Аутентификация пользователей.

Сервис входа в сеть выполняет аутентификацию запроса на вход в систему за три шага:

1. Обнаружение

2. Установка безопасного канала

3. Сквозная аутентификация

Обнаружение. Когда пользователь входит в домен с компьютера, который не является контроллером домена, компьютер должен определить местоположение контроллера домена в его домене. Действия по поиску контроллера домена для установления соединения называется обнаружением.

При запуске контроллера домена сервис входа в сеть пытается выполнить обнаружение во всех доверяемых доменах. Каждый домен опрашивается по три раза с интервалом в 5 секунд и если это не даёт результата, обнаружение считается неудавшимся.

Канал безопасной коммуникации. Прежде чем разрешить установление соединения между двумя компьютерами Windows, сервер входа в сеть каждого из этих компьютеров должен получить подтверждение того, что компьютер на другом конце правильно идентифицирует себя. При этом создаются следующие специальные внутренние пользовательские бюджеты:

· Бюджет доверия рабочей станции - позволяет рабочей станции домена выполнять сквозную аутентификацию для принадлежащего к домену компьютера Windows Server.

· Бюджеты доверия сервера позволяют компьютерам под управлением Windows Server получать с контроллера домена копии баз данных главного домена.

· Междоменные бюджеты доверия позволяют компьютеру под управлением Windows Server выполнять сквозную аутентификацию для другого домена.

Сквозная аутентификация . Сквозная аутентификация имеет место в том случае , когда необходимо аутентифицировать пользовательский бюджет , но локальный компьютер не может сделать этого сам.

Сквозная аутентификация требуется в следующих случаях :

1) Когда пользователь с компьютера, который не является контроллером домена, пытается войти в домен или доверяемый домен.

2) При удаленном входе в систему, когда домен указан как доверяемый домен.