域的登录模式和过程

域的登录模式和过程

从域的登录模式可从帮助理解为何域能对域中的电脑进行有效的管理。“域账号登录”属于“交互式登录”（即用户通过相应的用户账号和密码进行登录，区别 于“本地登录”）的一种。采用域用户账号登录计算机，系统通过存储在域控制器活动目录中 的数据进彳T验证。如果该用户账号有效，则登录后可以访问到整个域中其有权访问的资源。

交互式登录，系统需要以下组件。·winlon.exe:  “交互式登录”时最重要的组件，它是一个安全进程。·GINA:即图形化识别和验证。·LSA服务：本地安全授权。·SAM数据库：SAM的全称为“Security Account Manager”——安全账号管理器。可以把SAM看成一个账号数据库。·NetLon服务：和NTLM( NT LAN Manager)协同使用。·KDC服务：密钥发布中心服务。·Active Directory服务：计算机加入到域中，需启动该服务。 

登录到域的过程如下。步骤1：用户首先按【CtrI+Alt+Delete】组合键。

步骤2：winlon检测到用户按下【SAS]键（默认为【CtrI+Alt+Delete】组合键），就调 用GINA，由GINA显示登录对话框， 　　　　　　以便用户输入账号和密码。 

步骤3：用户选择所要登录的域并填写账号鸟密码，确定后，GINA将用户输入的信息发 送给LSA进行验证。

步骤4：在用户登录到本机的情况下，LSA将请求发送给Kerberos验证程序包。通过散 列算法，根据用户信息生成一个密钥，并将密钥存储在证书缓存区中。 

步骤5：Kerberos验证程序向KDC（Key Distribution CenteI-密钥分配中心）发送一个 包含用户身份信息和验证预处理数据的验证服务请求，其中包含用户证书和散列算法加密时 间的标记。 

步骤6：KDC接收到数据后，利用自己的密钥对请求中的时间标记进行解密，通过解密 的时间标记判断用户是否有效。

步骤7：如果用户有效，KDC将向用户发送一个TGT（Ticket-Granting Ticket-票据授 予票据）。该TGT( AS  REP)将用户的密　钥进行解密，其中包含会话密钥、该会话密钥指向 的用户名称、该票据的最长生命期及其他一些可能需要的数据和设置等。用户所申请的票据 在KDC的密钥中被加密，并附着在AS REP中。在TGT的授权数据部分包含用户账号的SID 及该用户所属的全局组和通用组的SIDo注意，返回到LSA的SID包含用户的访问令牌。票 据的最长生命期是由域策略决定的。如果票据在活动的会话中超过期限，用户就必须申请新 的票据。 

步骤8：当用户试图访问资源时，客户系统使用TGT从域控制器上的Kerberos TGS请求 服务票据( TGS_REQ)。然后TGS将服务票据(TGS REP)发送给客户。该服务票据是使用 服务器的密钥进行加密的。同时，SID被Kerberos服务从TGT复制到所有的Kerberos服务包 含的子序列服务票据中。 

步骤9：客户将票据直接提交到需要访问的网络服务上，通过服务票据就能证明用户的 身份和其拥有的权限。从域的登录过程可见域管理的严密性。