文章編號: 929272 - 上次校閱: 2007年10月2日 - 版次: 2.3

互動式登入的樣式及 Windows Server 2003 中的金鑰發佈中心帳戶查閱

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
全部展開 | 全部摺疊

簡介

本文將告訴您,互動式登入的樣式及 Windows Server 2003 中的金鑰發行中心 (KDC) 帳戶查閱。

其他相關資訊

Windows Server 2003 和 Windows XP 提供彈性,在 [歡迎使用 Windows] 對話方塊中鍵入使用者名稱、 使用者網域名稱和密碼。您可能 使用者名稱] 方塊中的 [網域] 名稱的前置詞,或在 登入] 清單中選取網域名稱。利用使用者主要名稱 (UPN) 登入,使用下列方法之一:
  • 使用明確的 UPN,以反映 userPrincipalName Active Directory 使用者屬性。
  • 使用隱含的 UPN,以反映 samAccountName Active Directory 使用者屬性一起使用網域名稱。
下列是 Contoso 」 當成虛構的網域名稱的使用者帳戶組態的範例:

FQDN 網域名稱 = Contoso.net
NetBIOS 網域名稱 = Contoso
智慧卡與 UPN = Someone @ Contoso.net

Contoso.net 的帳戶:
cn = MyCN
samAccountName = Someone
userPrincipalName = SomeUser @ ContosoAlt.net (替代或自訂 UPN,以明確的 UPN 而定)
「 密碼 」 = Password

Microsoft 支援下列的互動式登入組合。下列範例在 Contoso 用於虛構的網域名稱:
  • 使用者名稱: Someone @ Contoso.net (隱含 UPN)
    密碼: Password
    登入: 不適用
  • 使用者名稱: Someone @ Contoso (一般網域名稱的 UPN)
    密碼: Password
    登入: 不適用
  • 使用者名稱: SomeUser @ ContosoAlt.net (明確的 UPN = userPrincipalName)
    密碼: Password
    登入: 不適用
  • 使用者名稱: Contoso \ Someone (網域前置詞 = 一般網域名稱)
    密碼: Password
    登入: 不適用
  • 使用者名稱: Contoso.net \ Someone (網域前置詞 = FQDN 網域名稱)
    密碼: Password
    登入: 不適用
  • 使用者名稱: Someone
    密碼: Password
    登入: Contoso (NetBIOS 網域名稱)

    附註登入介面是在 Windows Vista 中不同。因此,這個組合不會出現在將來 Windows 釋放。
  • 智慧卡 + 個人識別碼 (PIN)
UPN 登入有可能利用明確的 UPN (userPrincipalName) 或隱含的 UPN (samAccountName @ Contoso)。KDC 負責尋找相關的使用者帳戶。KDC 會以下列順序 Windows Server 2003 中執行查閱:
  • KDC 會嘗試尋找符合 KDC 本機網域的驗證服務要求 (AS_REQ) UPN 是 userPrincipalName 屬性。
  • 如果 [UPN 網域部份符合 FQDN 或本機網域平面 NetBIOS 網域名稱,則會假設是隱含的 UPN。KDC 接著嘗試使用者部分的 UPN,使用 samAccountName 使用者屬性。
  • KDC 會嘗試取得的 UPN 網域部分轉介。
  • KDC 嘗試解析為通用類別目錄伺服器上明確 UPN。通用類別目錄伺服器可能會傳回 UPN 網域部分的轉介。
  • 如果通用類別目錄伺服器無法解析為明確 UPN,通用類別目錄伺服器會檢查 UPN 網域部分對抗尾碼路由表格的跨樹系信任。如果後置字元比對任何一個 [UPNs,通用類別目錄伺服器會傳回一個轉介到相符的樹系。
附註即使停用使用者帳戶,並不會影響查閱順序。如果其中一種下列條件,則為 True,KDC 帳戶查閱程序可能不會擷取您所預期的使用者帳戶:
  • 明確的 UPN 一個網域中的使用者帳戶的比對相同的樹系中的另一個網域中的隱含 UPN。
  • 明確的 UPN 一個網域中的使用者帳戶的比對隱含的 UPN 受信任的網域或受信任的樹系中。
因此,我們建議使用預設 UPNs,除非您已經知道這些可能的含意。

如果下列情況成立,替代的 UPN 尾碼會失效跨樹系:
  • 建立樹系信任。
  • UPN 尾碼是唯一的。
  • UPN 尾碼登錄在樹系層級。
我們建議智慧卡 UPN 符合 userPrincipalName 使用者帳戶屬性的協力廠商憑證授權單位授予的憑證 (CA)。不過,如果憑證中的 UPN 隱含 UPN (格式為 samAccountName@Contoso_FQDN) 帳戶的 UPN 不必明確地符合 userPrincipalName 屬性。如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
281245? (http://support.microsoft.com/kb/281245/ ) 啟用智慧卡登入與協力廠商憑證授權單位的方針
如果您可以使用替代的 UPN 樹系內智慧卡登入或一個一般的登入,且電腦是在不同網域中,通用類別目錄就需要。

如更多關於驗證程序,另一個樹系的資訊,請造訪下列 Microsoft 網站,及,請參閱 「 Windows Server 2003 中的 Kerberos 驗證 」 一節:
http://www.microsoft.com/windowsserver2003/technologies/security/kerberos/default.mspx (http://www.microsoft.com/windowsserver2003/technologies/security/kerberos/default.mspx)
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
回此頁最上方
關鍵字:?
kbmt kbexpertiseinter kbhowto KB929272 KbMtzh
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:929272? (http://support.microsoft.com/kb/929272/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。