Clientanmeldungssitzungen

Ein Server mit der berechtigung SE _ TCB _ NAME, z. B. ein Windows Dienst, der im LocalSystem-Kontoausgeführt wird, kann die LogonUser-Funktion aufrufen, um einen Client auf dem Computer zu authentifizieren, auf dem der Server ausgeführt wird. Die LogonUser-Funktion startet eine neue Anmeldesitzung und gibt ein primäres Zugriffstoken zurück, das die Sicherheitsinformationen des Clients enthält. Sie können dieses primäre Token verwenden, um die Funktion ImpersonateLoggedOnUser aufzurufen, um die Identität des Clients zu annehmen, oder indem Sie die CreateProcessAsUser-Funktion aufrufen, um einen Prozess zu erstellen, der im Sicherheitskontext des Clients ausgeführt wird.

Der Vorteil der Authentifizierung des Clients auf diese Weise besteht darin, dass der Server, der die Identität des authentifizierten Clients an sich nimmt, oder ein Prozess, der im Kontext des authentifizierten Clients erstellt wurde, eine Verbindung mit Remotenetzwerkressourcen als Client herstellen kann. Wenn diese Authentifizierung nicht erfolgt, kann der Server nur dann eine Verbindung mit Netzwerkressourcen herstellen, wenn er den Kontonamen und das Kennwort des Clients für die Übergabe an die WNetAddConnection2-Funktion erhalten hat.

Der Nachteil der Authentifizierung des Clients auf diese Weise besteht darin, dass der Server die Anmeldeinformationen des Clients (Domänenname, Benutzername und Kennwort) erhalten haben muss. Wenn ein Remoteclient diese Anmeldeinformationen an den Server übermittelt, liegt es in der Verantwortung des Clients und Servers, sicherzustellen, dass die Anmeldeinformationen sicher übertragen werden.