各位都知道,工作組下本地使用者登入需要到本地的sam資料庫中做身份驗證,而域使用者如果在域內的客戶機上登入,需要到ad資料庫中作身份驗證。我在這裡僅以域使用者為例來說明使用者的詳細的登入過程。
如果是你是域使用者,在域內的客戶機登入,必須選擇登入到域,此時你的這台計算機會到dns伺服器上找到該域的dc是誰,由dc負責對使用者的身份進行驗證,如果驗證通過,那麼該使用者就能正常登入。那麼dc除了驗證使用者的是ad資料庫中合法使用者,到底還會做什麼呢?
其實,當使用者在本地登入到域時,dc驗證使用者身份通過後,會替使用者建立乙個訪問令牌(access token),其中包含著該使用者的sid及使用者所屬所有組的sid(關於通用組的sid,需要聯絡gc,當然如果該域的域功能級別如果是win2000 mixed,就不檢查通用組情況。此外不管使用者是否加入過通用組,該dc都將聯絡gc來檢查)。如果dc能成功聯絡上gc,該使用者的訪問令牌正常生成,使用者也就能順利登入成功,如果此時聯絡不上gc,那該使用者也就拿不到訪問令牌,當然也就無法登入到域,這就是為什麼我們會在上篇
活動目錄系列之五:單域環境的實現(多站點)下--優化的原因。如下圖所示:
如果使用者拿到訪問令牌,登入成功,你要是訪問某台本域內計算機的共享資源時,則必須出示訪問令牌。從而來決定使用者將擁有何種許可權來訪問。
注意:因此當乙個使用者登入域後,你才將使用者加入到某個組,因為使用者的訪問令牌中並不包含本組的sid,故有關本組的許可權該使用者也不會有。比如你建立共享並設定相應的該組的訪問許可權,其實該使用者並不能訪問,除非你讓該使用者重新登入再次生成訪問令牌後方可。
下面討論一下跨域資源的訪問:使用者user1屬於a域,登入成功後,要訪問b域資源。
使用者user1登入a域成功,獲得訪問令牌,具備了訪問該域資源的能力,但如果要訪問b域資源,必須有b域的那台共享資源的計算機傳送訪問令牌。故該使用者會依據信任路徑,依次找到那台計算機所屬域的gc,由那台gc傳送給使用者「服務票據」,使用者拿著該票據,再到那台計算機上獲得訪問令牌。從而才能訪問其共享資源。
注意:這個過程,user1會通過逐級訪問gc,才能找到那個域的。
敏捷開發使用者故事系列之三 使用者建模
這是敏捷開發使用者故事系列的第三篇。之一,之二,之三,之四,之五,之六,之七,之八,之九 使用者建模的目的,是為了更好地分析使用者行為和使用者價值,並因此獲得商機。有一次培訓中,分組建模的時候,一位學員就自言自語地說了一句話 真的啊 我好像不知道誰會使用我的產品 這其實是一種常見的現象。比如前文所說...
敏捷開發使用者故事系列之三 使用者建模
這是敏捷開發使用者故事系列的第三篇。之一,之二,之三,之四,之五,之六,之七,之八,之九 使用者建模的目的,是為了更好地分析使用者行為和使用者價值,並因此獲得商機。有一次培訓中,分組建模的時候,一位學員就自言自語地說了一句話 真的啊 我好像不知道誰會使用我的產品 這其實是一種常見的現象。比如前文所說...
敏捷開發使用者故事系列之三 使用者建模
這是敏捷開發使用者故事系列的第三篇。之一,之二,之三,之四,之五,之六,之七,之八,之九 使用者建模的目的,是為了更好地分析使用者行為和使用者價值,並因此獲得商機。有一次培訓中,分組建模的時候,一位學員就自言自語地說了一句話 真的啊 我好像不知道誰會使用我的產品 這其實是一種常見的現象。比如前文所說...