Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
BT uzmanlarına yönelik bu genel bakış konusu, Windows kimlik doğrulaması için temel mimari düzeni açıklar.
Kimlik doğrulaması, sistemin kullanıcının oturum açma veya oturum açma bilgilerini doğrulama işlemidir. Kullanıcının adı ve parolası yetkili bir listeyle karşılaştırılır ve sistem bir eşleşme algılarsa, bu kullanıcı için izin listesinde belirtilen ölçüde erişim verilir.
Genişletilebilir mimarinin bir parçası olarak, Windows Server işletim sistemleri Anlaşma, Kerberos protokolü, NTLM, Schannel (güvenli kanal) ve Özet'i içeren varsayılan bir kimlik doğrulama güvenlik destek sağlayıcıları kümesi uygular. Bu sağlayıcılar tarafından kullanılan protokoller kullanıcıların, bilgisayarların ve hizmetlerin kimlik doğrulamasına olanak tanır ve kimlik doğrulama işlemi, yetkili kullanıcıların ve hizmetlerin kaynaklara güvenli bir şekilde erişmesini sağlar.
Windows Server'da uygulamalar, kimlik doğrulaması çağrılarını soyutlama amacıyla SSPI kullanarak kullanıcıların kimliğini doğrular. Bu nedenle geliştiricilerin belirli kimlik doğrulama protokollerinin karmaşıklıklarını anlaması veya uygulamalarında kimlik doğrulama protokolleri oluşturması gerekmez.
Windows Server işletim sistemleri, Windows güvenlik modelini oluşturan bir dizi güvenlik bileşeni içerir. Bu bileşenler, uygulamaların kimlik doğrulaması ve yetkilendirme olmadan kaynaklara erişememesini sağlar. Aşağıdaki bölümlerde kimlik doğrulama mimarisinin öğeleri açıklanmaktadır.
Yerel Güvenlik Yetkilisi
Yerel Güvenlik Yetkilisi (LSA), kullanıcıların kimliğini doğrulayan ve yerel bilgisayarda oturum açmalarını sağlayan korumalı bir alt sistemdir. Buna ek olarak, LSA bir bilgisayarda yerel güvenliğin tüm yönleri hakkında bilgi tutar (bu yönler topluca yerel güvenlik ilkesi olarak bilinir). Ayrıca adlar ve güvenlik tanımlayıcıları (SID) arasında çeviri için çeşitli hizmetler sağlar.
Güvenlik alt sistemi, bir bilgisayar sisteminde bulunan güvenlik ilkelerini ve hesapları izler. Etki alanı denetleyicisi söz konusu olduğunda, bu ilkeler ve hesaplar, etki alanı denetleyicisinin bulunduğu etki alanı için geçerli olan ilkelerdir. Bu ilkeler ve hesaplar Active Directory'de depolanır. LSA alt sistemi nesnelere erişimi doğrulamaya, kullanıcı haklarını denetlemeye ve denetim iletileri oluşturmaya yönelik hizmetler sağlar.
Güvenlik Desteği Sağlayıcısı Arabirimi
Güvenlik Desteği Sağlayıcısı Arabirimi (SSPI), herhangi bir dağıtılmış uygulama protokolü için kimlik doğrulaması, ileti bütünlüğü, ileti gizliliği ve hizmet kalitesi için tümleşik güvenlik hizmetleri alan API'dir.
SSPI, Genel Güvenlik Hizmeti API'sinin (GSSAPI) uygulanmasıdır. SSPI, dağıtılmış bir uygulamanın güvenlik protokolünün ayrıntıları hakkında bilgi sahibi olmadan kimliği doğrulanmış bir bağlantı elde etmek için çeşitli güvenlik sağlayıcılarından birini çağırabileceği bir mekanizma sağlar.