Microsoft Active Directory 如何處理使用者身份驗證？

當我為期末考試尋找更多資訊時，我想知道驗證 Windows 使用者的過程是如何工作的。

在我自己的想像中，它可能會是這樣的：

1. 使用者在他的 Windows 機器上輸入登錄資訊
2. 機器將憑據傳遞給 PDC
3. PDC 詢問活動目錄
4. AD 匹配條目與它的數據庫
5. AD 告訴 PDC –> OK
6. PDC 告訴 windows 機器 –> OK
7. windows機器登錄使用者

但也許windows機器只是跳過PDC並將請求直接傳遞給活動目錄服務（例如unix機器將身份驗證請求傳遞給LDAP伺服器……）？

有人知道這是如何工作的嗎？

這是一篇關於我通過搜尋 Windows 登錄過程找到的過程的詳細文章。

http://technet.microsoft.com/en-us/library/cc780332(v=ws.10).aspx

祝你好運

我不知道這將是什麼考試，但是如果您參加過任何與 Microsoft AD 相關的實際課程，您就不會胡說八道。

1. 使用者在本地電腦上輸入憑據。
2. 本地機器檢查它是否已經有這些憑據的身份驗證票。
3. 如果沒有，它會聯繫它可以找到的第一個提供 kerberos 身份驗證功能的 ADS 伺服器
4. ADS 機器根據 LDAP 數據庫檢查憑據。
5. 如果他們簽出，kerberos 會向客戶端機器返回一個 TGT（ticket-granting-ticket）
6. 對於 AD 中設置的特定持續時間（通常為 8~10 小時），此 TGT 將繞過任何憑據檢查，以防本地電腦使用者希望連接到需要其裸使用者帳戶中不存在的權限的資源（即組成員身份、附加電腦和共享訪問等）

TGT 允許跨 Windows 域的所有成員和服務進行 SSO 行為。

引用自：https://serverfault.com/questions/380627