Uwierzytelnianie użytkownika w sieci.

T: Uwierzytelnianie użytkownika w sieci.

Usługa Active Directory® zapewnia organizacji bezpieczne środowisko katalogu, korzystając z wbudowanych funkcji uwierzytelniania logowania i autoryzacji użytkowników. Są to podstawowe funkcje urzędu zabezpieczeń lokalnych (LSA, Local Security Authority). Funkcje uwierzytelniania logowania i autoryzacji użytkowników są dostępne domyślnie i zapewniają bezpośrednią ochronę dostępu do sieci i zasobów sieciowych.
Usługa Active Directory wymaga potwierdzenia tożsamości użytkownika, zanim zostanie mu udzielone zezwolenie na dostęp do sieci. Proces ten jest nazywany uwierzytelnianiem. Aby uzyskać dostęp do sieci, wystarczy jeden raz zarejestrować się w domenie (lub domenach zaufanych). Gdy usługa Active Directory potwierdzi tożsamość użytkownika, urząd LSA na uwierzytelniającym kontrolerze domeny generuje token dostępu, który określa poziom dostępu użytkownika do zasobów sieciowych.
Usługa Active Directory obsługuje wiele bezpiecznych protokołów i mechanizmów uwierzytelniania będących standardami internetowymi używanymi do potwierdzania tożsamości w czasie logowania, w tym Kerberos V5, certyfikaty X.509 v3, karty inteligentne, infrastruktura kluczy publicznych (PKI), protokół LDAP (Lightweight Directory Access Protocol) korzystający z protokołu SSL (Secure Sockets Layer).
Uwierzytelnianie między domenami umożliwiają relacje zaufania. Zaufanie jest relacją ustanowioną między dwiema lub większą liczbą domen, która umożliwia uwierzytelnianie użytkowników jednej domeny przez kontroler domeny innej domeny.
Relacje zaufania mogą być przechodnie lub nieprzechodnie, ale należy je zawsze ustanowić, aby umożliwić użytkownikom jednej domeny uzyskanie dostępu do zasobów udostępnionych w innej domenie.
Oprócz zabezpieczania dostępu do sieci przez uwierzytelnianie usługa Active Directory pomaga zapewnić ochronę zasobów udostępnionych, ułatwiając autoryzację użytkowników. Po uwierzytelnieniu użytkownika przez usługę Active Directory i na podstawie praw, które zostały mu przypisane za pomocą grup zabezpieczeń, oraz uprawnień, które zostały przypisane zasobowi udostępnionemu, zostanie ustalone, czy użytkownik może uzyskać dostęp do danego zasobu. Ten proces autoryzacji chroni zasoby udostępnione przed nieupoważnionym dostępem, zezwalając na dostęp tylko autoryzowanym użytkownikom i grupom.

Uwaga! Active Directory uwierzytelnia autoryzowanych użytkowników, grupy i komputery próbujące uzyskać dostęp do obiektów w sieci. Urząd zabezpieczeń lokalnych (LSA) jest podsystemem zabezpieczeń odpowiedzialnym za wszystkie usługi interakcyjnego uwierzytelniania i autoryzacji użytkowników na komputerze lokalnym. Ten podsystem jest również używany do przetwarzania żądań uwierzytelnienia zainicjowanych za pomocą protokołu Kerberos V5 lub protokołu NTLM w usłudze Active Directory.
Po potwierdzeniu tożsamości użytkownika w usłudze Active Directory urząd LSA na uwierzytelniającym kontrolerze domeny generuje token dostępu użytkownika i kojarzy z tym użytkownikiem identyfikator zabezpieczeń (SID).

Token dostępu. Podczas uwierzytelniania użytkownika urząd LSA tworzy dla niego token dostępu. Token dostępu zawiera nazwę użytkownika, nazwy grup, do których należy użytkownik, identyfikator SID użytkownika oraz wszystkie identyfikatory SID grup, do których należy użytkownik. W przypadku dodania użytkownika lub grupy po wystawieniu tokenu dostępu użytkownika użytkownik musi wylogować się i ponownie zalogować, aby token dostępu został zaktualizowany.
Identyfikator zabezpieczeń (SID). Usługa Active Directory automatycznie przypisuje identyfikatory SID obiektom typu podmiot zabezpieczeń w momencie ich tworzenia. Podmioty zabezpieczeń są kontami w usłudze Active Directory, którym można przypisywać uprawnienia, takimi jak konta komputerów, grup lub użytkowników. Po wystawieniu uwierzytelnianemu użytkownikowi identyfikatora SID identyfikator ten zostaje dołączony do tokenu dostępu użytkownika.

Informacje zawarte w tokenie dostępu są używane do określenia poziomu dostępu użytkownika do obiektu, ilekroć użytkownik próbuje uzyskać do niego dostęp. Identyfikatory SID w tokenie dostępu są porównywane z listą identyfikatorów SID, które tworzą listę DACL dla tego obiektu, w celu sprawdzenia, czy użytkownik ma wystarczające uprawnienia, aby uzyskać dostęp do obiektu. Wynika to z tego, że w procesie kontroli dostępu konta użytkowników są identyfikowane przez identyfikator SID, a nie przez nazwę.

Ważne! Gdy kontroler domeny wystawia użytkownikowi token dostępu, token ten zawiera tylko informacje o przynależności użytkownika do grup lokalnych w domenie, jeśli te grupy są lokalne dla domeny kontrolera domeny. W przypadku obiektów katalogu replikowanych w wykazie globalnym z tym faktem wiąże się wymóg pewnych specjalnych ustawień zabezpieczeń.