O Active Directory envia um token de acesso do usuário pela rede?

Navegue suas respostas
3

Pergunta: o AD envia o token de acesso de um usuário pela rede?

Pesquisa: As duas passagens seguintes contradizem-se - dado que os TGTs são transmitidos através da rede pelo design.

A partir da quinta edição do Active Directory por Oreilly:

Most importantly, the user's access token is stored in the TGT. The access token includes important information such as what groups a user is a member of, the user's NT rights, and Dynamic Access Control (DAC) claims.

Do Kit de Recursos do Active Directory do Windows Server 2008 da Microsoft Press:

The access token is used by the security subsystem whenever a user tries to access a resource. When the user tries to access a local resource, the token is presented by the client workstation to any thread or application that requests security information before allowing access to a resource. The access token is never transmitted across the network to another computer; rather, a local access token is created on each server where the user tries to access a resource. For example, when a user tries to access a mailbox on a server running Exchange Server 2007, an access token is created on the server.

    
por mellow-yellow 24.06.2016 / 16:14

2 respostas

2

Essas descrições são um pouco vagas. Existem dois tokens. Um processo Access Token e um token Kerberos. O token de processo é específico para o computador local.

"Na implementação do Windows, o servidor de aplicativos deriva os dados de autorização (PAC) e solicita que o sistema operacional Windows gere um token de acesso."

link

O Kerberos TGT contém dados de autorização, uma assinatura e, na implementação do Kerberos no Microsoft Active Directory, uma extensão conhecida como PAC (Privilege Attribute Certificate). O PAC contém informações de Identidade do Usuário, SIDs do grupo, Direitos / Privilégios do Usuário, informações do Perfil do Usuário, dados de autorização do controlador de domínio, informações do computador cliente e credenciais / senha protegidas.

O token de acesso do processo que é criado combina / mescla qualquer política / direitos / privilégios / grupos de segurança local com o especificado no PAC do TGT.

Se o token de acesso criado for um token de representação em nível de delegação, ele poderá ser usado para acessar recursos em computadores remotos, porque um token de delegação contém as credenciais protegidas. Apesar de um novo processo, o Access Token é criado nos computadores remotos.

Como funcionam os tokens de acesso link

[MS-PAC]: Estrutura de dados de certificado de atributo de privilégio
link

    
por 25.06.2016 / 16:25
0

amarelo,

as informações do kit de recursos do AD de 2008 estão corretas, os tokens de acesso são criados por sistemas locais e, em seguida, anexados a segmentos que o usuário está executando. há algumas informações muito boas aqui:

link

e aqui

link

embora o segundo link seja um pouco antigo.

    
por 25.06.2016 / 14:26

Tags

O Wireshark não está mostrando minha interface de rede? O site Nginx não foi pego