

Windows Server 2003 e Windows XP fornecem flexibilidade para escreva o nome de utilizador, o nome de domínio de utilizador e a palavra-passe na caixa de diálogo Bem-vindo ao Windows . Poderá preceder o nome de domínio na caixa nome de utilizador ou seleccione o nome de domínio na lista Iniciar sessão em . Para iniciar sessão utilizando o nome principal de utilizador (UPN), utilize um dos seguintes métodos:
  • Utilize um UPN explícita que reflecte o atributo de utilizador do Active Directory userPrincipalName.
  • Utilize um UPN implícita que reflecte o atributo de utilizador do Active Directory samAccountName juntamente com o nome de domínio.
Segue-se um exemplo de uma configuração de conta de utilizador que "Contoso" é utilizada como um nome de domínio fictício:

Nome de domínio do FQDN, Fully Qualified Domain Name = Contoso.net
Nome de domínio NetBIOS = Contoso
Smart card UPN = Someone @ Contoso.net

Conta Contoso.net:
CN = MyCN
samAccountName = Someone
userPrincipalName = SomeUser @ ContosoAlt.net (UPN alternativo ou personalizado como UPN explícita)
"palavra-passe" = Password

A Microsoft suporta as seguintes combinações de início de sessão interactivo. Nos exemplos seguintes, Contoso é utilizado como um nome de domínio fictício:
  • Nome de utilizador: Someone @ Contoso.net (implícita UPN)
    Palavra-passe: Password
    Iniciar sessão no: não aplicável
  • Nome de utilizador: Someone @ Contoso (UPN nome de domínio simples)
    Palavra-passe: Password
    Iniciar sessão no: não aplicável
  • Nome de utilizador: SomeUser @ ContosoAlt.net (UPN explícita = userPrincipalName)
    Palavra-passe: Password
    Iniciar sessão no: não aplicável
  • Nome de utilizador: Contoso \ Someone (prefixo de domínio = nome de domínio simples)
    Palavra-passe: Password
    Iniciar sessão no: não aplicável
  • Nome de utilizador: Contoso.net \ Someone (prefixo de domínio = nome de domínio do FQDN, Fully Qualified Domain Name)
    Palavra-passe: Password
    Iniciar sessão no: não aplicável
  • Nome de utilizador: Someone
    Palavra-passe: Password
    Iniciar sessão no: Contoso (nome de domínio de NetBIOS)

    Nota A interface de início de sessão é diferente no Windows Vista. Por conseguinte, esta combinação não estará disponível em futuras que versões do Windows.
  • Cartão Smart Card + o número de identificação pessoal (PIN)
Início de sessão UPN é possível utilizando um UPN explícita (userPrincipalName) ou um UPN implícita (samAccountName @ Contoso). O KDC, Key Distribution Center é responsável para localizar a conta de utilizador em questão. O KDC, Key Distribution Center efectua a pesquisa pela seguinte ordem no Windows Server 2003:
  • O KDC, Key Distribution Center tenta localizar um atributo userPrincipalName que corresponda a autenticação do serviço pedidos (AS_REQ) UPN para o domínio local KDC, Key Distribution Center.
  • Se a parte de domínio o UPN corresponder o FQDN, Fully Qualified Domain Name ou o simples nome de domínio de NetBIOS do domínio local, é assumido como um UPN implícita. O KDC, Key Distribution Center, em seguida, tenta utilizar o atributo de utilizador samAccountName para a parte relativa o UPN ao utilizador.
  • O KDC, Key Distribution Center tenta obter uma referência para a parte do domínio UPN.
  • O KDC, Key Distribution Center tenta resolver o UPN como explícita num servidor de catálogo global. O servidor de catálogo global pode devolver uma referência para a parte do domínio UPN.
  • Se o servidor de catálogo global não é possível resolver o UPN como explícita, o servidor de catálogo global verifica a parte do domínio UPN contra as tabelas de encaminhamento de sufixo para as fidedignidades entre florestas. Se o sufixo corresponde a qualquer o UPN, o servidor de catálogo global devolve uma referência para a floresta correspondente.
Nota A ordem de procura não é afectada, mesmo se a conta de utilizador estiver desactivada. O processo de pesquisa KDC, Key Distribution Center conta não pode obter a conta de utilizador que quer orçar, se uma das seguintes condições for verdadeira:
  • Um UPN explícita para uma conta de utilizador num domínio corresponde a um UPN implícita noutro domínio na mesma floresta.
  • Um UPN explícita para uma conta de utilizador num domínio corresponde a um UPN implícita num domínio fidedigno ou de uma floresta fidedigna.
Por conseguinte, recomendamos que utiliza UPN predefinido a menos que esteja atento estas implicações possíveis.

Sufixos UPN alternativos funcionará entre florestas se verifiquem as seguintes condições:
  • É estabelecida uma fidedignidade de floresta.
  • O sufixo UPN é exclusivo.
  • O sufixo UPN é registado ao nível da floresta.
Recomendamos que o smart card UPN corresponder o atributo de conta de utilizador userPrincipalName para certificados de autoridade de certificação de terceiros (AC). No entanto, se o UPN no certificado o UPN implícito da conta (O formato é samAccountName@Contoso_FQDN), o UPN não é necessário fazer corresponder explicitamente a propriedade userPrincipalName. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
281245  (http://support.microsoft.com/kb/281245/ ) Directrizes para activar o início de sessão smart card com autoridades de certificação de terceiros
Se utilizar um UPN alternativo para um início de sessão de smart card dentro da floresta ou para um início de sessão normal e o computador está num domínio diferente, é necessário um catálogo global.

Para obter mais informações sobre o processo de autenticação noutra floresta, visite o seguinte Web site da Microsoft e consulte a secção "Autenticação de Kerberos no Windows Server 2003":
http://www.microsoft.com/windowsserver2003/technologies/security/kerberos/default.mspx (http://www.microsoft.com/windowsserver2003/technologies/security/kerberos/default.mspx)
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
Voltar ao topo
Palavras-chave: 
kbmt kbexpertiseinter kbhowto KB929272 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 929272  (http://support.microsoft.com/kb/929272/en-us/ )
Voltar ao topo