Ele é chamado de autenticação NTLM de passagem e está documentado no artigo do NTLM TechNet . Veja a seção intitulada Pass-through authentication na parte inferior.
O serviço NetLogon implementa a autenticação de passagem. Ele executa as seguintes funções:
-
Seleciona o domínio para passar a solicitação de autenticação.
-
Seleciona o servidor no domínio.
-
Passa a solicitação de autenticação para o servidor selecionado.
A seleção do domínio é direta. O nome do domínio é passado para o LsaLogonUser. O nome de domínio é processado da seguinte forma:
-
Se o nome do domínio corresponder ao nome do banco de dados SAM, a autenticação será processada nesse computador. Em uma estação de trabalho Windows que seja membro de um domínio, o nome do banco de dados SAM é considerado o nome do computador. Em um controlador de domínio do Active Directory, o nome do banco de dados da conta é o nome do domínio. Em um computador que não é membro de um domínio, todos os logons processam solicitações localmente.
-
Se o nome de domínio especificado for confiável para esse domínio, a solicitação de autenticação será passada para o domínio confiável. Nos controladores de domínio do Active Directory, a lista de domínios confiáveis está facilmente disponível. Em um membro de um domínio do Windows, a solicitação é sempre passada para o domínio principal da estação de trabalho, permitindo que o domínio principal determine se o domínio especificado é confiável.
-
Se o nome de domínio especificado não for confiável para o domínio, a solicitação de autenticação será processada no computador que está sendo conectado como se o nome de domínio especificado fosse esse nome de domínio. O NetLogon não diferencia entre um domínio inexistente, um domínio não confiável e um nome de domínio digitado incorretamente.