Сценарии входа в систему

Посетителей: 34892 | Просмотров: 60936 (сегодня 0) Шрифт:

Политики реестра

Пользовательский интерфейс для политик реестра контролируется файлами Административных шаблонов (.adm). Эти файлы описывают пользовательский интерфейс, отображаемый в узле Административные Шаблоны оснастки «Групповая политика». Файлы Административных шаблонов совместимы с файлами .adm, используемыми Редактором системной политики (poledit.exe) в системах Microsoft Windows NT 4.0. Для Windows 2000 доступные настройки были расширены.
Примечание: Несмотря на то, что в Windows 2000 в пространство имен можно добавить любой файл .adm, при использовании файлов предыдущих версий Windows, скорее всего, ключи реестра не будет иметь никакого эффекта, так как установки реестра не сохраняются.
По умолчанию отображаются только те настройки загруженного .adm файла, которые существуют в разрешенном дереве Групповой политики. Такие настройки называются истинные политики. Это означает, что оснастка ГП не отображает компоненты, настраивающие ключи реестра вне дерева Групповой политики. Такие компоненты называются предпочтения ГП. Ниже приведены разрешенные ветви Групповой политики:

Групповая политика «Вывод пункта Показывать только политики» доступна в узле Конфигурации пользователяАдминистративные шаблоны в ветке СистемаГрупповая политика. Если эта политика включена, то команда «Показывать только политики» будет применена, и администратор не сможет ее отключить. В результате оснастка «Групповая политика» будет отображать только истинные политики. Если отключить данную политику или оставить ее без изменений, команда «Показывать только политики» будет включена по умолчанию, но администраторы могут просматривать предпочтения, отключив команду «Показывать только политики». Данная опция доступна в узле Административные шаблоны (в ветвях Конфигурации пользователя или Конфигурации компьютера). Для этого в меню консоли Групповой политики нажмите Вид и снимите флажок «Показывать только политики». Учтите, что для этой политики невозможно сохранить выбранное состояние. Это происходит из-за того, что не существует параметров позволяющих сохранить выбранные настройки.
В редакторе Групповой политики предпочтения помечаются красным значком, в отличие от истинных политик, которые помечаются синим значком.
Не рекомендуется использовать предпочтения в инфраструктуре Групповой политики, так как состояние политики «Показывать только политики» не сохраняется, как это было уже объяснено выше. Чтобы настроить политики реестра для клиентов в системах Windows NT 4.0, Windows 95 и Windows 98, воспользуйтесь системным редактором политик Windows NT 4.0 – Poledit.exe.
По умолчанию файлы System.adm, Inetres.adm и Conf.adm загружаются в пространство имен, как показано на рисунке 7 ниже:

Рисунок 7. Конфигурации Пользователя
Увеличить рисунок.

Файлы .adm включают следующие настройки:

  • System.adm: настройки операционной системы
  • Inetres.adm: Ограничения Internet Explorer
  • Conf.adm: настройки NetMeeting

Добавление Административных Шаблонов

Файл с расширением .adm содержит иерархическую структуру категорий и подкатегорий, совокупность которых определяет организацию параметров в пользовательском интерфейсе Групповой политики.

Добавление административного шаблона (файлы .adm)

  • В консоле Групповой политики дважды щелкните на Active Directory – пользователи и компьютеры, выберите домен или подразделение, для которого хотите установить политику, нажмите Свойства и выберите Групповая политика.
  • В свойствах Групповой политики выберите из списка Объект ГП (GPO) для редактирования и нажмите Изменить. Откроется оснастка «Групповая политика».
  • В консоле ГП раскройте узел Конфигурации пользователя или Конфигурации компьютера. Файл .adm определяет, где будет отображена политика, поэтому не имеет значения, в котором из этих узлов она была открыта.
  • Щелкните правой кнопкой мыши на Административные шаблоны, выберите Добавить/удалить шаблоны. Отобразится список шаблонов, активных на данный момент для выбранного контейнера Active Directory.
  • Нажмите Добавить. Отобразится список файлов .adm, доступных в директории %systemroot%inf компьютера, где запущена Групповая политика. Файл .adm может быть выбран из любого другого места. В таком случае файл .adm будет скопирован в выбранный Объект ГП.

Настройка системной политики, с использованием административных шаблонов

  • В консоле GPWalkthrough дважды щелкните ActiveDirectory– пользователи и компьютеры, затем дважды щелкните домен reskit.com, и дважды щелкните Accounts. Щелкните правой кнопкой мыши на подразделении Headquarters, после чего выберите Свойства.
  • В диалоговом окне СвойстваHeadquarters нажмите Групповая политика.
  • Для редактирования HQ Policy дважды щелкните на Объекте ГП HQ Policy в списке Ссылки на объект групповой политики.
  • В консоле ГП в ветке Конфигурации пользователя нажмите знак «+» рядом с Административные шаблоны.
  • Щелкните на Меню Пуск и Панель Задач. Заметьте, что в окне сведений все политики показаны как «Не задана».
  • В окне сведений дважды щелкните на политике Удалить меню «Выполнить» из меню «Пуск». Отобразится диалоговое окно для этой политики, как показано на рисунке 8 ниже:

Рисунок 8: Удаление меню Выполнить из меню Пуск
Увеличить рисунок.

  • В диалоговом окне Удалить меню «Выполнить» из меню «Пуск» нажмите Включена. Обратите внимание на кнопки Предыдущий параметр и Следующий параметр.
  • Эти кнопки могут быть использованы для навигации в окне сведений при переходе к настройкам других политик. Вы можете оставить диалоговое окно открытым и выбрать другую политику в окне сведений оснастки Групповой политики. После того как выбран какой-либо элемент в окне сведений, Вы можете использовать клавиши клавиатуры – или нажимать клавишу Ввод, для того, чтобы быстро просматривать настройки (или Объяснения) для каждой политики выбранного узла.
  • Нажмите OK. Обратите внимание на изменение состояния в колонке окна сведений – Состояние. Это изменение имеет мгновенный эффект – настройки были сохранены. Если вы работаете в среде реплицируемого контроллера домена, то это действие инициирует цикл копирования.
  • Теперь, если Вы зайдете на рабочую станцию домена reskit.com с учетными данными любого пользователя подраздела Headquarters, Вы заметите, что меню Выполнить отсутствует.
    Вы можете поэкспериментировать с другими доступными политиками. Смотрите вкладку Объяснения для информации по каждой политике.

    Сценарии

    Вы можете настроить сценарии, выполняемые на входе/выходе пользователя из системы или при запуске/завершении работы компьютера. Разрешается использовать любые сценарии, совместимые с Сервером Сценариев Windows (WSH). Такими могут быть Java Scripts или VB Scripts, а также .bat и .cmd файлы. Ссылки на дополнительную информацию по Серверу Сценариев Windows (WSH) находятся в разделе Дополнительная Информация в конце этого документа.

    Настройка сценария Входа в систему

    Используйте данное руководство для добавления сценариев, выполняемых во время входа пользователя в систему.
    Примечание: Данное руководство использует сценарий Welcome2000.js, представленный в Приложении А этого документа. В приложение включены инструкции по созданию и сохранению файла сценария. Перед тем, как приступить к изучению руководства по настройке сценариев, выполняемых на входе в систему, необходимо создать файл Welcome2000.js и скопировать его в контроллер домена HQ-RES-DC-01.

    Настройка сценариев входа в систему

    • В консоле GPWalkthrough дважды щелкните Active Directory – пользователи и компьютеры, затем дважды щелкните домен reskit.com, выберите Свойства и нажмите Групповая политика.
    • В свойствах Групповой политики выберите ОГП Политика домена по умолчанию из списка Ссылки на объект групповой политики и нажмите кнопку Изменить для открытия оснастки «Групповая политика».
    • В оснастке «Групповая политика» в ветке Конфигурации пользователя раскройте узел КонфигурацияWindows и затем щелкните на узле Сценарии (вход/выход из системы).
    • В окне сведений дважды щелкните на Вход в систему.
    • Диалоговое окно свойств Входа в систему отображает список сценариев, которые запускаются, когда пользователи, на которых распространяется политика, входят в систему. Порядок запуска сценариев определяется сортировкой списка – сценарий во главе списка запускается первым. Вы может изменить порядок, используя кнопки Вверх и Вниз.
    • Чтобы добавить новый сценарий в список, нажмите кнопку Добавить. Отобразится диалоговое окно Добавление сценария. С помощью диалогового окна можно указать имя существующего сценария, находящегося в данном ОГП (GPO), или выбрать сценарий, располагающийся в другом месте, для использования в текущем ОГП (GPO). Сценарий должен быть доступен пользователю во время входа в систему, в противном случае он не будет выполнен. Сценарии в текущем ОГП автоматически доступны пользователю. Вы можете создать новый сценарий, щелкнув на пустом месте правой кнопкой мыши, выбрав пункт Создать и указав тип файла.
    • Примечание: Если в Свойствах папки на вкладке Вид установлен флажок Скрывать расширения для зарегистрированных типов файлов, то файл может получить нежелательное расширение, которое будет мешать запуску сценария.
    • Для редактирования имени или параметров существующего сценария выделите его в списке и нажмите кнопку Изменить. Эта кнопка не позволяет редактировать код сценария. Для таких целей используйте кнопку Показать файлы.
    • Для удаления сценария их списка выделите его и нажмите кнопку Удалить.
    • Кнопка Показать файлы отображает сценарии ОГП в Проводнике, что дает быстрый доступ к этим файлам или к месту для копирования вспомогательных файлов, если сценарии в них нуждаются. Если Вы изменили имя файла сценария, используя Проводник, Вы также должны изменить его, используя кнопку Изменить. В противном случае сценарий не будет выполняться.
    • Нажмите кнопку Пуск, наведите курсор на Программы, перейдите в Стандартные, затем выберите команду Проводник и перейдите к файлу Welcome2000.js (используйте Приложение А, чтобы создать этот файл), щелкните правой кнопкой мыши на нем и выберите Копировать.
    • Закройте Проводник.
    • В диалоговом окне свойств Входа в систему нажмите кнопку Показать файлы и вставьте сценарий в местоположение по умолчанию. Это должно выглядеть, как показано на Рисунке 9 ниже:
    Читайте также:  196 Reallocation event count горит желтым

  • Закройте окно Вход в систему.
  • В диалоговом окне Свойствавхода в систему нажмите кнопку Добавить.
  • В диалоговом окне Добавление сценария нажмите Обзор, и затем в диалоговом окне Обзора дважды щелкните на файле Welcome2000.js.
  • Нажмите Открыть.
  • В диалоговом окне Добавить сценарий и дважды нажмите ОК (параметры сценария в данном случае не нужны).
  • Выполнив вышеуказанные действия, зайдите на рабочую станцию с учетными данными любого пользователя подразделения Headquarters и убедитесь, что скрипт запускается при входе в систему.

    Настройки сценария выхода из системы, загрузки или завершения работы компьютера

    Используя процедуру, описанную выше, Вы также можете настроить сценарии, запускаемые:

    • при выходе пользователя из системы
    • при загрузке или завершении работы компьютера.
    • Для сценариев выхода из системы Вам нужно выбрать Выход из системы в пункте 3.

    Другие настройки сценариев

    По умолчанию сценарии ГП, выполняемые в командной строке (такие как файлы .bat или .cmd), выполняются скрытно, а наследуемые сценарии по умолчанию выполняются открыто (как это было в Windows NT 4.0). Тем не менее, существует Групповая политика, позволяющая изменять видимость выполнения сценариев. Для пользователей эти политики называются Выполнять сценарии загрузки с отображением команд и Выполнять сценарии выхода с отображением команд. Они доступны в узле Конфигурации пользователяАдминистративные шаблоны в ветке СистемаВход/выход. Для компьютеров существует Групповая политика – Выполнять сценарии загрузки с отображением команд, она доступна в узле Конфигурации компьютераАдминистративные шаблоны в ветке СистемаВход.

    Фильтрация Групп Безопасности

    Изменяя принадлежность пользователя или компьютера к той или иной группе безопасности, можно изменять поведение любого Объекта ГП. Для этого используйте вкладку Безопасность в свойствах Объекта ГП для указания Избирательных таблиц управления доступом (DACLs). Избирательные таблицы управления доступом (DACLs) используются для увеличения производительности. Более детально это было рассмотрено в технических документах, упомянутых выше в этом руководстве. Фильтрация групп безопасности позволяет более гибкое создание и развертывание Объектов ГП и содержащихся в них политик. По умолчанию любые Объекты ГП действуют на всех пользователей и компьютеры, находящиеся в связанном сайте, домене или подразделении. Использование Избирательных таблиц управления доступом (DACLs) позволяет включать или исключать членов какой-либо группы безопасности, чтобы изменить действие любого Объекта ГП.
    Избирательные таблицы управления доступом (DACLs) можно изменять, используя стандартную вкладку Windows 2000 – Безопасность, которая доступна в Свойствах любого Объекта ГП.

    Доступ к свойствам ОГП из свойств Групповой политики домена или подразделения

    • В консоле GPWalkthrough дважды щелкните Active Directory – пользователи и компьютеры, затем дважды щелкните домен reskit.com и потом дважды щелкните Accounts, щелкните правой кнопкой мыши на подразделении Headquarters и выберите Свойства.
    • В диалоговом окне свойств Headquarters нажмите Групповая политика.
    • Щелкните правой кнопкой мыши ОГП HQ Policy в списке Ссылки на объект групповой политики, выберите Свойства из контекстного меню.
    • В Свойствах перейдите на вкладку Безопасность. Здесь отображены стандартные настройки свойств Безопасности.
    • Вы увидите группы безопасности и пользователей, основанные на базовой инфраструктуре. Для дополнительной информации обратитесь к пошаговому руководству Windows 2000 – Базовая инфраструктура для управления изменениями и конфигурациями. Перед тем как продолжить, убедитесь, что Вы выполнили соответствующие шаги этого документа.
    • В свойствах Безопасности нажмите Добавить.
    • В диалоговом окне Выбор: пользователи, компьютеры или группы выберите из списка группу Management и нажмите Добавить, затем нажмите ОК, чтобы закрыть диалоговое окно.
    • На вкладке Безопасность свойств HQ Policy выберите группу Management и просмотрите разрешения. По умолчанию для группы Management разрешен только один элемент списка управления доступом (ACE) – Чтение. Это означает, что данный ОГП не применяется к группе Management. Исключение составляют члены группы, которые также являются членами другой группы (по умолчанию, они также являются Прошедшими проверку), у которой выбрана опция ACE – Применить групповую политику.
    • В таком случае этот Объект ГП применяется ко всем пользователям в группе Прошедшие проверку, невзирая на то, что группа Management не была добавлена в список, как показано на рисунке 10 ниже:

  • Сконфигурируйте ОГП так, чтобы он применялся только к членам группы Management. Выберите Разрешить для команды Применить групповую политику к группе Management и удалите Применить групповую политику из группы Прошедшие проверку.
  • Изменяя элементы списка управления доступом (ACEs), применяющиеся к различным группам, администраторы могут изменять действие ОГП для пользователей и компьютеров, на которых распространяется действие этого ОГП. Разрешение на Запись необходимо для внесения изменения, а Чтение и Разрешить групповую политику необходимы для применения политики к данной группе.
  • Осторожно используйте элемент списка управления доступом (ACE) – Запретить. Параметр Запретить для любой группы имеет превосходство над всеми элементами Разрешить для пользователя или компьютера в какой-либо другой группе. Детально это взаимодействие рассмотрено в интерактивной справке Windows 2000 Server по группам безопасности.
  • На рисунке 11 ниже показан пример настроек безопасности, когда действие HQ Policy применяется ко всем, за исключением членов группы Management. Группе Management этот ОГП был явно запрещен (Применить групповую политику указана, как Запретить). Обратите внимание, что если какой-либо член группы Management также является членом другой группы, для которой указан элемент Применить групповую политику, как Разрешена, команда Запретить все равно будет иметь приоритет и ОГП не будет оказывать на пользователя никакого влияния.
  • Варианты настроек могут включать:

    • Добавление дополнительных ОГП с различными наборами политик, применяемые ко всем группам, кроме группы Management.
    • Создание еще одной группы, состоящей из членов других групп, и использование этих групп, как фильтров для ОГП

    Примечание: Вы можете использовать такие же типы настроек безопасности для сценария Входа, который Вы создали в предыдущем разделе. Возможно, настроить сценарии так, чтобы они выполнялись только для членов выбранной группы или для всех, кроме какой-либо указанной группы.
    Фильтрация групп безопасности имеет две функции. Во-первых, определить, какие группы подвержены выбранному ОГП. Во-вторых, определить, какая из групп администраторов может изменять ОГП (назначив Полный Доступ определенной группе администраторов). Это рекомендуется, поскольку снижается вероятность внесения одновременных изменений несколькими администраторами.

    Здравствуйте!
    Столкнулся с такой проблемой, ни как не могу придумать, как ее решить.
    Задача такая, нужно на конкретных компьютерах, запускать сценарий при входе в систему ( под любым пользователем)
    Компьютеры располагаются в разных юнитах.
    Как я думал, будет работать, но не работает:

    Я создал нужную политику, в "Конфигурация компьютера – Политики – Административные шаблоны- система- вход в систему – выполнять эти программы при входе в систему" добавил скрипт \dcNETLOGONwWWHomePage.vbs
    Задача скрипта, запустится под пользователем, и в атрибут wWWHomePage занести имя компьютера, на котором залогинился пользователь.

    Что бы скрипт не выполнялся на некоторых компьютерах, в разделе безопасности политики была добавлена группа безопасности, с запретом на чтение и выполнение политики. В эту группу были добавлены компьютеры, на которых не нужно выполнять данную политику.

    И все это не работает. Политика применяется, но скрипт при входе в систему не запускается.
    Переделал все на "Конфигурация пользователя" ( работает), но в таком случае, я не смогу регулировать применение политики на нужных компьютерах. Т.к. политика будет запускаться уже от имени пользователя.

    Подскажите пожалуйста, как решить мою проблему. Спасибо за внимание 🙂

    • Вопрос задан более трёх лет назад
    • 9339 просмотров

    Loopback processing mode вам в помощь:

    1. Создаёте OU
    2. Перемещаете в это OU сервера на которых будет применяться скрипт
    3. Создаёте GPO c запуском скрипта (User Configuration/Windows Settings/Scripts/Logon)
    4. Включаете User Group Policy Loopback processing mode

    Прошлый коммент грохнул, так как то решение не совсем подходит, данный вариант должен полностью удовлетворить ваши потребности.

    Область применения. Windows Server (Semi-Annual Channel), Windows Server 2016 Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

    В этой справочной статье по ИТ-специалистам представлены общие сценарии входа в Windows и вход в систему. This reference topic for the IT professional summarizes common Windows logon and sign-in scenarios.

    Читайте также:  Высота бордюра в ванной комнате

    Операционным системам Windows требуется, чтобы все пользователи могли входить на компьютер с действительной учетной записью для доступа к локальным и сетевым ресурсам. The Windows operating systems require all users to log on to the computer with a valid account to access local and network resources. Компьютеры под управлением Windows защищают ресурсы путем реализации процесса входа в систему, в котором пользователи проходят проверку подлинности. Windows-based computers secure resources by implementing the logon process, in which users are authenticated. После проверки подлинности пользователя технологии контроля доступа и управления доступом реализуют второй этап защиты ресурсов: определение, авторизован ли прошедший проверку подлинности пользователь для доступа к ресурсу. After a user is authenticated, authorization and access control technologies implement the second phase of protecting resources: determining if the authenticated user is authorized to access a resource.

    Содержимое этого раздела применимо к версиям Windows, указанным в списке применимо к в начале этого раздела. The contents of this topic apply to versions of Windows designated in the Applies to list at the beginning of this topic.

    Кроме того, приложения и службы могут требовать от пользователей входа для доступа к ресурсам, предлагаемым приложением или службой. In addition, applications and services can require users to sign in to access those resources that are offered by the application or service. Процесс входа аналогичен процессу входа в систему в том, что требуются действительная учетная запись и правильные учетные данные, но сведения о входе хранятся в базе данных диспетчера учетных записей безопасности (SAM) на локальном компьютере и в Active Directory, где это возможно. The sign-in process is similar to the logon process, in that a valid account and correct credentials are required, but logon information is stored in the Security Account Manager (SAM) database on the local computer and in Active Directory where applicable. Учетная запись входа и учетные данные управляются приложением или службой, а также могут храниться локально в службе блокировки учетных данных. Sign-in account and credential information is managed by the application or service, and optionally can be stored locally in Credential Locker.

    Чтобы понять, как работает аутентификация, см. раздел Основные понятия проверки подлинности Windows. To understand how authentication works, see Windows Authentication Concepts.

    В этом разделе описываются следующие сценарии. This topic describes the following scenarios:

    Интерактивный вход Interactive logon

    Процесс входа начинается либо, когда пользователь вводит учетные данные в диалоговом окне Ввод учетных данных, либо когда пользователь вставляет смарт-карту в устройство чтения смарт-карт или когда пользователь взаимодействует с биометрической устройством. The logon process begins either when a user enters credentials in the credentials entry dialog box, or when the user inserts a smart card into the smart card reader, or when the user interacts with a biometric device. Пользователи могут выполнять интерактивный вход, используя локальную учетную запись пользователя или учетную запись домена для входа на компьютер. Users can perform an interactive logon by using a local user account or a domain account to log on to a computer.

    На следующей схеме показаны элементы интерактивного входа в систему и процесс входа в систему. The following diagram shows the interactive logon elements and logon process.

    Архитектура проверки подлинности клиента Windows Windows Client Authentication Architecture

    Локальный и доменный вход Local and domain logon

    Учетные данные, которые пользователь предоставляет для входа в домен, содержат все элементы, необходимые для локального входа в систему, такие как имя учетной записи, пароль или сертификат, а также Active Directory сведения о домене. Credentials that the user presents for a domain logon contain all the elements necessary for a local logon, such as account name and password or certificate, and Active Directory domain information. Процесс подтверждает идентификацию пользователя в базе данных безопасности на локальном компьютере пользователя или в домене Active Directory. The process confirms the user’s identification to the security database on the user’s local computer or to an Active Directory domain. Этот обязательный процесс входа не может быть отключен для пользователей домена. This mandatory logon process cannot be turned off for users in a domain.

    Пользователи могут выполнять интерактивный вход на компьютер одним из двух способов: Users can perform an interactive logon to a computer in either of two ways:

    Локально, когда пользователь имеет прямой физический доступ к компьютеру или когда компьютер входит в сеть компьютеров. Locally, when the user has direct physical access to the computer, or when the computer is part of a network of computers.

    Локальный вход предоставляет пользователю разрешение на доступ к ресурсам Windows на локальном компьютере. A local logon grants a user permission to access Windows resources on the local computer. Для локального входа необходимо, чтобы у пользователя была учетная запись пользователя в диспетчере учетных записей безопасности (SAM) на локальном компьютере. A local logon requires that the user has a user account in the Security Accounts Manager (SAM) on the local computer. SAM защищает и управляет сведениями о пользователях и группах в форме учетных записей безопасности, хранящихся в локальном реестре компьютера. The SAM protects and manages user and group information in the form of security accounts stored in the local computer registry. Компьютер может иметь доступ к сети, но он не является обязательным. The computer can have network access, but it is not required. Учетная запись локального пользователя и сведения о членстве в группах используются для управления доступом к локальным ресурсам. Local user account and group membership information is used to manage access to local resources.

    Вход в сеть предоставляет пользователю разрешение на доступ к ресурсам Windows на локальном компьютере в дополнение к любым ресурсам на сетевых компьютерах в соответствии с маркером доступа учетных данных. A network logon grants a user permission to access Windows resources on the local computer in addition to any resources on networked computers as defined by the credential’s access token. Как для локального входа, так и для входа в сеть требуется, чтобы у пользователя была учетная запись пользователя в диспетчере учетных записей безопасности (SAM) на локальном компьютере. Both a local logon and a network logon require that the user has a user account in the Security Accounts Manager (SAM) on the local computer. Учетная запись локального пользователя и сведения о членстве в группах используются для управления доступом к локальным ресурсам, а маркер доступа для пользователя определяет, какие ресурсы могут быть доступны на сетевых компьютерах. Local user account and group membership information is used to manage access to local resources, and the access token for the user defines what resources can be accessed on networked computers.

    Локальный вход и вход в сеть недостаточно, чтобы предоставить пользователю и компьютеру разрешение на доступ к ресурсам домена и их использование. A local logon and a network logon are not sufficient to grant the user and computer permission to access and to use domain resources.

    Удаленно, через службы терминалов или службы удаленных рабочих столов (RDS), в этом случае вход в систему выполняется дополнительно в качестве удаленного интерактивного. Remotely, through Terminal Services or Remote Desktop Services (RDS), in which case the logon is further qualified as remote interactive.

    После интерактивного входа в систему Windows запускает приложения от имени пользователя, и пользователь может взаимодействовать с этими приложениями. After an interactive logon, Windows runs applications on behalf of the user, and the user can interact with those applications.

    Локальный вход предоставляет пользователю разрешение на доступ к ресурсам на локальном компьютере или в ресурсах на сетевых компьютерах. A local logon grants a user permission to access resources on the local computer or resources on networked computers. Если компьютер присоединен к домену, функция Winlogon пытается войти в этот домен. If the computer is joined to a domain, then the Winlogon functionality attempts to log on to that domain.

    Вход в домен предоставляет пользователю разрешение на доступ к локальным ресурсам и ресурсам домена. A domain logon grants a user permission to access local and domain resources. Для входа в домен требуется, чтобы у пользователя была учетная запись пользователя в Active Directory. A domain logon requires that the user has a user account in Active Directory. Компьютер должен иметь учетную запись в домене Active Directory и физически подключена к сети. The computer must have an account in the Active Directory domain and be physically connected to the network. Пользователи также должны иметь права пользователя для входа на локальный компьютер или домен. Users must also have the user rights to log on to a local computer or a domain. Сведения об учетной записи пользователя домена и сведения о членстве в группах используются для управления доступом к доменным и локальным ресурсам. Domain user account information and group membership information are used to manage access to domain and local resources.

    Читайте также:  Виндовс 7 максимальная 64 бита оригинал лицензионную

    Удаленный вход Remote logon

    В Windows доступ к другому компьютеру через удаленный вход зависит от протокол удаленного рабочего стола (RDP). In Windows, accessing another computer through remote logon relies on the Remote Desktop Protocol (RDP). Так как пользователь должен успешно войти на клиентский компьютер до попытки удаленного подключения, интерактивные процессы входа в систему успешно завершены. Because the user must already have successfully logged on to the client computer before attempting a remote connection, interactive logon processes have successfully finished.

    RDP управляет учетными данными, вводимыми пользователем с помощью клиента удаленный рабочий стол. RDP manages the credentials that the user enters by using the Remote Desktop Client. Эти учетные данные предназначены для целевого компьютера, и у пользователя должна быть учетная запись на этом целевом компьютере. Those credentials are intended for the target computer, and the user must have an account on that target computer. Кроме того, целевой компьютер должен быть настроен на прием удаленного подключения. In addition, the target computer must be configured to accept a remote connection. Учетные данные целевого компьютера отправляются на попытку выполнить процесс проверки подлинности. The target computer credentials are sent to attempt to perform the authentication process. Если проверка подлинности прошла успешно, пользователь подключается к локальным и сетевым ресурсам, доступным с помощью предоставленных учетных данных. If authentication is successful, the user is connected to local and network resources that are accessible by using the supplied credentials.

    Вход в сеть Network logon

    Сетевой вход может использоваться только после проверки подлинности пользователя, службы или компьютера. A network logon can only be used after user, service, or computer authentication has taken place. Во время входа в сеть процесс не использует диалоговые окна ввода учетных данных для получения данных. During network logon, the process does not use the credentials entry dialog boxes to collect data. Вместо этого используется ранее установленные учетные данные или другой метод для получения учетных данных. Instead, previously established credentials or another method to collect credentials is used. Этот процесс подтверждает удостоверение пользователя для любой сетевой службы, к которой пользователь пытается получить доступ. This process confirms the user’s identity to any network service that the user is attempting to access. Этот процесс обычно невидим для пользователя, если не требуется предоставлять альтернативные учетные данные. This process is typically invisible to the user unless alternate credentials have to be provided.

    Чтобы обеспечить такой тип проверки подлинности, система безопасности включает следующие механизмы проверки подлинности: To provide this type of authentication, the security system includes these authentication mechanisms:

    Протокол Kerberos версии 5 Kerberos version 5 protocol

    Сертификаты открытого ключа Public key certificates

    SSL и безопасность транспортного уровня (SSL/TLS) Secure Sockets Layer/Transport Layer Security (SSL/TLS)

    NTLM для совместимости с системами на базе Microsoft Windows NT 4,0 NTLM, for compatibility with Microsoft Windows NT 4.0-based systems

    Сведения об элементах и процессах см. в схеме интерактивного входа выше. For information about the elements and processes, see the interactive logon diagram above.

    Вход со смарт-картой Smart card logon

    Смарт-карты можно использовать для входа в учетную запись домена, а не для локальных учетных записей. Smart cards can be used to log on only to domain accounts, not local accounts. Проверка подлинности смарт-карты требует использования протокола проверки подлинности Kerberos. Smart card authentication requires the use of the Kerberos authentication protocol. В операционных системах на базе Windows, появившихся в Windows 2000 Server, Реализовано Расширение открытого ключа для первоначального запроса проверки подлинности протокола Kerberos. Introduced in Windows 2000 Server, in Windows-based operating systems a public key extension to the Kerberos protocol’s initial authentication request is implemented. В отличие от шифрования общего секретного ключа, шифрование с открытым ключом является асимметричным, то есть требуются два разных ключа: один для шифрования, другой для расшифровки. In contrast to shared secret key cryptography, public key cryptography is asymmetric, that is, two different keys are needed: one to encrypt, another to decrypt. Вместе ключи, необходимые для выполнения обеих операций, составляют пару закрытых и открытых ключей. Together, the keys that are required to perform both operations make up a private/public key pair.

    Для запуска обычного сеанса входа пользователь должен подтвердить свою личность, предоставив сведения только пользователю и базовой инфраструктуре протокола Kerberos. To initiate a typical logon session, a user must prove his or her identity by providing information known only to the user and the underlying Kerberos protocol infrastructure. Секретные данные представляют собой криптографический общий ключ, полученный из пароля пользователя. The secret information is a cryptographic shared key derived from the user’s password. Общий секретный ключ является симметричным. Это означает, что для шифрования и расшифровки используется один и тот же ключ. A shared secret key is symmetric, which means that the same key is used for both encryption and decryption.

    На следующей схеме показаны элементы и процессы, необходимые для входа с помощью смарт-карты. The following diagram shows the elements and processes required for smart card logon.

    Архитектура поставщика учетных данных смарт-карты Smart Card credential provider architecture

    При использовании смарт-карты вместо пароля пара закрытых и открытых ключей, хранящихся на смарт-карте пользователя, заменяется на общий секретный ключ, который является производным от пароля пользователя. When a smart card is used instead of a password, a private/public key pair stored on the user’s smart card is substituted for the shared secret key, which is derived from the user’s password. Закрытый ключ хранится только на смарт-карте. The private key is stored only on the smart card. Открытый ключ можно сделать доступным для всех пользователей, которым владелец хочет обмениваться конфиденциальной информацией. The public key can be made available to anyone with whom the owner wants to exchange confidential information.

    Дополнительные сведения о процессе входа с помощью смарт-карты в Windows см. в статье как работает вход со смарт-картой в Windows. For more information about the smart card logon process in Windows, see How smart card sign-in works in Windows.

    Биометрический вход Biometric logon

    Устройство используется для записи и создания цифровых характеристик артефакта, например отпечатка. A device is used to capture and build a digital characteristic of an artifact, such as a fingerprint. Это цифровое представление затем сравнивается с образцом того же артефакта, и при успешном сравнении этих двух элементов может возникнуть проверка подлинности. This digital representation is then compared to a sample of the same artifact, and when the two are successfully compared, authentication can occur. Компьютеры под управлением любой из операционных систем, указанных в списке применимые к в начале этого раздела, могут быть настроены на принятие этой формы входа. Computers running any of the operating systems designated in the Applies to list at the beginning of this topic can be configured to accept this form of logon. Однако если биометрическое имя входа настроено только для локального входа, пользователю необходимо предоставить учетные данные домена при доступе к домену Active Directory. However, if biometric logon is only configured for local logon, the user needs to present domain credentials when accessing an Active Directory domain.

    Дополнительные ресурсы Additional resources

    Сведения об управлении учетными данными в процессе входа в систему Windows см. в разделе Управление учетными данными при проверке подлинности Windows. For information about how Windows manages credentials submitted during the logon process, see Credentials Management in Windows Authentication.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *