- Сведения о подлинной Windows
- Настройка методов проверки подлинности
- Основные понятия проверки подлинности Windows
- Проверка подлинности и авторизация: аналоговая поездка
- Учетные данные
- Субъекты безопасности и учетные записи
- Делегированная аутентификация
- Проверка подлинности в отношениях доверия между доменами
- Смена протокола
- Ограниченное делегирование
Сведения о подлинной Windows
Поддержка Windows 7 закончилась 14 января 2020 г.
Чтобы продолжить получать обновления системы безопасности от Майкрософт, мы рекомендуем перейти на Windows 10.
Подлинные версии Windows публикуются корпорацией Майкрософт, надлежащим образом лицензируются и поддерживаются корпорацией Майкрософт или ее доверенным партнером. Вам понадобится подлинная версия Windows для доступа к дополнительным обновлениям и загрузкам, которые помогут вам получить максимальную отдачу от вашего ПК.
Здесь приведены ответы на некоторые распространенные вопросы о подлинном программном обеспечении Windows.
Убедитесь, что на упаковке присутствуют основные признаки подлинного ПО Windows, такие как сертификат подлинности (COA), наклейка подтверждения лицензии и голограмма от кромки до кромки. Дополнительные сведения можно найти на веб-сайте Microsoft How to Tell (Майкрософт). Безопаснее всего всегда покупать Windows или компьютер с предустановленной ОС Windows непосредственно в корпорации Майкрософт или в местном магазине или магазине, которому вы доверяете.
Если вы получаете такие уведомления, скорее всего ваша копия Windows была неправильно активирована. Щелкните уведомление и следуйте инструкциям, чтобы восстановить Windows или, если вы узнали, что ваше ПО нелицензионное, приобретите подлинную версию Windows.
Примечание: В Windows 8.1 вы будете получать периодические напоминания о том, что Windows не является подлинной, пока вы не исправите проблему, и ваш рабочий стол также может поворачивать черный цвет, чтобы подчеркнуть сообщения. Вы можете сбросить его, но каждые 60 минут экран снова будет становиться черным, пока проблема не будет устранена.
ОС Windows всегда будет получать важные обновления безопасности, даже если ваша версия является неподлинной. Однако другие обновления и преимущества доступны исключительно для подлинного программного обеспечения Windows.
Активация позволяет убедиться, что ваша копия Windows используется только на компьютерах, разрешенных условиями лицензионного соглашения на использование программного обеспечения корпорации Майкрософт. Активация связывает ключ продукта или цифровые права с аппаратной конфигурацией. Активировать Windows, как правило, необходимо только один раз, если только вы не собираетесь менять оборудование.
При скачивании обновлений на компьютер Windows проверяет, действителен ли ваш ключ продукта или есть ли у вас цифровые права. Если это так, вы имеете право получать последние обновления от корпорации Майкрософт. В противном случае на вашем компьютере используется контрафактная копия.
Чтобы узнать, как активировать Windows 10 Windows 11, см. Windows . Чтобы узнать, как активировать Windows 8.1, см. Windows активации продукта & телефонных номеров службы поддержки.
Копию Windows невозможно установить на большем количестве компьютеров, чем разрешено условиями лицензионного соглашения на использование программного обеспечения корпорации Майкрософт. Как правило, одну копию Windows можно установить на одном компьютере. Чтобы узнать больше о лицензировании Windows на более чем одном компьютере, перейдите на веб-сайт корпоративного лицензирования Майкрософт.
Да. Вы по-прежнему сможете получать важные обновления безопасности. Однако многие обновления доступны только для пользователей подлинных копий Windows. Настоятельно рекомендуем вам как можно быстрее начать использовать подлинное программное обеспечение Майкрософт для безопасной работы компьютера.
Проверка — это процесс, выполняющийся через Интернет. Он помогает определить подлинность установленной копии Windows, а также наличие и целостность важных файлов лицензирования. Проверка длится всего несколько секунд и позволяет корпорации Майкрософт сопоставить профиль оборудования компьютера с 25-символьным ключом продукта или цифровыми правами.
Проверка копии Windows может потребоваться перед скачиванием данных и обновлений, которые предназначены для компьютеров под управлением подлинной копии Windows. Windows также может запросить запустить проверку подлинности, если неправильно выполнена активация.
Если ваша копия Windows не пройдет проверку, появится страница результатов с сообщением о том, почему ваша копия не является подлинной. Вы также увидите информацию о том, как устранить проблему.
Существует несколько распространенных причин, по которым копия Windows, работающая на компьютере, может оказаться во время проверки неподлинной.
Ремонт. Если ваш компьютер был отремонтирован, вы можете начать видеть на рабочем столе сообщения о том, что Windows не является подлинной. Если во время ремонта пришлось переустановить Windows, мастер мог выполнить активацию системы, используя другой ключ, отличающийся от ключа, который был использован во время первой установки ОС. Уведомления могут не появляться до тех пор, пока вы не попробуете скачать из Центра загрузки Майкрософт данные, которые требуют проверки, и проверка не закончится ошибкой. Чтобы устранить эту проблему, вы можете правильно активировать Windows, повторно введя исходный ключ продукта.
При других проблемах может потребоваться приобрести подлинное Windows.
1 лицензия — 1 компьютер. Еще одна распространенная причина сбоя проверки Windows — попытка установить копию Windows на большее количество компьютеров, чем предусмотрено лицензией. Например, вы купили одну копию Windows и установили ее на несколько компьютеров. Онлайн-проверка может завершиться сбоем, так как ключ продукта уже используется на другом компьютере. Для большинства копий Windows работает правило: одна копия Windows может быть установлена на одном компьютере. Чтобы узнать о лицензировании двух компьютеров, перейдите на веб-сайт программы корпоративного лицензирования Майкрософт.
Поддельные программы. Проверка также может завершиться сбоем, если вы случайно приобрели и установили нелицензионную копию ПО Windows. С помощью веб-сайта Microsoft How to Tell (Майкрософт) вы можете выявлять поддельное программное обеспечение и при необходимости подав его отчет о поддельное программное обеспечение. Сбой проверки подлинности характерен для версий Windows, которые были приобретены на онлайн-аукционах, или если подлинность Windows проверялась на приобретенном вами подержанном компьютере. Не забудьте попросить продавца положить в упаковку оригинальный диск Windows и сертификат подлинности.
Чтобы файл файла поддельного отчета, перейдите на веб-сайт Microsoft How to Tell (Майкрософт).
Если вы считаете, что вы случайно приобрели нелицензионное программное обеспечение, или у вас есть информация о человеке, компании или интернет-сайте, которые, возможно, продают нелицензионное программное обеспечение, вы можете отправить отчет по Интернету. Корпорация Майкрософт будет считать его конфиденциальной информацией. Корпорация Майкрософт уделяет много времени и тратит много сил на борьбу с подделкой программного обеспечения, и вы можете быть уверены, что после получения вашего отчета мы будем принимать соответствующие меры.
Если вы получили сообщение об ошибке при активации Windows, можно узнать, что оно означает. Подробные сведения можно найти в справке по ошибкам активации.
При установке Windows вам потребуется ключ продукта. Чтобы получить дополнительные сведения, см. раздел Поиск ключа продукта.
Источник
Настройка методов проверки подлинности
Относится к:
- Windows 10
- Windows 11
- Windows Server 2016 и более поздние версии
В этой процедуре показано, как настроить методы проверки подлинности, которые могут использоваться компьютерами в изолированном домене или отдельной изолированной серверной зоне.
Примечание: Если вы выполните действия процедуры в этом разделе, измените параметры по умолчанию по всей системе. Любое правило безопасности подключения может использовать эти параметры, указав значение Default на вкладке Проверка подлинности.
Учетные данные администратора
Для выполнения этих процедур необходимо быть участником группы администраторов домена либо иметь делегированные разрешения на изменение объектов групповой политики.
Настройка методов проверки подлинности
В области сведений о главном брандмауэре Защитник Windows с расширенным экраном безопасности нажмите кнопку Защитник Windows Брандмауэр Свойства.
На вкладке IPsec Параметры нажмите кнопку Настроить.
В разделе Метод проверки подлинности выберите тип проверки подлинности, который необходимо использовать из следующих разделов:
По умолчанию. Выбор этого параметра указывает компьютеру использовать метод проверки подлинности, определенный в настоящее время локальным администратором в брандмауэре Защитник Windows брандмауэре или групповой политике в качестве по умолчанию.
Компьютер и пользователь (с помощью Kerberos V5). Выбор этого параметра указывает компьютеру на использование и требуемую проверку подлинности как компьютера, так и зарегистрированного пользователя с помощью учетных данных домена.
Компьютер (с помощью Kerberos V5). Выбор этого параметра говорит компьютеру об использовании и необходимости проверки подлинности компьютера с помощью учетных данных домена. Этот параметр работает с другими компьютерами, которые могут использовать IKE v1, включая более ранние версии Windows.
Пользователь (с помощью Kerberos V5). Выбор этого параметра говорит компьютеру об использовании и необходимости проверки подлинности зарегистрированного пользователя с помощью учетных данных домена.
Сертификат компьютера от этого органа сертификации. Выбор этого параметра и ввод удостоверения сертификационного органа (CA) указывает компьютеру на использование и требуемую проверку подлинности с помощью сертификата, выданного выбранным ЦС. Если вы также выберите Accept только сертификаты здоровья, для этого правила можно использовать только сертификаты, которые включают усиленное использование ключа проверки подлинности системы (EKU), обычно предоставляемого в инфраструктуре защиты сетевого доступа (NAP).
Расширенный. Нажмите Кнопку Настройка, чтобы указать настраиваемую комбинацию методов проверки подлинности, необходимых для вашего сценария. Вы можете указать как первый метод проверки подлинности, так и второй метод проверки подлинности.
Первый метод проверки подлинности может быть одним из следующих:
Компьютер (Kerberos V5). Выбор этого параметра говорит компьютеру об использовании и необходимости проверки подлинности компьютера с помощью учетных данных домена. Этот параметр работает с другими компьютерами, которые могут использовать IKE v1, включая более ранние версии Windows.
Компьютер (NTLMv2). Выбор этого параметра говорит компьютеру об использовании и необходимости проверки подлинности компьютера с помощью учетных данных домена. Этот параметр работает только с другими компьютерами, которые могут использовать AuthIP. Проверка подлинности на основе пользователей с помощью Kerberos V5 не поддерживается IKE v1.
Сертификат компьютера из этого органа сертификации (CA). Выбор этого параметра и ввод удостоверения ЦС сообщает компьютеру об использовании и необходимости проверки подлинности с помощью сертификата, выданного этим ЦС. Если вы также выберите Accept только сертификаты здоровья, то можно использовать только сертификаты, выдавлимые сервером NAP.
Предустанавливаемая клавиша (не рекомендуется). Выбор этого метода и ввод предустанавливаемого ключа указывает компьютеру на проверку подлинности путем обмена предустанавливаемой клавишей. Если они совпадают, проверка подлинности будет успешной. Этот метод не рекомендуется и включается только для обратной совместимости и тестирования.
Если выбор первой проверки подлинностинеобязателен, подключение может быть успешным, даже если попытка проверки подлинности, указанная в этом столбце, не удалась.
Второй метод проверки подлинности может быть одним из следующих:
Пользователь (Kerberos V5). Выбор этого параметра говорит компьютеру об использовании и необходимости проверки подлинности зарегистрированного пользователя с помощью учетных данных домена. Этот метод проверки подлинности работает только с другими компьютерами, которые могут использовать AuthIP. Проверка подлинности на основе пользователей с помощью Kerberos V5 не поддерживается IKE v1.
Пользователь (NTLMv2). Выбор этого параметра подсказывает компьютеру использовать и требовать проверки подлинности зарегистрированного пользователя с помощью учетных данных домена и использует протокол NTLMv2 вместо Kerberos V5. Этот метод проверки подлинности работает только с другими компьютерами, которые могут использовать AuthIP. Проверка подлинности на основе пользователей с помощью Kerberos V5 не поддерживается IKE v1.
Сертификат здоровья пользователя из этого органа сертификации (CA). Выбор этого параметра и ввод удостоверения ЦС сообщает компьютеру об использовании и необходимости проверки подлинности на основе пользователя с помощью сертификата, выданного указанным ЦС. Если вы **** также выберите сопоставление учетной записи с помощью сертификата, сертификат может быть связан с пользователем в Active Directory для предоставления или отказа в доступе к указанным пользователям или группам пользователей.
Сертификат здоровья компьютера от этого органа сертификации (CA). Выбор этого параметра и ввод идентификации ЦС сообщает компьютеру об использовании и необходимости проверки подлинности с помощью сертификата, выданного указанным ЦС. Если вы также выбираете Acceptтолько сертификаты здоровья, для этого правила можно использовать только сертификаты, включав в себя EKU проверки подлинности системы, обычно предоставляемую в инфраструктуре NAP.
Если выбрать вторую проверкуподлинности необязательно, подключение может быть успешным, даже если попытка проверки подлинности, указанная в этом столбце, не удалась.
Важно: Убедитесь, что не выберите флажки, чтобы сделать проверку подлинности как первой, так и второй необязательным. Это позволяет использовать простые подключения при сбой проверки подлинности.
Нажмите кнопку ОК на каждом диалоговом окне, чтобы сохранить изменения и вернуться в редактор управления групповой политикой.
Источник
Основные понятия проверки подлинности Windows
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
в этом справочном разделе описываются понятия, на основе которых основана Windowsная проверка подлинности.
Проверка подлинности — это процесс проверки удостоверения объекта или пользователя. Задача проверки подлинности объекта заключается в проверке подлинности объекта. При проверке подлинности пользователя целью является проверка того, что пользователь не является фальшивый.
В контексте сети проверка подлинности — это подтверждение удостоверения сетевого приложения или ресурса. Как правило, удостоверение удостоверяется в криптографической операции, которая использует либо только ключ, который знает пользователь (как при использовании шифрования с открытым ключом), либо общий ключ. Во время проверки подлинности на стороне сервера выполняется сравнение подписанных данных с известным криптографическим ключом для проверки попытки проверки подлинности.
Благодаря тому что криптографические ключи хранятся в безопасном центральном местоположении, процесс проверки подлинности можно масштабировать и поддерживать. Active Directory — это рекомендуемая и используемая по умолчанию технология для хранения сведений об удостоверениях, включая криптографические ключи, которые являются учетными данными пользователя. Служба каталогов Active Directory необходима для реализаций NTLM и Kerberos по умолчанию.
Методы проверки подлинности основаны на простом входе в операционную систему или в службу или приложение, которое определяет пользователей на основе чего-то, что известно только пользователю, например пароль, к более мощным механизмам обеспечения безопасности, использующим то, что пользователь хас’суч как маркеры, сертификаты открытого ключа, изображения или атрибуты биологических. В бизнес-среде пользователи могут открывать множество приложений на различных типах серверов из одного или многих местоположений. Поэтому проверка подлинности должна поддерживать среды для других платформ и других операционных систем Windows.
Проверка подлинности и авторизация: аналоговая поездка
Аналоговая передача может помочь объяснить, как работает проверка подлинности. Чтобы начать путешествие, обычно требуется несколько подготовительных задач. Путешественника должен доказать свои истинные удостоверения своим узлам. Этот эксперимент может быть в виде подтверждения гражданства, места рождения, личного ваучера, фотографий или того, что требуется для закона страны узла. Удостоверение путешественника проверяется выдачей Passport, которая аналогична системной учетной записи, выданной и администрируемых организацией — субъектом безопасности. Паспорт и предполагаемое место назначения основаны на наборе правил и нормативных актов, выданных правительственными органами.
Путешествие
Когда путешественника поступает на международную границу, для него запрашиваются учетные данные, а путешественника представляет свой паспорт. Процесс состоит из двух этапов:
Условие проверяет подлинность паспорта, подтверждая, что он был выдан центром безопасности, который является доверенным для учетных данных локального правительства (по крайней мере, для выдачи паспортов), и проверяет, что паспорт не был изменен.
Условие проверяет подлинность путешественника, проверяя, соответствует ли лицо лицу, изображенному на паспорте, и что другие необходимые учетные данные имеют правильный порядок.
Если паспорт считается допустимым и путешественника становится его владельцем, то проверка подлинности прошла успешно, и путешественника может быть разрешен доступ через границу.
Транзитивное отношение доверия между центрами безопасности является основой проверки подлинности; тип проверки подлинности, который выполняется на международной границе, основан на доверии. Местный правительственный орган не знает путешественника, но он доверяет этому органу размещения. Когда правительственный орган узла выпустил паспорт, он не знал путешественника. Он доверяет агентству, выдавшего сертификат о рождении, или другую документацию. Агентство, которое выдавало сертификат о рождении, в свою очередь, доверенный врач, который подписал сертификат. Врач, следящий за рождением путешественникаа, записывает сертификат с прямым подтверждением подлинности, в данном случае с местом младенец. Отношения доверия, передаваемые таким образом через доверенные посредники, являются транзитивными.
транзитивное доверие является основой сетевой безопасности в Windows архитектуре клиента/сервера. Отношение доверия проходит по всему набору доменов, например доменному дереву, и формирует связь между доменом и всеми доменами, которые доверяют этому домену. Например, если домен A имеет транзитивное доверие с доменом B, а домен б доверяет домену C, то домен A доверяет домену C.
Между проверкой подлинности и авторизацией существует разница. При использовании проверки подлинности система подтверждает, что вы с вами сказали. При использовании авторизации система проверяет наличие прав на выполнение действий, которые вы хотите выполнить. Чтобы перевести границу на следующий шаг, просто выполните проверку подлинности того, что путешественника является правильным владельцем действительного паспорта, не обязательно авторизует путешественника для ввода страны. Резидентам в определенной стране можно вводить другую страну, просто предоставляя паспорт только в тех случаях, когда введенная страна предоставляет неограниченные разрешения для всех граждан этой страны.
Аналогичным образом можно предоставить всем пользователям определенные разрешения домена для доступа к ресурсу. Любой пользователь, принадлежащий к этому домену, имеет доступ к ресурсу, как и в Канаде, и в США входит Канада. Тем не менее, граждан США пытается войти в Бразилии или Индии, чтобы они не могли ввести эти страны только с помощью цифрового паспорта, так как в обеих странах требуется, чтобы в качестве действительного Visa требовалось посетить граждан США. Поэтому проверка подлинности не гарантирует доступа к ресурсам или авторизации для использования ресурсов.
Учетные данные
Паспорт и, возможно, связанные висас — это принятые учетные данные для путешественника. Однако эти учетные данные могут не позволить путешественника ввести или получить доступ ко всем ресурсам в стране. Например, для участия в конференции требуются дополнительные учетные данные. в Windows учетные данные могут быть управляемыми, чтобы предоставить владельцам учетных записей доступ к ресурсам по сети без многократного предоставления учетных данных. Этот тип доступа позволяет системе проверять подлинность пользователей один раз, чтобы получить доступ ко всем приложениям и источникам данных, которые им разрешено использовать, не вводя другой идентификатор учетной записи или пароль. Windowsная платформа обеспечивает возможность использования единого удостоверения пользователя (обслуживаемого Active Directory) по сети путем локального кэширования учетных данных пользователя в локальном центре безопасности операционной системы (LSA). когда пользователь входит в домен, Windows пакеты проверки подлинности прозрачно используют учетные данные для предоставления единого входа при проверке подлинности учетных данных в сетевых ресурсах. дополнительные сведения об учетных данных см. в разделе процессы учетных данных в Windows проверки подлинности.
Многофакторная идентификация для путешественника может быть требованием предоставления и представления нескольких документов для проверки подлинности удостоверений, таких как паспорт и сведения о регистрации конференции. Windows реализует эту форму или проверку подлинности через смарт-карты, виртуальные смарт-карты и биометрические технологии.
Субъекты безопасности и учетные записи
в Windows любой пользователь, служба, группа или компьютер, которые могут инициировать действие, являются субъектом безопасности. Субъекты безопасности имеют учетные записи, которые могут быть локальными для компьютера или быть основаны на домене. например, Windows компьютеры, присоединенные к домену, могут участвовать в сетевом домене путем взаимодействия с контроллером домена, даже если никто из пользователей не вошел в систему. Чтобы инициировать обмен данными, компьютер должен иметь активную учетную запись в домене. Прежде чем принимать подключения от компьютера, локальный центр безопасности на контроллере домена проверяет подлинность удостоверения компьютера, а затем определяет контекст безопасности компьютера так же, как и для участника безопасности. Этот контекст безопасности определяет удостоверение и возможности пользователя или службы на определенном компьютере, а также пользователя, службы, группы или компьютера в сети. Например, он определяет ресурсы, такие как файловый ресурс или принтер, к которым можно получить доступ, и действия, такие как чтение, запись или изменение, которые могут быть выполнены пользователем, службой или компьютером на этом ресурсе. Дополнительные сведения см. в разделе субъекты безопасности.
Учетная запись — это средство для распознавания клаимант—пользователя или службы, запрашивающего доступ или ресурсы. Путешественника, который владеет подлинным паспортом, обладает учетной записью, содержащей страну узла. Пользователи, группы пользователей, объекты и службы могут иметь отдельные учетные записи или учетные записи общего доступа. Учетные записи могут быть членами групп и могут назначать определенные права и разрешения. Учетные записи могут быть ограничены локальным компьютером, Рабочей группой, сетью или назначены членство в домене.
Встроенные учетные записи и группы безопасности, в которых они являются членами, определяются в каждой версии Windows. С помощью групп безопасности можно назначить одни и те же разрешения безопасности для многих пользователей, которые успешно прошли проверку подлинности, что упрощает администрирование доступа. Правила для выдачи паспортов могут потребовать, чтобы путешественника были назначены определенным группам, например «Бизнес», «таурист» или «правительственные учреждения». Этот процесс обеспечивает согласованность разрешений безопасности во всех членах группы. Использование групп безопасности для назначения разрешений означает, что Управление доступом к ресурсам остается постоянным, и его можно легко контролировать и подвергать аудиту. Добавляя и удаляя пользователей, которым требуется доступ из соответствующих групп безопасности по мере необходимости, можно максимально ограничить частоту изменений в списках управления доступом (ACL).
автономные управляемые учетные записи служб и виртуальные учетные записи появились в Windows Server 2008 R2 и Windows 7 для предоставления необходимых приложений, таких как Microsoft Exchange Server и службы IIS (IIS), с изоляцией своих учетных записей домена, одновременно устраняя необходимость администратора вручную администрировать имя участника-службы (SPN) и учетные данные для этих учетных записей. групповые управляемые учетные записи служб появились в Windows Server 2012 и предоставляют те же функциональные возможности в домене, но также расширяют эту функциональность на нескольких серверах. При подключении к службе, размещенной на ферме серверов, например к службе балансировки сетевой нагрузки, для протоколов взаимной проверки подлинности требуется, чтобы все экземпляры служб использовали один и тот же субъект.
Дополнительные сведения об учетных записях см. в следующих статьях:
Делегированная аутентификация
Для использования аналогового пути в странах могут выдаваться те же права доступа ко всем участникам официального правительственного делегирования, если они хорошо известны. Это делегирование позволяет одному участнику работать с полномочиями другого участника. в Windows делегированная проверка подлинности происходит, когда сетевая служба принимает запрос на проверку подлинности от пользователя и принимает идентификатор этого пользователя, чтобы инициировать новое подключение к второй сетевой службе. Для поддержки делегированной проверки подлинности необходимо установить серверы переднего плана или сервера первого уровня, например веб-серверы, которые отвечают за обработку запросов проверки подлинности клиентов, а также серверные или n-уровневые серверы, например большие базы данных, которые отвечают за хранение информации. Вы можете делегировать право на настройку делегированной проверки подлинности для пользователей в Организации, чтобы сократить административную нагрузку на администраторов.
Установив службу или компьютер в качестве доверенного для делегирования, вы разрешите этой службе или компьютеру завершить делегированную проверку подлинности, получить билет для пользователя, выполняющего запрос, а затем получить доступ к сведениям для этого пользователя. Эта модель запрещает доступ к данным на внутренних серверах только тем пользователям или службам, которые представляют учетные данные с правильными маркерами контроля доступа. Кроме того, он обеспечивает аудит доступа к этим внутренним ресурсам. Если требуется, чтобы все данные были доступны через учетные данные, которые делегируются серверу для использования от имени клиента, убедитесь, что сервер не может быть скомпрометирован и что можно получить доступ к конфиденциальным сведениям, хранящимся на других серверах. Делегированная проверка подлинности полезна для многоуровневых приложений, предназначенных для использования возможностей единого входа на нескольких компьютерах.
Проверка подлинности в отношениях доверия между доменами
Большинство организаций, имеющих более одного домена, имеют законную потребность в доступе пользователей к общим ресурсам, расположенным в другом домене, так же как путешественника разрешается перемещать в разные регионы в стране. Управление этим доступом требует, чтобы пользователи в одном домене также могли проходить проверку подлинности и авторизованы для использования ресурсов в другом домене. Для обеспечения возможности проверки подлинности и авторизации между клиентами и серверами в разных доменах должно быть отношение доверия между двумя доменами. отношения доверия — это базовая технология, с помощью которой безопасная Active Directoryная связь возникает и является неотъемлемой частью безопасности сетевой архитектуры Windows Server.
При наличии доверительных отношений между двумя доменами механизмы проверки подлинности для каждого домена доверяют, что проверки подлинности поступают из другого домена. Отношения доверия обеспечивают контролируемый доступ к общим ресурсам в домене ресурсов — доверенный домен, проверяя, что входящие запросы проверки подлинности поступают из доверенного центра. Таким образом, отношения доверия действуют как мосты, позволяющие проходить только проверенные запросы проверки подлинности между доменами.
Как конкретное отношение доверия проходит проверку подлинности, зависит от того, как оно настроено. Отношения доверия могут быть односторонними, предоставляя доступ из доверенного домена к ресурсам в доверяющем домене или двусторонним образом, предоставляя доступ из каждого домена к ресурсам в другом домене. Отношения доверия также являются нетранзитивными, и в этом случае доверительные отношения существуют только между двумя доменами партнерских партнеров или транзитивными. в этом случае доверие автоматически распространяется на любые другие домены, которым доверяет любой из партнеров.
Смена протокола
Переключение протокола помогает разработчикам приложений поддерживать различные механизмы проверки подлинности на уровне проверки подлинности пользователя и переключается на протокол Kerberos для функций безопасности, таких как взаимная проверка подлинности и ограниченное делегирование, на последующих уровнях приложений.
Дополнительные сведения о смене протокола см. в разделе Смена протокола Kerberos и ограниченное делегирование.
Ограниченное делегирование
Ограниченное делегирование дает администраторам возможность указывать и обеспечивать границы доверия приложений, ограничивая область, в которой службы приложений могут действовать от имени пользователя. Можно указать определенные службы, из которых компьютер, которому разрешено делегирование, может запрашивать ресурсы. Гибкость в ограничении прав на авторизацию для служб помогает улучшить структуру безопасности приложений, уменьшая возможности взлома недоверенными службами.
Дополнительные сведения о ограниченном делегировании см. в разделе Общие сведения о ограниченном делегировании Kerberos.
Источник