标签: windows-authentication

我在 Windows 2012、IIS 8.5 下安装了一个需要 Windows 身份验证的应用程序。当某些用户使用该应用程序时，他们会在质询/响应后收到 401 错误。其他人可以毫无问题地使用该网站。用户都碰巧在同一个 AD 组中，但这可能是巧合。

这是处理的请求和响应（该网站是我们内部的，http://lcf - 这是 A 记录，而不是 CNAME）：

要求：

回复：

在安全日志中，这是典型的显示内容：

An account failed to log on.

Subject:
    Security ID:        NULL SID
    Account Name:       -
    Account Domain:     -
    Logon ID:       0x0

Logon Type:         3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:       test1
    Account Domain:     CORP

Failure Information:
    Failure Reason:     Account locked out.
    Status:         0xC0000234
    Sub Status:     0x0

Process Information:
    Caller Process ID:  0x0
    Caller Process Name: …

我的数据库客户端和数据库服务器在不同的机器上，没有连接到同一个域（我的网络主机不支持）。我不想通过连接字符串发送用户名/密码详细信息，并希望使用 Windows 身份验证连接到数据库。

在本文的概述中，它提到了这一点（强调我的）：

当您使用 Windows 身份验证连接到 SQL Server 时，您可以使用 Kerberos 或 NTLM 身份验证，具体取决于您的服务器和域的配置。如果出现以下情况，您可能无法使用 Kerberos 身份验证：

• 您的数据库客户端和数据库服务器由阻止 Kerberos 身份验证的防火墙分隔。

• 您的应用程序服务器和数据库服务器位于不同的域中，互不信任。

在这些情况下，您可以使用镜像本地帐户或 SQL 身份验证。使用镜像本地帐户，您可以在每台服务器上使用相同的用户名和密码配置两个帐户。您必须确保密码保持不变。

我假设这只是意味着在两台机器上创建一个具有相同用户名和密码的 Windows 用户，但是我怀疑这是否可行。当我在数据库客户端上为这个用户添加权限时，它在用户名前面加上服务器名，在数据库服务器上创建数据库登录时也会发生同样的事情。

这是创建镜像本地帐户的意思吗？如果是这样，考虑到用户位于不同的域中，这如何工作？

是否可以使用 Windows 身份验证对 ASP.net 应用程序的一个或多个子文件夹禁用 Windows 身份验证？

例如：

一个网站包含几个其他文件夹，其中包含整个应用程序的部分：/frontend、/backend、/login

bin 文件夹与这些子文件夹位于同一级别，即网站的根目录。

所有这些子文件夹都包含使用位于网站根目录的 bin 文件夹中的二进制文件的页面。

用户在访问后端文件夹中的页面时必须输入 Windows 凭据，但在访问登录或前端文件夹中的页面时则不必输入 Windows 凭据。

我正在使用 IIS7

有任何想法吗？

我的问题与这个问题Changing Windows Domain UserName非常相似，但原始问题没有明确回答我的细微差别。

如果我更改 Windows 用户用户名（例如，如果他们结婚了），我为旧用户名创建的 Sql Server 登录名是否会更新以反映更改，或者我是否必须为更新后的 Windows 用户创建新登录名？

谢谢本

我有一个在 IIS 上运行的网站，该网站使用 Windows 身份验证。

在网站级别，在“身份验证”下，我只Windows Authentication启用了（NTLM 仅作为提供者）。

在虚拟目录级别，在“身份验证”下，我启用了ASP.NET Impersonation和Windows Authentication（NTLM 仅作为提供者）。（ASP.NET Authentication在此处禁用不会改变任何内容）

• 运行IIS的服务器IP地址为： 172.0.0.10
• 运行IIS的服务器的计算机名是： myiisserver
• 运行 IIS 的服务器上的 FQDN 是： myiisserver.mydomain.com
• 存在指向 172.0.0.10 的 DNS“A 记录”： myapp.mydomain.com

在网站绑定上，我有：

Type  |  IP Address      |  Port  |  Host Name
--------------------------------------------------------------
http  |  All Unassigned  |  80    |  localhost
http  |  All Unassigned  |  80    |  myiisserver
http  |  All Unassigned  |  80    |  myiisserver.mydomain.com
http  |  All Unassigned  |  80    |  myapp.mydomain.com …

我有一个具有以下结构的虚拟环境：

• DC：Windows Server 2008
• 客户端：Windows 7

我在 Windows Server 2008 上安装了 Active Directory 并使其在域中januapp.local，然后我utkarsh使用 DC 管理员用户名和密码加入了使用用户名和密码的本地身份验证到域的客户端。它完美地将它添加到域中januapp.local。

因此，当我重新启动客户端计算机并使用相同的用户名和密码登录时utkarsh，它会将我登录到域中januapp.local。所以，那里一切都很好。

问题从这里开始

但是，然后我尝试januapp.local使用管理员用户名和密码将Windows 10 上的主域加入同一个域。

注意：在那个 Windows 10 上，我没有设置任何身份验证来登录我。

当我重新启动 PC 时，在主屏幕上的左下角有another user新的登录选项。当我去那里时，它要求我输入身份验证凭据以加入 januapp。

那时我没有任何特殊的身份验证凭据；我只使用管理员用户名和密码将 Windows 加入域。

是否需要管理员用户名和密码？我试过了，但它说用户名和密码无效。

那么，需要什么样的用户名和密码呢？

我是一名开发人员，很好奇如何使用 Windows 服务器机器。

• A）我相信它们显示交互式登录屏幕，但在没有任何用户登录的情况下运行。
  正确的？

在(*)定义的上下文中，在该帐户下启动的 Windows AD 加入机器由 AD DC（域控制器）识别/保护：

• B) 本地机器账户（(*) 中的表 1 ）
• C) 域机器帐户（(*) 中的表 2 ）

加入 AD 的机器显示登录屏幕，此后允许进行 2 次基本登录：

• 1) 本地用户帐户
• 2) 域用户帐号

在哪种情况下 - B) 或 C) - 在 A) 之后运行以下内容，即在登录屏幕之后，进一步登录的本地用户 1)？

更新 1：
我知道流程的识别、模拟和委托是如何工作的。

这个问题是关于何时启动 Windows 机器并显示带有选项的交互式登录屏幕。

1）在任何（交互式）用户登录之前，它是在哪个机器帐户下启动的？当它显示登录屏幕？

2）
好吧，基本上我正在重写原始问题。

但是，阅读(*) 后，我无法理解为什么根本需要“计算机演示系统的机器 SID”（在表 1 中）。在将机器加入 AD 之前，它不用于访问其他机器，更不用说（将机器加入 AD 之后）似乎需要它。

更新 2：
此外，很难相信加入域之前机器的本地用户帐户与加入后相同。即使对于 AD 计算机的本地帐户，但不是工作组 1，DC 已识别计算机并保护信道。

从这个问题派生的子问题：

• 工作组 Windows 用户（或组）可以使用域帐户吗？但反之亦然？
• Windows AD DC …

我们在 Active Directory 中设置了密码策略，以便在这么多天后使人们的密码过期。好吧，看起来密码到期的时候到了，人们被锁定了......

没有关于用户密码即将到期的警告。他们刚来上班，无法登录，电话不再连接，什么也没有。重置密码，一切正常。

一些用户被锁定，尽管大多数没有，他们只是无法登录。

在设置密码到期时，我没有看到任何有关即将到期的用户也没有警告用户。似乎它曾经在到期前 15 天左右警告您。

客户端包括：WinXP、WinVista、Win7 和 Server 2008R2 远程桌面服务。

如何确保我的用户收到到期警告？

未提示的用户策略结果集：

Account Policies/Password Policy 
  Policy                    Setting                      Winning GPO 
  Enforce password history  10 passwords remembered      Default Domain Policy 
  Maximum password age      270 days                     Default Domain Policy 
  Minimum password age      0 days                       Default Domain Policy 
  Minimum password length   4 characters                 Default Domain Policy 
  Password must meet complexity requirements Disabled    Default Domain Policy 
  Store passwords using reversible encryption Disabled   Default Domain Policy 

Account Policies/Account Lockout Policy
  Policy                              Setting …

我是一个带着“自己的装备”去工作的人。在这个新的演出中，我必须以域用户的身份运行一些应用程序。

我 shift +“右键单击”-> 以其他用户身份运行并插入域凭据，但这失败了。如果我坐在同事的机器上（它是域的成员），则身份验证有效，但在我的机器上则无效。

此应用程序需要以域用户身份运行，因为它从网络复制文件。

如何为 AD 用户分配多个用户登录名，以便他/她可以无缝验证？

下面是一个例子：

• 用户名1： FJohnson
• 用户名2： domain\Fjohnson
• 用户名3： FJohnson@domain.com

假设机器始终连接到域。

一个实际情况：当密码过期时，用户需要提供一个新密码，这会影响LYNC（Onsite）和Exchange（Onsite）等服务，我们的用户对使用哪个用户名感到困惑。

我发现这篇文章添加用户主体名称后缀 我按照说明添加domain.com为新后缀，但我无法使用用户名登录：FJohnson@domain.com。（当然Fjohnson和domain/FJohnson作品）