域帐户登陆过程分为:加域终端查找域控制器过程、认证登陆过程。
注释:
Netlogon服务:域控制器注册所有的SRV记录的服务;
SRV记录:存储在DNS服务器数据库中,记录哪台计算机提供哪个服务的记录,包括_msdcs、_sites、_tcp、_udp;
GINA:Graphical Identification and Authentication,图形化识别与验证,主要用在账户登录阶段;
LSA:Local Security Authority,本地安全授权,所有安全认证相关的处理都要通过这个服务;
KDC:Kerberos Distribution Center,Kerberos分发中心;
TGT:Ticket Granting Ticket,同意票据
加域终端查找域控制器过程:
1、终端使用Netlogon服务收集本机信息后,向DNS服务器发送查询SRV记录的请求;
2、DNS服务器返回给终端SRV记录;
3、客户机使用LDAP协议连接对应的域控制器;
4、域控制器向终端发送回应,终端检查域控制器是否可进行身份认证等,并缓存域控制器信息。
认证登陆过程:
1、终端按下Ctrl+Alt+Del后,GINA调用winlogon.exe程序,弹出帐号、密码框;
2、用户输入账号、密码后,GINA把信息发送给LSA,LSA将请求发送给Kerberos,并生成一个密钥;
3、Kerberos验证程序向DC的KDC发送一个包含身份信息和验证预处理的请求;
4、KDC对数据解密后,判断用户是否有效。如果有效会向用户发送一个TGT响应用户请求;
5、LSA向域控制器的KDC的票据服务请求服务票据(包含计算机名、域账户等);
6、KDC返回会话密钥和票据给LAS;
7、LSA收到票据后,进行解密,然后查询本地SAM数据库,分配对应的权限。同时用户验证信息缓存到本地。
初学该部分内容,不足之处,还请指出,谢谢。
扫一扫
971
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
