Windows 驗證架構

適用於: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

本概觀主題為 IT 專業人員說明 Windows 驗證的基本架構配置。

驗證是由其系統會驗證使用者的登入或登入資訊的程序。使用者名稱和密碼比較已授權的清單，以及如果系統偵測到相符項目，授與該使用者的權限清單中指定之範圍內的存取權。

可延伸的架構的一部分，Windows Server 作業系統會實作一組預設的驗證安全性支援提供者，其中包括交涉、 Kerberos 通訊協定、 NTLM、安全通道 (安全通道) 和摘要。這些提供者所使用的通訊協定啟用的使用者、電腦及服務的驗證和驗證程序可讓授權的使用者和服務以安全的方式存取資源。

在 Windows Server 中的應用程式驗證使用者使用 SSPI 摘錄進行驗證的呼叫。因此，開發人員不需要了解特定驗證通訊協定的複雜性或他們的應用程式中建立的驗證通訊協定。

Windows Server 作業系統包含一組安全性元件構成 Windows 安全性模型。這些元件會確保應用程式無法獲得資源而不需要驗證和授權的存取權。下列各節描述驗證架構的元素。智慧卡驗證述Windows 智慧卡技術參考。

本機安全性授權

本機安全性授權 (LSA) 是受保護的子系統負責驗證並登入本機電腦的使用者。此外，LSA 會維護所有層面資訊的本機安全性群組的電腦上 (這些層面統稱為本機安全性原則)。它也提供各種服務的名稱與安全性識別碼 (Sid) 之間的轉譯。

安全性原則和電腦系統上的帳戶會追蹤的安全性子系統。在網域控制站、這些原則和帳戶則是作用中的網域控制站所在的網域。這些原則和帳戶儲存在 Active Directory 中。 LSA 子系統可提供驗證物件的存取權的服務、檢查使用者權限和產生稽核訊息。

安全性支援提供者介面 (SSPI) 是取得驗證、訊息完整性、訊息隱私權和安全性品質服務的分散式應用程式中的任何通訊協定的整合式的安全性服務的 API。

SSPI 是實作的一般安全性服務 API (GSSAPI)。 SSPI 提供分散式應用程式可以用呼叫其中一個安全性提供者以取得詳細資料的安全性通訊協定已驗證的連線不知情的狀況下的機制。