Интерактивный вход
Для конечного пользователя процесс входа представляется достаточно простым. Надо вписать свое имя пользователя и пароль и нажать на Enter. Однако большая часть событий, необходимых для осуществления интерактивного входа, происходит «за кулисами». В процессе входа задействованы следующие компоненты.
- Winlogon. Процесс, отвечающий за проведение операций входа и выхода, а также за начало сессии пользователя.
- Graphical Identification and Authentication (GINA). Файл динамической библиотеки (DLL), вызываемый Winlogon и содержащий имя пользователя и пароль. Представлен в виде диалогового окна, появляющегося при входе в систему.
- Local Security Authoruty (LSA). Объект на локальном устройстве, который проверяет имя пользователя и пароль при аутентификации.
- Security Account Manager (SAM). Объект, который ведет базу данных имен пользователей и паролей. SAM находится как на локальных компьютерах, так и на контроллерах доменов.
- Net Logon Service. Эта служба используется наравне с NTLM (будет обсуждаться далее в лекции) для отправки запросов к SAM контроллера домена.
- Kerberos Key Distribution Center (KDS) service. Эта служба применяется при аутентификации для доступа к Active Directory.
Запуск от имени
Если вы в своей Windows-сети выполняете всю работу, используя свои администраторские данные для удостоверения личности, то подвергаете сеть необоснованному риску. Например, вы можете неумышленно занести вирус, который распространится по всей сети. Наилучшим способом минимизировать риск является использование для входа прав обычного или опытного пользователя и своей учетной записи администратора, только если этого требует работа.
К сожалению, выходить из системы в качестве пользователя и снова входить в нее в качестве администратора — дело достаточно нудное и неэффективное. Поэтому в Windows XP Professional есть инструмент под названием Run As (Запуск от имени). Он позволяет пользователю входить в систему с одним набором данных, удостоверяющих его личность, а затем запускать приложения, используя другой набор привилегий. Например, используя данные удостоверения личности обычного пользователя, вы можете выполнять свою ежедневную работу, заходить на сайты в интернете и т. д. Затем, если потребуется управление группой пользователей, вы обращаетесь к Run As, выполняете свои административные задачи и закрываете Run As.
Запуск от имени позволяет запускать:
- программы;
- ярлыки программ;
- ММС;
- элементы Панели управления.
Для запуска Run As проделайте следующие шаги.
- Определите место расположения элемента, который вы хотите открыть, в Windows Explorer, и затем щелкните на нем.
- Нажмите на SHIFT, щелкните правой кнопкой мыши на элементе и выберите Run As (Запуск от имени).
- В открывшемся диалоговом окне (рис. 9.15) щелкните на кнопке The following user (Учетная запись указанного пользователя).
Рис. 9.15. Диалоговое окно Run As (Запуск от имени)
- Введите свое имя пользователя и пароль или учетную запись, которую вы хотите использовать для доступа к элементу.
- В окне Domain (Домен) выполните одно из действий:
- введите имя своего компьютера для использования данных удостоверения личности администратора локальной сети;
- введите имя своего домена для использования данных удостоверения личности администратора домена.
Если инструмент Run As (Запуск от имени) не работает, убедитесь в том, что сервис Run As подключен, используя оснастку Services (Службы) ММС.
Существует много протоколов обеспечения безопасности, и система Windows XP Professional использует два наиболее распространенных: Kerberos и NTLM. NTLM используется по умолчанию как протокол входа в систему в сетях Windows NT. Kerberos применяется как протокол по умолчанию для доменов Windows 2000.
Протокол Kerberos применяется в том единственном случае, когда контроллеры доменов используют Windows 2000 или .NET, а клиенты используют Windows XP Professional. В остальных сценариях применяется протокол NTLM. В следующих разделах рассматривается работа этих протоколов безопасности.
Мы уже упоминали Kerberos ранее. Но в связи с его важностью для Windows 2000 доменов (и их взаимодействия с Windows XP Professional) он заслуживает более подробного рассмотрения. Kerberos — это протокол аутентификации по умолчанию, используемый в системах Windows 2000 и Windows XP Professional.
Протокол Kerberos был разработан в Технологическом институте (Массачусетс) в 1999 г. Этот протокол предоставляет быстрый одноразовый вход в систему Windows-сети, а также в сети с другими операционными системами, поддерживающими Kerberos. Протокол Kerberos обеспечивает следующие возможности:
- быструю аутентификацию при входе в компьютерную сеть со множеством компонентов;
- взаимодействие с не-Windows системами, использующими протокол Kerberos;
- сквозную аутентификацию для распределенных приложений;
- транзитивные доверительные отношения между доменами.
Протокол Kerberos обеспечивает взаимно-секретную аутентификацию. Это означает, что знают пароли только клиент и другой компьютер (называемый центром распространения ключей — KDS). Kerberos предоставляет быструю аутентификацию, поскольку снимает бремя этой задачи с сервера и передает его клиенту и KDS.
Примечание. Вход с систему в соответствии с протоколом Kerberos описан в лекции 2.
Протокол NTLM осуществляет аутентификацию компьютеров и клиентов по принципу вызов/ответ. При работе по протоколу NTLM исходный сервер должен контактировать с контроллером домена для подтверждения подлинности пользователя или компьютера.
Примечание. Протокол NTLM можно использовать не только в окружении домена, но также при взаимодействии двух устройств одного ранга и в групповой работе.
Следующие шаги поясняют, что происходит при интерактивном входе в систему в соответствии с протоколом NTLM.
- Пользователь инициирует вход, нажимая клавиши CTRL+ALT+DEL. Это называется SAS (Secure Attention Sequence).
- Далее Winlogon вызывает библиотеку GINA.DLL — появляется диалоговое окно входа.
- После того как пользователь ввел свое имя и пароль, Winlogon посылает информацию в LSA.
Примечание. LSA — это объект, который получает имя пользователя и пароль от Winlogon и принимает решение о разрешении входа в систему локального компьютера или сети.
- Если учетная запись пользователя хранится на локальном компьютере, то LSA использует пакет аутентификации MSV1_0 , сравнивая информацию для входа с данными, хранящимися в базе данных SAM компьютера. Если учетная запись пользователя хранится в сети, то LSA использует MSV1_0 и службу Сетевой вход в систему (Net Logon) для проверки SAM на Windows NT-контроллере домена.
- Если информация подтверждается, то SAM сообщает об этом LSA, высылая пользовательский идентификатор защиты (SID). Более того, SAM высылает идентификаторы защиты (SID) всех групп, к которым принадлежит пользователь. Эта информация используется локальным администратором безопасности (LSA) для создания маркера доступа, который включает в себя идентификатор защиты пользователя.
- Сеанс работы пользователя начинается после получения службой Winlogon этого маркера.
Аутентификация
Не путайте вход в систему с аутентификацией. В то время как вход позволяет пользователю получать доступ к компьютеру (локально или с сетевыми полномочиями), процесс аутентификации позволяет пользователям иметь определенные разрешения на работу и членство в группах.
Создание, управление и удаление учетных записей пользователей и создание и поддержка групп безопасности являются важнейшими задачами управления безопасностью. Именно от этих функций зависит уровень доступа пользователей и их возможность работать с сетевыми ресурсами.
Учетная запись пользователя
Каждый пользователь в сети имеет свою учетную запись. Учетные записи могут создаваться локально или как часть домена. Если у пользователя имеется локальная учетная запись, то он не может получить доступ к сетевым ресурсам (если в сети нет разрешенного анонимного доступа). Если у пользователя есть учетная запись на уровне домена, то со своего локального компьютера он может получать доступ к ресурсам сети.
При инсталляции Windows XP Professional создаются две учетные записи пользователя.
- Администратор. Позволяет конфигурировать и управлять системой. После окончания инсталляции и конфигурирования Windows XP Professional эта учетная запись нужна только для выполнения отдельных административных задач.
Примечание. Хорошей практикой в обеспечении безопасности является отключение учетной записи администратора и использование для повседневной работы учетной записи пользователя.
- Гость. Позволяет пользователям входить в компьютер без отдельной учетной записи для каждого пользователя.
Помимо этих учетных записей, Windows XP Professional позволяет создавать еще ряд учетных записей.
- Оператор архива. Члены этой группы могут выполнять операции копирования и восстановления на компьютерах, независимо от имеющихся разрешений.
- Группа службы поддержки. Члены этой группы могут использовать приложения для диагностики проблем, возникающих в системе.
- Операторы настройки сети. Члены этой группы могут выполнять ограниченные административные функции, такие как выдача IP-адресов.
- Опытные пользователи. Члены этой группы занимают промежуточное положение между администраторами и простыми пользователями. Они могут устанавливать и модифицировать приложения, имеют права на чтение и запись и могут получать разрешения на установку локальных принтеров (с согласия администратора).
- Пользователи удаленного рабочего стола. Члены этой группы имеют право доступа с удаленного компьютера.
- Репликатор. Члены этой группы имеют право копировать файлы домена.
- Пользователи. Члены этой группы имеют ограниченное право доступа к системе и могут получать права на чтение и запись только в индивидуальном порядке.
Если для локального компьютера нужен определенный тип учетной записи, то администратор должен войти в систему и создать эту учетную запись. Никто, кроме него, не имеет права создавать учетные записи.
Для создания, управления и удаления учетной записи проделайте следующие шаги.
- Выберите Start\Control Panel (Пуск\Панель управления).
- Щелкните на User Accounts (Учетные записи пользователей). Появится окно, показанное на рис. 9.16.
Вы также можете управлять дополнительными характеристиками пользователей, о чем пойдет речь в следующих разделах.
Интерактивный вход в систему что это
Политики группы Windows Logon применяются для рабочих станций, на которых установлен компонент Indeed-Id Windows Logon и определяют параметры клиентской части системы Indeed-Id.
Для настройки групповой политики используется стандартный редактор объектов групповой политики. Шаблоны группы политик Windows Logon добавляются в раздел Computer Configuration.
Настройки Credential Provider
Политика Настройки Credential Provider определяет отображение способов входа в систему, доступных пользователю.
Для пользователя могут быть доступны следующие способы входа:
- стандартные способы входа в ОС:
- вход по паролю
- вход по смарт-карте
- вход по отпечатку пальца (WinBio)
На экране входа перечисленные способы входа обозначаются пиктограммами:
Примечаниe:
Политика применяется для рабочих станций под управлением Microsoft Windows Vista и более поздних версий.Not Configured
Значение по умолчанию. Доступен только вход в систему с использованием технологии Indeed-Id.Enabled
Политика включена. Отображаемые способы входа в систему определяются значением, заданным в списке Отображение способов входа:- Только Indeed-Id
Для входа в систему доступен только вход с использованием технологии Indeed-Id. - Все способы
Для входа в систему доступны все возможные способы входа, а именно: стандартные способы входа в ОС (вход по паролю, вход по смарт-карте, вход по отпечатку пальца), вход в систему с использованием технологии Indeed-Id. - Все, кроме пароля
Для входа в систему доступны все способы входа, кроме входа по паролю.
Disabled
Политика отключена. Доступен только вход в систему с использованием технологии Indeed-Id.Не скрывать системное сообщение о смене пароля пользователя
Политика Не скрывать системное сообщение о смене пароля пользователя позволяет управлять отображением сообщения о смене пароля, когда срок его действия истекает.
Примечания:
Политика применяется для рабочих станций под управлением Microsoft Windows XP (SP3), Microsoft Windows Server 2003.Not Configured
Значение по умолчанию. Системное сообщение об истечении срока действия пароля при входе в систему не отображается.Enabled
Если срок дейcтвия пароля скоро истекает и для пользователя включена генерация случайного пароля, при входе в систему отображается системное сообщение об истечении срока действия пароля.Disabled
Политика отключена. Системное сообщение об истечении срока действия пароля при входе в систему не отображается.Таймаут выполнения действия при извлечении смарт-карты
Политика Таймаут выполнения действия при извлечении смарт-карты определяет продолжительность стандартного и сервисного таймаутов перед выполнением действия, заданного настройкой стандартной политики Интерактивный вход в систему: поведение при извлечении смарт-карты (Interactive logon: Smart-card enhanced removal behavior), после извлечения смарт-карты.
Стандартный таймаут позволяет определить таймаут перед выполнением действия, заданного настройкой стандартной политики Интерактивный вход в систему: поведение при извлечении смарт-карты (Interactive logon: Smart-card enhanced removal behavior), и тем самым предотвратить автоматическую блокировку компьютера при случайном извлечении смарт-карты.
Сервисный таймаут позволяет предотвратить автоматическую блокировку компьютера в тех случаях, когда извлечение смарт-карты является необходимым действием (например, при обучении дополнительного аутентификатора или получении доступа в систему от имени другой учетной записи по другому аутентификатору и т. п.). Для активации сервисного таймаута перед извлечением смарт-карты необходимо нажать и удерживать комбинацию клавиш .
Not Configured
Значение по умолчанию. Таймаут перед перед выполнением действия, заданного настройкой стандартной политики Интерактивный вход в систему: поведение при извлечении смарт-карты (Interactive logon: Smart-card enhanced removal behavior), не предоставляется.Enabled
Политика включена. Продолжительность стандартного и сервисного таймаутов после извлечения смарт-карты определяется значениями соответствующих параметров.- Таймаут (сек)
Продолжительность стандартного таймаута (в секундах) перед выполнением действия, заданного настройкой стандартной политики Интерактивный вход в систему: поведение при извлечении смарт-карты (Interactive logon: Smart-card enhanced removal behavior). - Сервисный таймаут (сек)
Продолжительность сервисного таймаута (в секундах) перед выполнением действия, заданного настройкой стандартной политики Интерактивный вход в систему: поведение при извлечении смарт-карты (Interactive logon: Smart-card enhanced removal behavior).
Disabled
Политика отключена. Таймаут перед перед выполнением действия, заданного настройкой стандартной политики Интерактивный вход в систему: поведение при извлечении смарт-карты (Interactive logon: Smart-card enhanced removal behavior), не предоставляется.ПРИМЕРЫ
Предположим, на рабочей станции пользователя доступны следующие способы входа:
- стандартные способы входа в ОС: вход по паролю, вход по смарт-карте, вход по отпечатку пальца (WinBio);
- вход с использованием технологии Indeed-Id.
Пример 1
Политика Настройки Credential Provider настроена следующим образом:
Настройки Credential Provider: Enabled; Отображение способов входа: Все, кроме пароля
В этом случае на рабочих станциях под управлением Microsoft Windows Vista и более поздних версий для входа в систему будут доступны только следующие способы входа: вход в систему с помощью смарт-карты, вход в систему с помощью отпечатка пальца (WinBio), вход в систему с использованием технологии Indeed-Id. Выполнить вход по паролю стандартными средствами ОС (т.е. с использованием стандартного Windows Credential Provider) в этом случае будет невозможно.
Однако, возможность входа в систему с использованием доменного пароля сохранится (через Credential Provider Indeed-Id). Запрещать полностью доступ по паролю в систему опасно. В случае любых проблем со входом по аутентификатору, включая забытую карточку или порезанный палец, это может вызвать простой в работе пользователя (пока он не свяжется с администратором и тот не обучит ему новый аутентификатор).Пример 2
Политика Таймаут выполнения действия при извлечении смарт-карты настроена следующим образом:
Таймаут выполнения действия при извлечении смарт-карты: Enabled; Таймаут (сек): 5; Сервисный таймаут (сек): 30Политика Интерактивный вход в систему: поведение при извлечении смарт-карты (Interactive logon: Smart-card enhanced removal behavior) имеет значение Lock Workstation.
В этом случае рабочая станция будет заблокирована через 5 секунд после извлечения смарт-карты.
При извлечении карты после нажатия клавиш для обучения нового аутентификатора (или выполнения другого действия, требующего извлечения смарт-карты) рабочая станция будет заблокирована через 30 секунд.
Контроллер домена не разрешает интерактивный вход, отображает ошибку: база данных безопасности на сервере не имеет учетной записи компьютера для этого отношения доверия рабочей станции
В этой статье описывается решение ошибки, возникающей, когда контроллер домена не разрешает интерактивный вход.
Применимо к: Windows Server 2012 R2, Windows 10 — все выпуски
Исходный номер базы знаний: 2015518Симптомы
После перезагрузки контроллер домена Windows Server 2012 R2 больше не сможет войти в систему. Это можно увидеть как при входе в консоль, так и в службах терминалов или удаленном рабочем столе. Отображается следующая ошибка:
База данных безопасности на сервере не имеет учетной записи компьютера для этого отношения доверия рабочей станции
Если перезагрузить компьютер в режиме восстановления служб каталогов (DSRM) и просмотреть журнал системных событий, вы увидите следующее:
Имя журнала: System
Источник: NETLOGON
Дата:
Идентификатор события: 5721
Категория задачи: Нет
Уровень: ошибка
Ключевые слова: классический
Пользователь: Н/Д
Computer:
Описание:
Сбой настройки сеанса для Windows NT или контроллера \\2008r2spn-01.northwindtraders.com домена Windows 2000 для домена NWTRADERS, так как у контроллера домена нет учетной записи 2008R2SPN-02$, необходимой для настройки сеанса на этом компьютере 2008R2SPN-02.
ДОПОЛНИТЕЛЬНЫЕ ДАННЫЕ
Если этот компьютер является членом или контроллером домена в указанном домене, указанная выше учетная запись является учетной записью компьютера для этого компьютера в указанном домене. В противном случае учетная запись является междоменовой учетной записью доверия с указанным доменом.Имя журнала: System
Источник: Microsoft-Windows-Security-Kerberos
Дата:
Идентификатор события: 3
Категория задачи: Нет
Уровень: ошибка
Ключевые слова: классический
Пользователь: Н/Д
Computer:
Описание:
Получено сообщение об ошибке Kerberos:
при входе в сеанс
Время клиента: Время сервера: 18:35:19.0000 27.01.2010 Z Код ошибки: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN расширенная ошибка: 0xc0000035 KLIN(0) Client Realm: Client Name: Server Realm: NORTHWINDTRADERS.COM Server Name: host/2008r2spn-02.northwindtraders.com Target Name: host/2008r2spn-02.northwindtraders.com@NORTHWINDTRADERS.COM Error Text: File: 9 Line: efb Error Data is in record data.При каждой попытке входа в журнал событий безопасности будет отображаться:
- Передаваемые службы указывают, какие промежуточные службы участвовали в этом запросе на вход.
- Имя пакета указывает, какой под-протокол использовался среди протоколов NTLM.
- Длина ключа указывает длину созданного ключа сеанса. Если ключ сеанса не был запрошен, это будет 0.
Вы также можете увидеть ошибку KDC 11 для повторяющегося имени субъекта-службы в журнале событий системы :
Имя журнала: System
Источник: Microsoft-Windows-Kerberos-Key-Distribution-Center
Дата:
Идентификатор события: 11
Категория задачи: Нет
Уровень: ошибка
Ключевые слова: классический
Пользователь: Н/Д
Computer:
Описание:
KDC обнаружил повторяющиеся имена при обработке запроса проверки подлинности Kerberos. Повторяющееся имя — host/2008spn-02.adatum.com (типа DS_SERVICE_PRINCIPAL_NAME). Это может привести к сбоям проверки подлинности или понижению уровня до NTLM. Чтобы избежать этого, удалите повторяющиеся записи для узла или 2008spn-02.adatum.com в Active Directory.Причина
Имя субъекта-службы контроллера домена (SPN) было дублировано и теперь существует в качестве атрибута как на контроллере домена, так и на другом пользователе или компьютере.
Разрешение
Найдите дубликат имени субъекта-службы и удалите его. Это значение можно найти с помощью SETSPN.EXE или LDIFDE.EXE. В этом примере повторяющееся имя — 2008r2spn-02.
- setspn.exe -x
- setspn.exe -q 2008r2spn-02*
- ldifde.exe -f spn.txt -d -l serviceprincipalname -r «(serviceprincipalname=*2008r2spn-02*)» -p subtree
Дополнительная информация
Это поведение отличается от Windows Server 2003 или Windows 2000. Эти операционные системы не получают одинаковых ошибок и по-прежнему могут войти в систему с повторяющимися именами субъектов-служб контроллера домена. Начиная с Windows Vista, восстановление размещения NTLM запрещено с помощью интерактивных входов в систему. Это функция безопасности, которая позволяет злоумышленнику каким-то образом повредить Kerberos, тем самым заставив использовать менее безопасный протокол.
Чтобы обновить имя субъекта-службы на пользователе или компьютере, пользователь должен быть членом администраторов, администраторов домена, администраторов предприятия или иметь разрешения на изменение атрибута servicePrincipalName на компьютере или пользователем. Пользователь уровня «Стандартный» не может изменять имя субъекта-службы, даже на самих себе или компьютерах, добавленных в домен. Только пользователи с высоким уровнем привилегий могут создать этот сценарий сбоя.
Обратная связь
Были ли сведения на этой странице полезными?
Интерактивный вход в систему что это
Сменился пользователь на машине
Для нового создал новую учтеную запись на сервере(win 2003,одноранг), добавил в группу пользователей удаленного рабочего стола
«Интерактивный вход в систему на данном компьютере запрещен локальной политикой»
Прошу посоветовать,Что надо поковырять в локальных политиках ?
на сервер — лицензия
на ХР — лицензия,
на терминалы — нет(0) остальные удалённые юзвери — входять только в эту одну группу? Или в другие тоже?
Как вариант — копированием введи пользователя.
И, само собой — удостоверься, что логин и пароль вводятся верноа пользователям удаленного раб стола и нельзя заходить интерактивно. добавь еще и в группу «пользователи»
(0) пароль есть у юзера?
(0) ничего не надо ковырять. пока.
пароль у юзера есть?
(1),(2) спасибо Вам
ну нашло — же чего-то
делал это много раз, а вот сегодня при добавлении пользвователя в группу пользователей удаленного рабочего стола после окей забыл отжать «применить»Воистину — служенье муз не терпит суеты
На контроллере домена в «политике безопасности домена» по всей вероятности выставлена галка «локальный вход в систему» только для администраторов. Но «политика для домена» перекрывает все локальные политики безопасности, поэтому тебя и отсеивает. Поставь на контроллере домена галку «локальный вход в систему» для тех, кому надо.