Читаю книгу по курсу 6425b Configuring and Troubleshooting Windows Server 2008 Active Directory Domain Services. Столкнулся с непонятным моментом.
Цитата:
1-11 Access Tokens
After a user has been authenticated, the Local Security Authority (LSA) generates a security access token (also called a security token or access token) that represent the user to system by collecting the user's SID and the SID of all groups to which the user belongs. The access token also represent priviligies (also called user rights) held by the user on the system, for example the right to shut down the system or even right to log on to the system interactively (locally).
It is important to remember that the access token is generated and held locally, on the computer that authenticated the user. When a user logs on to his or her desktop (local or interactive logon), the desktop creates a security token and, assuming the user has the right to log on to the system interactively, procceds to invoke the Windows Explorer proccess, which creates desktop.
When a user then connects to a server to access a shraed file (remote or network logon), the server authenticates the user and generates an access token on the server that represents the user with the user's SID and SID of all group to which that user belong. The access token on the server is distinkt from the access token on the user's desktop. An access token is ever transmitted over the network, and SLA of a Windows system would never accept the access token generated by another LSA.
|
Ну в общем то все понятно, при аутентификации пользователя, генерируется токен, который информирует систему об уровне доступа пользователя к ресурсам. При локальной аутентификации, токен генерируется локальной системой, при аутентификации на сервере, токен генерируется сервером. По сети токен не распространяется. Собственно в этом и загвоздка. А как же тогда происходит доменная аутентификация? В том плане, что если токен по сети не распространяется, то каким образом происходит разграничение доступа к локальным ресурсам рабочей станции в зависимости от уровня доступа, задаваемом на контроллере домена?
Логично было бы послать меня в гугл, но тогда я уйду далеко от чтения этого курса. Если можно как-нибудь по короче и чтобы не возникало еще тысячу и один дополнительный вопрос.
Благодарю.
