基于RODC的身份验证过程

文章作者 100test 发表时间 2007:08:03 11:55:52
来源 100Test.Com百考试题网


  以下场景帮助解释了基于RODC的身份验证过程。在这个场景中:
  用户Bob想要登录到名称为BOB_WS的工作站。
  安装BOB_WS工作站子网由一台RODC提供服务。
  Bob的用户账户被允许在RODC上缓存凭据,但是凭据当前还没有缓存。
  计算机账户BOB_WS被允许在RODC上缓存凭据,但是凭据当前还没有缓存。
  Bob尝试在工作站(BOB_WS)上登录。首先,必须从域控制器处获得TGT。在本场景中TGT的获得过程如下图所示

  1. RODC在分支机构宣告成为KDC。这意味着当BOB_WS搜索域控制器来认证Bob的登录请求时,它将找到并使用RODC作为KDC。   BOB_WS 的Kerberos认证包准备了TGT请求并将它发送给RODC
  2. RODC收到来至BOB_WS的TGT请求。因为RODC不知道Bob的账户密码,所以不能为Bob创建TGT。随后RODC将TGT请求传递给运行Windows Server 2008的可写域控制器。
  3. 运行Windows Server 2008的可写域控制器验证请求。
  4. 随后结果返回给RODC。如果Bob提供了正确的凭据,那么结果就是获得TGT。如果Bob的凭据验证失败,将会导致一条错误信息。在这个场景中,如果Bob在登录时输入了正确的用户名及密码,那么验证过程将获得成功。
  5. 同时,可写域控制器返回TGT给RODC,它也向RODC计算机账户msDS-AuthenticatedToAccountList属性添加了Bob账户的相对可分辨名称(distinguished name,DN)。RODC创建了一条Bob已经被验证的记录。
  6. 随后RODC将结果传递给BOB_W S。
  7. 在RODC将TGT发送回BOB_WS以后,它也向可写域控制器请求将Bob的凭据复制至它的活动目录数据库的副本区(replica)
  8. 当可写域控制器收到将Bob的凭据复制到RODC的请求时,它会检查密码复制策略来查看RODC是否被允许缓存Bob账户的凭据。
  9. 如果检查表明凭据能被缓存,那么可写域控制器将会允许复制Bob账户的凭据至RODC。
  10. 在可写域控制器发送RODC请求的凭据的同时,可写域控制器在RODC计算机账户的msDS-RevealedList属性中写入Bob账户的相对可分辨名称(DN)。这创建了一条说明Bob的账户凭据已被缓存在RODC上的记录。
  11. RODC在活动目录数据库的用户的合适属性中储存了Bob的凭据。
  此时:
  在可写域控制器上有一条允许复制Bob的凭据至RODC的记录。
  Bob账户凭据在RODC上已被缓存。
  Bob拥有可写域控制器产生的TGT。


src="/microsoft/js/wxgg_microsoft.js">


相关文章


让你羡慕死给Vista右键菜单添加最高权限
新手入门必看:Vista中建立VPN连接
把虚拟系统接入网络
基于RODC的身份验证过程
揭秘Server2008:终端服务增强
文件夹删除不掉的系统的几种解决方法
WindowsVista系统中写字板应用全攻略
澳大利亚华人论坛
考好网
日本华人论坛
华人移民留学论坛
英国华人论坛