Table of contents
TOC
콘텐츠의 테이블 축소
콘텐츠의 테이블 확장

Windows 로그온 시나리오

Corey Plett|마지막 업데이트: 2016-12-06
|
1 기고자

적용 대상: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

IT 전문가이 참조 항목에는 일반적인 Windows 로그온 및 로그인 시나리오 요약 되어 있습니다.

Windows 운영 체제에 유효한 계정으로 컴퓨터에 로그온 및 네트워크 리소스에 모든 사용자가 필요합니다. Windows 기반 컴퓨터 사용자 인증 로그온 프로세스를 구현 하 여 리소스의 보안을 유지 합니다. 사용자가 인증 후 권한 부여 및 액세스 제어 기술 리소스를 보호 하는 두 번째 단계를 구현??? 인증 된 사용자가 리소스에 액세스할 수 있는 권한이 경우 확인 합니다.

이 항목의 내용에 지정 된 Windows 버전에 적용는 적용할 이 항목의 시작 부분에는 목록.

또한 응용 프로그램 및 서비스에 로그인 응용 프로그램이 나 서비스에서 제공 되는 이러한 리소스에 액세스 하는 사용자를 필요할 수 있습니다. 로그인 프로세스 유효한 계정과 올바른 자격 증명이 필요 하지만 로그온 정보 저장 하는 Active Directory 로컬 컴퓨터에 보안 계정 관리자 (SAM) 데이터베이스에 해당 하는 경우 로그온 프로세스와 비슷합니다. 로그인 계정 및 자격 증명 응용 프로그램이 나 서비스에서 관리 하는 정보와 선택적으로 자격 증명 보관에 로컬로 저장 될 수 있습니다.

인증의 작동 방식을 이해 하려면 참조 Windows 인증 개념.

이 항목에서는 다음과 같은 시나리오를 설명 합니다.

대화형 로그온

로그온 프로세스에는 사용자가 자격 증명 항목 대화 상자에서 자격 증명을 입력 하거나 사용자 스마트 카드 판독기에 스마트 카드를 삽입 하는 경우 또는 생체 인식 장치와 상호 작용할 때 시작 됩니다. 사용자가 컴퓨터에 로그온 할 때 로컬 사용자 계정이 나 도메인 계정을 사용 하 여 대화형 로그온을 수행할 수 있습니다.

다음 다이어그램은 대화형 로그온 요소 및 로그온 프로세스를 보여 줍니다.

대화형 로그온 요소 및 로그온 프로세스를 보여 주는 다이어그램

Windows 클라이언트 인증 아키텍처

로컬 및 도메인 로그온

사용자는 도메인 로그온에 제공 하는 자격 증명 계정 이름 및 암호 또는 인증서를 Active Directory 도메인 정보 등의 로컬 로그온에 필요한 모든 요소를 포함 합니다. 프로세스는 Active Directory 도메인 또는 사용자의 로컬 컴퓨터의 보안 데이터베이스에 대 한 사용자 id를 확인합니다. 이 필수 로그온 프로세스는 도메인의 사용자가 해제할 수 없습니다.

사용자는 두 가지 방법 중 하나로 컴퓨터로 대화형 로그온을 수행할 수 있습니다.

  • 로컬에서 때 사용자 권한이 직접 물리적 컴퓨터에 또는 컴퓨터의 네트워크의 일부인 컴퓨터.

    로컬 컴퓨터에 Windows 리소스에 액세스 하는 사용자 권한을 부여 하는 로컬 로그온 합니다. 로컬 로그온은 사용자가 사용자 계정을 로컬 컴퓨터에 보안 계정 관리자 (SAM)에 필요 합니다. SAM 보호 하 고 사용자 및 로컬 컴퓨터 레지스트리에 저장 된 보안 계정 형태로 그룹 정보를 관리 합니다. 컴퓨터의 네트워크 액세스 수 있지만 필요 하지 않습니다. 로컬 사용자 계정 및 그룹 구성원 정보는 로컬 리소스에 대 한 액세스를 관리 하는 데 사용 됩니다.

    자격 증명의 액세스 토큰에 의해 정의 된 대로 네트워크에 연결 된 컴퓨터에서 모든 리소스 외에 로컬 컴퓨터에 Windows 리소스에 액세스 하는 사용자 권한을 부여 하는 네트워크 로그온 합니다. 로컬 로그온와 네트워크 로그온은 사용자가 사용자 계정을 로컬 컴퓨터에 보안 계정 관리자 (SAM)에 필요 합니다. 로컬 사용자 계정 및 그룹 구성원 정보는 로컬 리소스에 대 한 액세스를 관리 하는 데 하 고 사용자에 대 한 액세스 토큰 리소스 네트워크 컴퓨터에 액세스할 수을 정의 합니다.

    로컬 로그온 하 고 네트워크 로그온에 액세스 하 고 도메인 리소스를 사용 하 여 사용자와 컴퓨터 권한을 부여 하는 충분 하지 않습니다.

  • 원격으로 통해 터미널 서비스 또는 RDS 원격 데스크톱 서비스 (), 로그온 사례가 더로 한정 된 원격 대화형 합니다.

대화형으로 로그온 한 후 사용자를 대신 하 여 응용 프로그램을 실행 하는 Windows 및 사용자 응용 프로그램과 상호 작용할 수 있습니다.

로컬 컴퓨터에 리소스 액세스 또는 네트워크에 연결 된 컴퓨터에서 리소스에는 사용자 권한을 부여 하는 로컬 로그온 합니다. 컴퓨터는 도메인에 가입, Winlogon 기능 해당 도메인에 로그온 하려고 합니다.

도메인 로그온 로컬 액세스 하려면 사용자 허가 및 도메인 리소스 권한을 부여 합니다. 도메인 로그온 사용자 Active Directory의 사용자 계정이 필요 합니다. 컴퓨터 Active Directory 도메인에 계정이 있어야 하 고 네트워크에 물리적으로 연결 합니다. 사용자가 로컬 컴퓨터 또는 도메인에 로그온 할 사용자 권한이 있어야 합니다. 도메인 사용자 계정 정보 및 그룹 구성원 정보 도메인 및 로컬 리소스에 대 한 액세스를 관리 하는 데 사용 됩니다.

원격 로그온

Windows에서 원격 로그온을 통해 다른 컴퓨터에 액세스 하는 원격 데스크톱 프로토콜 (RDP)에 의존 합니다. 사용자 해야 이미 성공적으로 로그온 클라이언트 컴퓨터에 대 한 원격 연결을 시도 하기 전에, 때문에 대화형 로그온 프로세스 성공적으로 완료 합니다.

RDP 원격 데스크톱 클라이언트를 사용 하 여 사용자가 자격 증명을 관리 합니다. 자격 증명은 대상 컴퓨터를 위한 것 및 사용자는 해당 대상 컴퓨터에 계정이 있어야 합니다. 또한 대상 컴퓨터는 원격 연결을 허용 하도록 구성 되어야 합니다. 대상 컴퓨터 자격 증명 인증 프로세스를 수행 하려고로 전송 됩니다. 인증에 성공 하면 사용자는 로컬에 연결 되어 있고 네트워크 리소스 액세스할 수 있는 제공된 된 자격 증명을 사용 하 여 합니다.

네트워크 로그온

네트워크 로그온 사용자, 서비스 또는 컴퓨터 인증 수행한 후에 사용할 수 있습니다. 네트워크 로그온 하는 동안 프로세스 데이터를 수집 하는 자격 증명 항목 대화 상자를 사용 하지 않습니다. 대신, 이전에 자격 증명을 설정 또는 다른 방법을 자격 증명을 수집 하는 데 사용 됩니다. 이 프로세스는 사용자에 액세스 하려고 하는 모든 네트워크 서비스에 대 한 사용자의 id를 확인 합니다. 대체 자격 증명을 제공 해야 하는 경우에이 프로세스 일반적으로 사용자에 게 표시 되지 않습니다.

이 유형의 인증을 제공 하려면 보안 시스템에는 이러한 인증 메커니즘 포함 됩니다.

  • Kerberos 버전 5 프로토콜

  • 공개 키 인증서

  • 보안 소켓 계층/전송 계층 보안 (SSL/TLS)

  • 다이제스트

  • Microsoft Windows NT 4.0 호환 NTLM??? 기반된 시스템의 경우

요소 및 프로세스에 대 한 자세한 내용은 위의 대화형 로그온 다이어그램을 참조 하세요.

스마트 카드 로그온

스마트 카드 로그온 하지 로컬 계정 도메인 계정에만 사용할 수 있습니다. 스마트 카드 인증 Kerberos 인증 프로토콜을 사용을 해야 합니다. Windows 2000 서버에서 Windows 기반 운영 체제에서 공개 키 확장을 소개 Kerberos 프로토콜의 초기 인증 요청 구현 됩니다. 공유 비밀 키 암호화와 달리 공개 키 암호화는 비대칭, 즉, 두 개의 서로 다른 키가 필요한??? 암호를 해독 하는 다른 암호화 하나입니다. 함께 두 작업을 수행 하는 데 필요한 키를 개인/공개 키 쌍을 만듭니다.

일반적인 로그온 세션을 시작 하려면 사용자만 사용자에 게 기본 Kerberos 프로토콜 인프라 알려진 정보를 제공 하 여 신원을 증명 해야 합니다. 비밀 정보 사용자 암호에서 파생 된 공유 암호화 키입니다. 공유 비밀 키가는 대칭, 암호화와 암호 해독에 동일한 키 사용 한다는 의미입니다.

다음 다이어그램은 요소 및 필요한 스마트 카드 로그온 프로세스를 보여 줍니다.

요소 및 필요한 스마트 카드 로그온 프로세스를 보여 주는 다이어그램

스마트 카드 자격 증명 공급자 아키텍처

스마트 카드는 암호 대신 사용 하는 개인/공개 키 쌍 사용자의 스마트 카드에 저장 된 사용자 암호에서 파생 되는 공유 비밀 키를 대체 됩니다. 개인 키만 스마트 카드에 저장 됩니다. 공개 키 수 사용할 수 사람이 소유자 기밀 정보를 교환 하려는 모든 사용자에 게.

Windows의 스마트 카드 로그온 프로세스에 대 한 자세한 내용은 참조 스마트 카드 로그인 작동 방식을 Windows에서.

생체 인식 로그온

장치를 캡처 및 빌드 아티팩트, 지문 등의 디지털 특성 사용 됩니다. 이 디지털 표현은 동일한 아티팩트의 샘플에 비해 다음 하 고 두 성공적으로 비교 하 여, 인증 발생할 수 있습니다. 에 지정 된 운영 체제를 실행 하는 컴퓨터는 적용할 이 항목의 시작 부분에 목록이이 형태의 로그온을 허용 하도록 구성할 수 있습니다. 그러나 로컬 로그온 생체 인식 로그온만 구성 하는 경우 사용자 Active Directory 도메인에 액세스할 때 도메인 자격 증명을 제공 해야 합니다.

추가 리소스

Windows 로그온 과정 자격 증명을 관리 하는 방법에 대 한 내용은 Windows 인증에서 자격 증명 관리.

Windows 로그온 및 인증 기술 개요

© 2017 Microsoft