ID do artigo: 929272 - Última revisão: terça-feira, 2 de outubro de 2007 - Revisão: 2.3

Estilos de logon interativo e pesquisa de conta do Centro de distribuição de chaves no Windows Server 2003

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaExibir Aviso de Isenção de Tradução Automática
Exibir os produtos aos quais esse artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
Expandir tudo | Recolher tudo

INTRODUÇÃO

Este artigo descreve os estilos de logon interativo e pesquisa de conta do Centro de distribuição de chaves (KDC) no Windows Server 2003.

Mais Informações

Windows Server 2003 e Windows XP fornecem flexibilidade para digitar o nome de usuário, o nome de domínio de usuário e a senha na caixa de diálogo Bem-vindo ao Windows . Você pode prefixo do nome de domínio na caixa nome de usuário ou selecione o nome de domínio na lista fazer logon em . Para fazer logon usando o nome de usuário principal (UPN), use um dos seguintes métodos:
  • Use um UPN explícito que reflete o atributo de usuário do Active Directory userPrincipalName.
  • Use um UPN implícito que reflete o atributo de usuário do Active Directory samAccountName junto com o nome de domínio.
Este é um exemplo de uma configuração de conta de usuário em que "Contoso" é usada como um nome de domínio fictício:

Nome de domínio FQDN = Contoso.net
Nome de domínio NetBIOS = Contoso
Cartão inteligente com UPN = Someone @ Contoso.net

Conta no Contoso.net:
CN = MyCN
samAccountName = Someone
userPrincipalName = SomeUser @ ContosoAlt.net (alternativo ou personalizado UPN como UPN explícita)
"senha" = Password

A Microsoft oferece suporte as combinações de logon interativo a seguir. Nos exemplos a seguir, a Contoso é usado como um nome de domínio fictício:
  • Nome de usuário: Someone @ Contoso.net (implícita UPN)
    Senha: Password
    Fazer logon: não aplicável
  • Nome de usuário: Someone @ Contoso (UPN com nome de domínio simples)
    Senha: Password
    Fazer logon: não aplicável
  • Nome de usuário: SomeUser @ ContosoAlt.net (UPN explícita = userPrincipalName)
    Senha: Password
    Fazer logon: não aplicável
  • Nome de usuário: Contoso \ Someone (prefixo de domínio = nome de domínio simples)
    Senha: Password
    Fazer logon: não aplicável
  • Nome de usuário: Contoso.net \ Someone (prefixo de domínio = nome de domínio FQDN)
    Senha: Password
    Fazer logon: não aplicável
  • Nome de usuário: Someone
    Senha: Password
    Fazer logon: Contoso (nome de domínio NetBIOS)

    Observação A interface de logon é diferente no Windows Vista. Portanto, essa combinação não estará disponível em futuras que versões do Windows.
  • Cartão inteligente + número de identificação pessoal (PIN)
Logon UPN é possível usando um UPN explícita (userPrincipalName) ou um UPN implícita (samAccountName @ Contoso). O KDC é responsável por localizar a conta de usuário relacionadas. O KDC executa a pesquisa na seguinte ordem no Windows Server 2003:
  • O KDC tenta encontrar um atributo userPrincipalName que coincide com a autenticação do serviço solicitações (AS_REQ) UPN para o domínio local do KDC.
  • Se a parte de domínio o UPN coincidir com o FQDN ou o nome de domínio NetBIOS plano do domínio local, ele é considerado um UPN implícita. O KDC em seguida, tenta usar o atributo de usuário samAccountName para a parte usuário o UPN.
  • O KDC tenta obter uma referência para a parte de domínio UPN.
  • O KDC tenta resolver o UPN como explícita em um servidor de catálogo global. O servidor de catálogo global pode retornar uma referência para a parte de domínio UPN.
  • Se o servidor de catálogo global não puder resolver o UPN como explícito, o servidor de catálogo global verifica a parte do domínio UPN contra as tabelas de roteamento de sufixo para as relações de confiança entre florestas. Se o sufixo coincidir com qualquer um dos UPNs, o servidor de catálogo global retorna uma referência para a floresta correspondente.
Observação A ordem de pesquisa não é afetada mesmo se a conta de usuário estiver desativada. O processo de pesquisa de conta KDC não pode recuperar a conta de usuário que você espera que, se uma das seguintes condições for verdadeira:
  • Um UPN explícita para uma conta de usuário em um domínio corresponde a um UPN implícita em outro domínio na mesma floresta.
  • Um UPN explícita para uma conta de usuário em um domínio corresponde a um UPN implícita em um domínio confiável ou em uma floresta confiável.
Portanto, recomendamos que você use UPNs padrão a menos que você esteja atento essas implicações possíveis.

Sufixos UPN alternativos funcionará entre florestas se as seguintes condições forem verdadeiras:
  • Uma confiança de floresta é estabelecida.
  • O sufixo UPN é exclusivo.
  • O sufixo UPN é registrado no nível da floresta.
Recomendamos que o cartão inteligente UPN corresponde ao atributo userPrincipalName usuário conta para certificados de autoridade de certificação de terceiros (CAs). No entanto, se o UPN no certificado o UPN implícito da conta (O formato é samAccountName@Contoso_FQDN), o UPN não tem explicitamente corresponder à propriedade userPrincipalName. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
281245  (http://support.microsoft.com/kb/281245/ ) Diretrizes para habilitação logon de cartão inteligente com autoridades de certificação de terceiros
Se você usar um UPN alternativo para um logon de cartão inteligente entre florestas ou para um logon comuns e o computador estiver em um domínio diferente, um catálogo global é necessário.

Para obter mais informações sobre o processo de autenticação para outra floresta, visite o seguinte site da Microsoft e consulte a seção "Autenticação Kerberos no Windows Server 2003":
http://www.microsoft.com/windowsserver2003/technologies/security/kerberos/default.mspx (http://www.microsoft.com/windowsserver2003/technologies/security/kerberos/default.mspx)
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
Voltar para o início
Palavras-chave: 
kbmt kbexpertiseinter kbhowto KB929272 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 929272  (http://support.microsoft.com/kb/929272/en-us/ )
Voltar para o início