Windows 登录方案
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016
此参考主题面向 IT 专业人员,总结了常见的 Windows 登录和登录方案。
Windows 操作系统要求所有用户使用有效帐户登录计算机,这样才能访问本地资源和网络资源。 基于 Windows 的计算机通过实现对用户进行身份验证的登录过程来保护资源。 用户通过身份验证后,授权和访问控制技术实现资源保护的第二阶段:确定通过身份验证的用户是否有权访问资源。
本主题的内容适用于本主题开头的“适用范围”列表中指定的 Windows 版本。
此外,应用程序和服务可能要求用户登录才能访问应用程序或服务提供的那些资源。 登录(应用程序和服务的)过程与登录(计算机的)过程类似,都需要有效帐户和正确凭据,但(后者的)登录信息存储在本地计算机上的安全帐户管理器 (SAM) 数据库和适用的 Active Directory 中。 (前者的)登录帐户和凭据信息由应用程序或服务管理,并且(可选)本地存储在凭据保险箱中。
若要了解身份验证的工作原理,请参阅 Windows 身份验证概念。
本主题将介绍下列方案:
交互式登录
当用户在凭据输入对话框中输入凭据时,或当用户将智能卡插入智能卡读卡器时,或当用户与生物识别设备交互时,登录过程开始。 用户可以使用本地用户帐户或域帐户进行交互式登录来登录计算机。
下图显示了交互式登录元素和登录过程。
Windows 客户端身份验证体系结构
本地和域登录
用户为域登录提供的凭据包含本地登录所需的全部元素,例如帐户名和密码或证书,以及 Active Directory 域信息。 该过程向用户本地计算机上的安全数据库或向 Active Directory 域确认用户标识。 域中的用户无法关闭此强制性登录过程。
用户可以通过以下两种方式之一对计算机执行交互式登录:
当用户可以直接物理访问计算机时,或当计算机属于计算机网络时,可以采取本地登录的方式。
本地登录授予用户访问本地计算机上的 Windows 资源的权限。 本地登录要求用户在本地计算机的安全帐户管理器 (SAM) 中拥有用户帐户。 SAM 以存储在本地计算机注册表中的安全帐户的形式保护和管理用户和组信息。 计算机可以访问网络,但这不是必需的。 本地用户帐户和组成员身份信息用于管理对本地资源的访问。
除了可以访问凭据的访问令牌定义的联网计算机上的任何资源外,网络登录还授权用户访问本地计算机上的 Windows 资源。 本地登录和网络登录都要求用户在本地计算机的安全帐户管理器 (SAM) 中拥有用户帐户。 本地用户帐户和组成员身份信息用于管理对本地资源的访问,用户的访问令牌定义可在联网计算机上访问的资源。
本地登录和网络登录不足以授予用户和计算机访问及使用域资源的权限。
通过终端服务或远程桌面服务 (RDS) 进行远程登录。在这种情况下,登录进一步限定为远程交互式登录。
交互式登录后,Windows 代表用户运行应用程序,用户可以与这些应用程序进行交互。
本地登录授权用户访问本地计算机上的资源或联网计算机上的资源。 如果计算机加入域,Winlogon 功能会尝试登录到该域。
域登录授予用户访问本地资源和域资源的权限。 域登录要求用户在 Active Directory 中拥有用户帐户。 计算机必须在 Active Directory 域中拥有一个帐户,且物理连接到网络。 用户还必须具有登录到本地计算机或域的用户权限。 域用户帐户信息和组成员身份信息用于管理对域和本地资源的访问。
远程登录
在 Windows 中,通过远程登录访问另一台计算机依赖于远程桌面协议 (RDP)。 由于用户在尝试远程连接之前必须已成功登录到客户端计算机,因此交互式登录过程已成功完成。
RDP 使用远程桌面客户端来管理用户输入的凭据。 这些凭据适用于目标计算机,用户在该目标计算机上必须拥有一个帐户。 此外,必须将目标计算机配置为接受远程连接。 发送目标计算机凭据以尝试执行身份验证过程。 如果身份验证成功,用户将连接到可使用提供的凭据访问的本地和网络资源。
网络登录
只有在用户、服务或计算机进行身份验证后,才能使用网络登录。 网络登录过程中无法使用凭据输入对话框来收集数据。 将改用以前建立的凭据或其他方法来收集凭据。 此过程向用户尝试访问的任何网络服务确认用户标识。 除非必须提供备用凭据,否则此过程通常对用户不可见。
若要提供此类型的身份验证,安全系统包括以下身份验证机制:
Kerberos 版本 5 协议
公钥证书
安全套接字层/传输层安全性 (SSL/TLS)
摘要
NTLM,用于与基于 Microsoft Windows NT 4.0 的系统兼容
有关元素和过程的信息,请参阅上面的交互式登录示意图。
智能卡登录
智能卡只能用于登录域帐户,不能用于登录本地帐户。 智能卡身份验证要求使用 Kerberos 身份验证协议。 在 Windows 2000 Server 中引入,在基于 Windows 的操作系统中,实现了 Kerberos 协议初始身份验证请求的公钥扩展。 与共享机密密钥加密相比,公钥加密为非对称加密,即需要两个不同的密钥:一个用于加密,另一个用于解密。 执行这两个操作所需的密钥共同构成私钥/公钥对。
若要启动典型的登录会话,用户必须通过提供只有用户和基础 Kerberos 协议基础结构知道的信息来证明他或她的标识。 机密信息是派生自用户密码的加密共享密钥。 共享密钥是对称的,这意味着加密和解密采用相同的密钥。
下图显示智能卡登录所需的元素和过程。
智能卡凭据提供程序体系结构
使用智能卡而非密码时,存储在用户智能卡上的私钥/公钥对将替换派生自用户密码的共享机密密钥。 私钥仅存储在智能卡上。 公钥可以提供给所有者想要与之交换机密信息的任何人。
有关 Windows 中智能卡登录过程的详细信息,请参阅 Windows 中智能卡登录的工作原理。
生物识别登录
设备用于捕获和生成项目的数字特征,例如指纹。 然后将此数字表示与同一项目的样本进行比较,当两者成功比较时,即可进行身份验证。 运行本主题开头的“适用范围”列表中指定的任何操作系统的计算机都可以配置为接受这种形式的登录。 但是,如果仅针对本地登录配置生物识别登录,用户在访问 Active Directory 域时需要出示域凭据。
其他资源
有关 Windows 如何管理登录过程中提交的凭据的信息,请参阅 Windows 身份验证中的凭据管理。