Share via

Windows 登入案例

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016

這個針對 IT 專業人員的參考主題彙總常見的 Windows 登錄和登入情況。

Windows 作業系統要求所有使用者使用有效的帳戶登錄電腦,以存取本機與網路資源。 基於 Windows 的電腦透過實施登錄程序來保護資源,並驗證使用者。 驗證使用者之後,授權和存取控制技術實作保護資源的第二階段:確定已驗證的使用者是否取得存取資源的授權。

本主題的內容適用於本主題開頭的 Applies to 清單中指定的 Windows 版本。

此外,應用程式和服務可能要求使用者登入以存取應用程式或服務所提供的資源。 登入程序與登錄程序類似,因為需要有效的帳戶和正確的驗證,但登錄資訊會儲存在本機電腦的 Security Account Manager (SAM) 資料庫,以及適用的 Active Directory 中。 登入帳戶和驗證資訊由應用程式或服務管理,並可選擇儲存在本機的 Credential Locker。

若要瞭解驗證如何運作,請參閱 Windows Authentication Concepts。

本主題說明下列案例:

互動式登錄

登錄程序會在當使用者在驗證項目對話方塊中輸入驗證,或將智慧卡插入智慧卡讀卡機,或使用者與生物識別裝置互動時開始。 使用者可以使用本機使用者帳戶或網域帳戶進入電腦,來執行互動式登錄。

下圖顯示互動式登錄元素和登入程序。

Diagram showing the interactive logon elements and logon process

Windows Client Authentication Architecture

本機與網域登錄

使用者為網域登錄提供的驗證包含本機登錄所需的所有元素,例如帳戶名稱和密碼或憑證,以及 Active Directory 網域資訊。 此程序會確認使用者的身分識別至使用者本機電腦上的安全性資料庫或 Active Directory 網域。 無法為網域中的使用者關閉這個強制登錄程序。

使用者可以使用以下兩種方式之一執行互動式登錄電腦:

  • 在本機,當使用者直接實體存取電腦時,或當電腦是電腦網路的一部分時。

    本機登錄會授與使用者存取本機電腦上 Windows 資源的許可權。 本機登錄要求使用者在本機電腦的 Security Accounts Manager (SAM) 中有使用者帳戶。 SAM 以儲存在本地電腦登錄檔中的安全帳戶形式保護和管理使用者和群組資訊。 電腦可以存取網路,但並非必要。 本機使用者帳戶和群組成員資訊可用來管理本機資源的存取。

    除了驗證存取權杖所定義網路電腦上的任何資源之外,網路登錄會授與使用者存取本機電腦上 Windows 資源的許可權。 本機登錄與網路登錄都要求使用者在本機電腦的 Security Accounts Manager (SAM) 中有使用者帳戶。 本地使用者帳戶和群組成員資訊用於管理對本地資源的存取,並且使用者的存取權杖定義在網路電腦上可以存取的資源。

    本機登錄和網路登錄不足以授與使用者及電腦存取和使用網域資源的許可權。

  • 透過 Terminal Services 或 Remote Desktop Services (RDS) 從遠端登入會被進一步限定為遠端互動。

在互動式登錄之後,Windows 代表使用者執行應用程式,並且使用者可以與這些應用程式進行互動。

本機登錄會授與使用者存取本機電腦上的資源或網路電腦上的資源許可權。 如果電腦已加入網域,則 Winlogon 功能會嘗試登錄該網域。

網域登錄會授與使用者存取本機與網域資源的許可權。 網域登錄需要使用者在 Active Directory 中有使用者帳戶。 電腦必須在 Active Directory 網域中擁有帳戶,而且必須實體連線到網路。 使用者還必須具有登錄本機電腦或網域的使用者許可權。 網域使用者帳戶資訊和群組成員資訊用於管理網域和本機資源的存取。

遠端登錄

在 Windows 中,透過遠端登錄存取其他電腦依賴 Remote Desktop Protocol (RDP)。 因為使用者在嘗試遠端連線之前必須已經成功登錄使用者端電腦,所以互動式登錄程序已經成功完成。

RDP 透過 Remote Desktop Client 管理使用者端輸入的驗證。 這些驗證是針對目標電腦的,並且使用者必須在該目標電腦上擁有一個帳戶。 此外,目標電腦必須配置為接受遠端連線。 傳送目標電腦驗證以嘗試執行驗證程序。 如果驗證成功,則使用者會連線到使用提供的驗證可存取的本機及網路資源。

網路登錄

只有在進行使用者、服務或電腦驗證之後,才能使用網路登錄。 在網路登錄期間,程序不會使用驗證項目對話方塊來收集資料。 而是使用先前建立的驗證或其他收集驗證的方法。 此程序會確認使用者對使用者嘗試存取任何網路服務的身分識別。 除非必須提供替代驗證,否則此程序通常對使用者不可見。

為了提供這種型別的驗證,安全系統包括以下驗證機制:

  • Kerberos 第 5 版協定

  • 公開金鑰憑證

  • Secure Sockets Layer/Transport Layer Security (SSL/TLS)

  • Digest

  • NTLM 與基於 Microsoft Windows NT 4.0 的系統相容

有關元素和程序的資訊,請參見上面的互動式登錄圖。

智慧卡登入

智慧卡僅可用於登錄網域帳戶,而非本機帳戶。 智慧卡驗證需要使用 Kerberos 驗證協定。 在 Windows 2000 Server 中引入,在基於 Windows 的作業系統中,實作 Kerberos 協定初始驗證請求的公開金鑰擴充功能。 與共用金鑰密碼相比,公開金鑰密碼是非對稱的,即需要兩個不同的金鑰:一個用於加密,另一個用於解密。 執行兩個操作所需的金鑰一起構成一個私有/公開金鑰對。

若要啟動一般登錄工作階段,使用者必須提供只有使用者才知道的資訊以及基礎 Kerberos 協定基礎架構,來證明其身分。 密碼資訊是從使用者的密碼衍生的密碼編譯共用金鑰。 共用金鑰是對稱的,這表示使用相同的金鑰於加密和解密。

下圖顯示智慧卡登錄所需的元素和程序。

Diagram showing the elements and processes required for smart card logon

Smart Card 驗證供應商架構

當使用智慧卡代替密碼時,儲存在使用者的智慧卡上的私有金鑰/公開金鑰對替換從使用者的密碼匯出的共用金鑰。 私有金鑰僅儲存在智慧卡上。 公開金鑰可以提供給任何與擁有者交換機密資訊的人。

如需有關 Windows 中智慧卡登錄程序的詳細資訊,請參閱智慧卡登入 Windows 的運作方式。

生物識別登錄

一種用於擷取和建構人工製品數位特徵的方式,例如指紋。 然後將該數位表示與同一人工製品的樣本進行比較,並且當兩者成功比較時,可以驗證。 執行本主題開頭的 Applies to 清單中所指定任何作業系統的電腦,都可以設定為接受此登錄形式。 但是,如果生物識別登錄只設定為本機登錄,則使用者在存取 Active Directory 網域時,需要提供網域驗證。

其他資源

有關 Windows 如何管理在登錄程序中提交的憑證資訊,請參閱 Windows Authentication 中的 Credentials Management。

Windows Logon and Authentication Technical Overview