Q1: такая же часто повторяемая история, как и в случае ручного / интерактивного доступа к удаленному компьютеру (ресурс сервера) в рабочей группе - необходимо создать локальную учетную запись с тем же именем пользователя и тем же паролем.Но почему?
A1: Да.См. A3 ниже.
Q2: Если клиентский процесс Windows рабочей группы не может получить доступ к ресурсам на серверном компьютере, не имея предварительно созданной копии такой (локальной) учетной записи на целевом компьютере, означает ли это, что клиент (процесс, компьютер)или пользователь) может получить доступ к ресурсам сервера только после / после входа в систему (открытия сеанса входа в систему) на серверном компьютере?
A2: Да - весь доступ процессов в System1 к ресурсам в System2 должен быть аутентифицирован - за исключениемредкие случаи, когда кто-то настраивал один или несколько ресурсов (и системных политик) в System2 для разрешения анонимного (то есть неаутентифицированного) доступа.Кроме того, Server2 может аутентифицировать только сетевые запросы, которые представляют учетные данные, которые может проверить System2 - либо из учетных записей локальных пользователей и паролей в System2, либо путем обращения к доверенному контроллеру домена (если System2 присоединена к домену).System2 ничего не знает об учетных записях пользователей или «пользовательских контекстах» (тех специальных «учетных записях», как LocalSystem, Interactive, LocalService, которые когда-либо представлены только специальными жестко заданными идентификаторами безопасности), которые относятся только к System1 - включая любого локального пользователя.учетная запись, определенная в System1, и любой из этих специальных идентификаторов безопасности.
Q3: или как понять, что такой доступ невозможен без наличия соответствующей дублированной локальной учетной записи на сервере?
A3:Исключение (и это не исключение, это разработанный случай использования) - это когда System1 аутентифицируется, используя имя пользователя + пароль, которые совпадают в System2.Что вы увидите в сетевом трафике, так это то, что процесс System1 (в настоящее время запущенный, например, как System1 \ UserX) выполнит запрос по сети на ресурс в System2 (например, общий файловый ресурс, объект базы данных, веб-страница).В этот запрос от System1 включены «учетные данные, которые System1 пытается использовать для аутентификации» (это абстрактное обобщение, позволяющее избежать описания вещей, специфичных для какого-либо одного протокола аутентификации - просто имейте это в виду).При других обстоятельствах учетная запись UserX не существует в System2 или имеет другой пароль, поэтому попытка аутентификации не удастся выполнить в System2 и запрос System1 не удастся.Таким образом, System2 предполагает, что UserX должен быть System2 \ UserX, и либо учетная запись не существует, либо пароль не совпадает.
При обстоятельствах, когда совпадают локальные учетные записи, System2 «думает», чтоSystem1 входит в систему не с учетной записью «System1 \ UserX», а с «System2 \ UserX», и, поскольку пароль совпадает, попытка аутентификации завершается успешно.
Q4: У любой учетной записи Windows нет ((NT AUTHORITY \NETWORK SERVICE)? А также многие другие стандартные предварительно созданные учетные записи? Почему они установлены (до присоединения к домену), но не могут использоваться для удаленного доступа к сети и идентификации клиента?
A4: Помните, NETWORK SERVICEне определенная учетная запись (вы не найдете ее в списке апплетов «Локальные пользователи и группы»), а просто SID - и если какой-либо процесс включает этот SID в свой токен (в зависимости от того, как создается процесс с этим токеном)), затем любой ресурс, который разрешает «Сетевой сервис» (что на самом деле означает «любой ресурс, который все«Сетевой сервис SID») для доступа к ресурсу позволит ему пройти.В противном случае сетевая служба - это просто удобная абстракция, и, к сожалению, удобная для пользователя, как правило, усложняет понимание сути ее работы.
Возможно, вы сможете назначить разрешения или привилегии для SID сетевой службы до того, как система будет присоединена к домену, но запросы к удаленным системам будут реагировать по-разному для службы, работающей в качестве сетевой службы, в зависимости от того, подключен ли компьютер домен или нет. При подключении к домену удаленный запрос обычно (в современных версиях Windows) пытается выполнить удаленную аутентификацию с использованием учетной записи компьютера домена для локальной системы. Если он не присоединен к домену, учетные данные, отправленные с удаленным запросом, не будут отправлены, и удаленная система должна будет обрабатывать его как анонимный (т.е. не прошедший проверку подлинности) запрос.
В5: А что такое идентификация, когда процесс из рабочей группы Windows под идентификатором ((NT AUTHORITY \ NETWORK SERVICE) обращается к удаленному серверу?
A5: Как подразумевается в A4, удаленный сервер видит в этом сценарии нет идентификатора.