Встроенная проверка подлинности Windows Integrated Windows Authentication

Встроенная проверка подлинности Windows позволяет пользователям выполнять вход с использованием учетных данных Windows, используя Kerberos или NTLM. Integrated Windows authentication enables users to log in with their Windows credentials, using Kerberos or NTLM. Клиент отправляет учетные данные в заголовке авторизации. The client sends credentials in the Authorization header. Проверка подлинности Windows наилучшим образом подходит для среды интрасети. Windows authentication is best suited for an intranet environment. Дополнительные сведения: Проверка подлинности Windows. For more information, see Windows Authentication.

Преимущества Advantages	Недостатки Disadvantages
Встроенные в IIS. Built into IIS.	Не рекомендуется для Интернет приложений. Not recommended for Internet applications.
Не отправляет учетные данные пользователя в запросе. Does not send the user credentials in the request.	Требует поддержки Kerberos или NTLM в клиенте. Requires Kerberos or NTLM support in the client.
Если клиентский компьютер принадлежит к домену (например, к приложению интрасети), пользователю не нужно вводить учетные данные. If the client computer belongs to the domain (for example, intranet application), the user does not need to enter credentials.	Клиент должен находиться в домене Active Directory. Client must be in the Active Directory domain.

Если ваше приложение размещено в Azure и имеется локальный домен Active Directory, рассмотрите возможность Федерации локального AD с Azure Active Directory. If your application is hosted on Azure and you have an on-premise Active Directory domain, consider federating your on-premise AD with Azure Active Directory. Таким образом пользователи смогут входить с использованием локальных учетных данных, но проверка подлинности выполняется Azure AD. That way, users can log in with their on-premise credentials, but the authentication is performed by Azure AD. Дополнительные сведения см. в статье Проверка подлинности Azure. For more information, see Azure Authentication.

Чтобы создать приложение, использующее встроенную проверку подлинности Windows, выберите шаблон «приложение интрасети» в мастере проектов MVC 4. To create an application that uses Integrated Windows authentication, select the «Intranet Application» template in the MVC 4 project wizard. Этот шаблон проекта помещает в файл Web.config следующий параметр: This project template puts the following setting in the Web.config file:

На стороне клиента встроенная проверка подлинности Windows работает с любым браузером, поддерживающим схему проверки подлинности Negotiate , которая включает большинство основных браузеров. On the client side, Integrated Windows authentication works with any browser that supports the Negotiate authentication scheme, which includes most major browsers. Для клиентских приложений .NET класс HttpClient поддерживает проверку подлинности Windows: For .NET client applications, the HttpClient class supports Windows authentication:

Проверка подлинности Windows уязвима для атак с подделкой межсайтовых запросов (CSRF). Windows authentication is vulnerable to cross-site request forgery (CSRF) attacks. См. раздел предотвращение атак с подделкой межсайтовых запросов (CSRF). See Preventing Cross-Site Request Forgery (CSRF) Attacks.

Основные понятия проверки подлинности Windows Windows Authentication Concepts

Область применения. Windows Server (Semi-Annual Channel), Windows Server 2016 Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

В этом справочном разделе описываются понятия, на которых основана проверка подлинности Windows. This reference overview topic describes the concepts on which Windows authentication is based.

Проверка подлинности — это процесс проверки удостоверения объекта или пользователя. Authentication is a process for verifying the identity of an object or person. Задача проверки подлинности объекта заключается в проверке подлинности объекта. When you authenticate an object, the goal is to verify that the object is genuine. При проверке подлинности пользователя целью является проверка того, что пользователь не является фальшивый. When you authenticate a person, the goal is to verify that the person is not an imposter.

В контексте сети проверка подлинности — это подтверждение удостоверения сетевого приложения или ресурса. In a networking context, authentication is the act of proving identity to a network application or resource. Как правило, удостоверение удостоверяется в криптографической операции, которая использует либо только ключ, который знает пользователь (как при использовании шифрования с открытым ключом), либо общий ключ. Typically, identity is proven by a cryptographic operation that uses either a key only the user knows (as with public key cryptography) or a shared key. Во время проверки подлинности на стороне сервера выполняется сравнение подписанных данных с известным криптографическим ключом для проверки попытки проверки подлинности. The server side of the authentication exchange compares the signed data with a known cryptographic key to validate the authentication attempt.

Благодаря тому что криптографические ключи хранятся в безопасном центральном местоположении, процесс проверки подлинности можно масштабировать и поддерживать. Storing the cryptographic keys in a secure central location makes the authentication process scalable and maintainable. Active Directory — это рекомендуемая и используемая по умолчанию технология для хранения сведений об удостоверениях, включая криптографические ключи, которые являются учетными данными пользователя. Active Directory is the recommended and default technology for storing identity information, which include the cryptographic keys that are the user’s credentials. Служба каталогов Active Directory необходима для реализаций NTLM и Kerberos по умолчанию. Active Directory is required for default NTLM and Kerberos implementations.

Методы проверки подлинности основаны на простом входе в операционную систему или в службу или приложение, которое определяет пользователей на основе чего-то, что известно только пользователю, например пароль, к более мощным механизмам обеспечения безопасности, использующим то, что пользователь хас’суч как маркеры, сертификаты открытого ключа, изображения или атрибуты биологических. Authentication techniques range from a simple logon to an operating system or a sign-in to a service or application, which identifies users based on something that only the user knows, such as a password, to more powerful security mechanisms that use something that the user has’such as tokens, public key certificates, pictures, or biological attributes. В бизнес-среде пользователи могут открывать множество приложений на различных типах серверов из одного или многих местоположений. In a business environment, users might access multiple applications on many types of servers within a single location or across multiple locations. Поэтому проверка подлинности должна поддерживать среды для других платформ и других операционных систем Windows. For these reasons, authentication must support environments for other platforms and for other Windows operating systems.

Проверка подлинности и авторизация: аналоговая поездка Authentication and authorization: A travel analogy

Аналоговая передача может помочь объяснить, как работает проверка подлинности. A travel analogy can help explain how authentication works. Чтобы начать путешествие, обычно требуется несколько подготовительных задач. A few preparatory tasks are usually necessary to begin the journey. Путешественника должен доказать свои истинные удостоверения своим узлам. The traveler must prove their true identity to their host authorities. Этот эксперимент может быть в виде подтверждения гражданства, места рождения, личного ваучера, фотографий или того, что требуется для закона страны узла. This proof can be in the form of proof of citizenship, birth place, a personal voucher, photographs, or whatever is required by the law of the host country. Удостоверение путешественника проверяется выдачей Passport, которая аналогична системной учетной записи, выданной и администрируемых организацией — субъектом безопасности. The traveler’s identity is validated by the issuance of a passport, which is analogous to a system account issued and administered by an organization—the security principal. Паспорт и предполагаемое место назначения основаны на наборе правил и нормативных актов, выданных правительственными органами. The passport and the intended destination are based on a set of rules and regulations issued by the governmental authority.

Путешествие The journey

Когда путешественника поступает на международную границу, для него запрашиваются учетные данные, а путешественника представляет свой паспорт. When the traveler arrives at the international border, a border guard asks for credentials, and the traveler presents his or her passport. Процесс состоит из двух этапов: The process is two-fold:

Условие проверяет подлинность паспорта, подтверждая, что он был выдан центром безопасности, который является доверенным для учетных данных локального правительства (по крайней мере, для выдачи паспортов), и проверяет, что паспорт не был изменен. The guard authenticates the passport by verifying that it was issued by a security authority that the local government trusts (trusts, at least, to issue passports) and by verifying that the passport has not been modified.

Условие проверяет подлинность путешественника, проверяя, соответствует ли лицо лицу, изображенному на паспорте, и что другие необходимые учетные данные имеют правильный порядок. The guard authenticates the traveler by verifying that the face matches the face of the person pictured on the passport and that other required credentials are in good order.

Если паспорт считается допустимым и путешественника становится его владельцем, то проверка подлинности прошла успешно, и путешественника может быть разрешен доступ через границу. If the passport proves to be valid and the traveler proves to be its owner, authentication is successful, and the traveler can be allowed access across the border.

Транзитивное отношение доверия между центрами безопасности является основой проверки подлинности; тип проверки подлинности, который выполняется на международной границе, основан на доверии. Transitive trust between security authorities is the foundation of authentication; the type of authentication that takes place at an international border is based on trust. Местный правительственный орган не знает путешественника, но он доверяет этому органу размещения. The local government does not know the traveler, but it trusts that the host government does. Когда правительственный орган узла выпустил паспорт, он не знал путешественника. When the host government issued the passport, it did not know the traveler either. Он доверяет агентству, выдавшего сертификат о рождении, или другую документацию. It trusted the agency that issued the birth certificate or other documentation. Агентство, которое выдавало сертификат о рождении, в свою очередь, доверенный врач, который подписал сертификат. The agency that issued the birth certificate, in turn, trusted the physician who signed the certificate. Врач, следящий за рождением путешественникаа, записывает сертификат с прямым подтверждением подлинности, в данном случае с местом младенец. The physician witnessed the traveler’s birth and stamped the certificate with direct proof of the identity, in this case with the newborn’s footprint. Отношения доверия, передаваемые таким образом через доверенные посредники, являются транзитивными. Trust that is transferred in this way, through trusted intermediaries, is transitive.

Транзитивное доверие является основой сетевой безопасности в архитектуре клиента или сервера Windows. Transitive trust is the foundation for network security in Windows client/server architecture. Отношение доверия проходит по всему набору доменов, например доменному дереву, и формирует связь между доменом и всеми доменами, которые доверяют этому домену. A trust relationship flows throughout a set of domains, such as a domain tree, and forms a relationship between a domain and all domains that trust that domain. Например, если домен A имеет транзитивное доверие с доменом B, а домен б доверяет домену C, то домен A доверяет домену C. For example, if domain A has a transitive trust with domain B, and if domain B trusts domain C, then domain A trusts domain C.

Между проверкой подлинности и авторизацией существует разница. There is a difference between authentication and authorization. При использовании проверки подлинности система подтверждает, что вы с вами сказали. With authentication, the system proves that you are who you say you are. При использовании авторизации система проверяет наличие прав на выполнение действий, которые вы хотите выполнить. With authorization, the system verifies that you have rights to do what you want to do. Чтобы перевести границу на следующий шаг, просто выполните проверку подлинности того, что путешественника является правильным владельцем действительного паспорта, не обязательно авторизует путешественника для ввода страны. To take the border analogy to the next step, merely authenticating that the traveler is the proper owner of a valid passport does not necessarily authorize the traveler to enter a country. Резидентам в определенной стране можно вводить другую страну, просто предоставляя паспорт только в тех случаях, когда введенная страна предоставляет неограниченные разрешения для всех граждан этой страны. Residents of a particular country are allowed to enter another country by simply presenting a passport only in situations where the country being entered grants unlimited permission for all citizens of that particular country to enter.

Аналогичным образом можно предоставить всем пользователям определенные разрешения домена для доступа к ресурсу. Similarly, you can grant all users from a certain domain permissions to access a resource. Любой пользователь, принадлежащий к этому домену, имеет доступ к ресурсу, как и в Канаде, и в США входит Канада. Any user who belongs to that domain has access to the resource, just as Canada lets U.S. citizens enter Canada. Тем не менее, граждан США пытается войти в Бразилии или Индии, чтобы они не могли ввести эти страны только с помощью цифрового паспорта, так как в обеих странах требуется, чтобы в качестве действительного Visa требовалось посетить граждан США. However, U.S. citizens attempting to enter Brazil or India find that they cannot enter those countries merely by presenting a passport because both of those countries require visiting U.S. citizens to have a valid visa. Поэтому проверка подлинности не гарантирует доступа к ресурсам или авторизации для использования ресурсов. Thus, authentication does not guarantee access to resources or authorization to use resources.

Учетные данные Credentials

Паспорт и, возможно, связанные висас — это принятые учетные данные для путешественника. A passport and possibly associated visas are the accepted credentials for a traveler. Однако эти учетные данные могут не позволить путешественника ввести или получить доступ ко всем ресурсам в стране. However, those credentials might not let a traveler enter or access all resources within a country. Например, для участия в конференции требуются дополнительные учетные данные. For instance, additional credentials are required to attend a conference. В Windows можно управлять учетными данными, чтобы предоставить владельцам учетных записей доступ к ресурсам по сети, не требуя повторного предоставления учетных данных. In Windows, credentials can be managed to make it possible for account holders to access resources over the network without repeatedly having to supply their credentials. Этот тип доступа позволяет системе проверять подлинность пользователей один раз, чтобы получить доступ ко всем приложениям и источникам данных, которые им разрешено использовать, не вводя другой идентификатор учетной записи или пароль. This type of access lets users be authenticated one time by the system to access all applications and data sources that they are authorized to use without entering another account identifier or password. Платформа Windows обеспечивает возможность использования единого удостоверения пользователя (обслуживаемого Active Directory) по сети путем локального кэширования учетных данных пользователя в локальном центре безопасности операционной системы (LSA). The Windows platform capitalizes on the ability to use a single user identity (maintained by Active Directory) across the network by locally caching user credentials in the operating system’s Local Security Authority (LSA). Когда пользователь входит в домен, пакеты проверки подлинности Windows прозрачно используют учетные данные для предоставления единого входа при проверке подлинности учетных данных в сетевых ресурсах. When a user logs on to the domain, Windows authentication packages transparently use the credentials to provide single sign-on when authenticating the credentials to network resources. Дополнительные сведения об учетных данных см. в разделе процессы учетных данных при проверке подлинности Windows. For more information about credentials, see Credentials Processes in Windows Authentication.

Многофакторная идентификация для путешественника может быть требованием предоставления и представления нескольких документов для проверки подлинности удостоверений, таких как паспорт и сведения о регистрации конференции. A form of multi-factor authentication for the traveler might be the requirement to carry and present multiple documents to authenticate his identity such as a passport and conference registration information. Windows реализует эту форму или проверку подлинности с помощью смарт-карт, виртуальных смарт-карт и биометрических технологий. Windows implements this form or authentication through smart cards, virtual smart cards, and biometric technologies.

Субъекты безопасности и учетные записи Security principals and accounts

В Windows любой пользователь, служба, группа или компьютер, которые могут инициировать действие, являются субъектом безопасности. In Windows, any user, service, group, or computer that can initiate action is a security principal. Субъекты безопасности имеют учетные записи, которые могут быть локальными для компьютера или быть основаны на домене. Security principals have accounts, which can be local to a computer or be domain-based. Например, компьютеры, присоединенные к домену клиента Windows, могут участвовать в сетевом домене путем взаимодействия с контроллером домена, даже если никто из пользователей не вошел в систему. For example, Windows client domain-joined computers can participate in a network domain by communicating with a domain controller even when no human user is logged on. Чтобы инициировать обмен данными, компьютер должен иметь активную учетную запись в домене. To initiate communications, the computer must have an active account in the domain. Прежде чем принимать подключения от компьютера, локальный центр безопасности на контроллере домена проверяет подлинность удостоверения компьютера, а затем определяет контекст безопасности компьютера так же, как и для участника безопасности. Before accepting communications from the computer, the local security authority on the domain controller authenticates the computer’s identity, and then defines the computer’s security context just as it would for a human security principal. Этот контекст безопасности определяет удостоверение и возможности пользователя или службы на определенном компьютере, а также пользователя, службы, группы или компьютера в сети. This security context defines the identity and capabilities of a user or service on a particular computer or a user, service, group, or computer on a network. Например, он определяет ресурсы, такие как файловый ресурс или принтер, к которым можно получить доступ, и действия, такие как чтение, запись или изменение, которые могут быть выполнены пользователем, службой или компьютером на этом ресурсе. For example, it defines the resources, such as a file share or printer, that can be accessed and the actions, such as Read, Write, or Modify, that can be performed by a user, service, or computer on that resource. Дополнительные сведения см. в разделе субъекты безопасности. For more information, see Security Principals.

Учетная запись — это средство для распознавания клаимант—пользователя или службы, запрашивающего доступ или ресурсы. An account is a means to identify a claimant—the human user or service—requesting access or resources. Путешественника, который владеет подлинным паспортом, обладает учетной записью, содержащей страну узла. The traveler who holds the authentic passport possesses an account with the host country. Пользователи, группы пользователей, объекты и службы могут иметь отдельные учетные записи или учетные записи общего доступа. Users, groups of users, objects, and services can all have individual accounts or share accounts. Учетные записи могут быть членами групп и могут назначать определенные права и разрешения. Accounts can be member of groups and can be assigned specific rights and permissions. Учетные записи могут быть ограничены локальным компьютером, Рабочей группой, сетью или назначены членство в домене. Accounts can be restricted to the local computer, workgroup, network, or be assigned membership to a domain.

Встроенные учетные записи и группы безопасности, в которых они являются членами, определяются в каждой версии Windows. Built-in accounts and the security groups, of which they are members, are defined on each version of Windows. С помощью групп безопасности можно назначить одни и те же разрешения безопасности для многих пользователей, которые успешно прошли проверку подлинности, что упрощает администрирование доступа. By using security groups, you can assign the same security permissions to many users who are successfully authenticated, which simplifies access administration. Правила для выдачи паспортов могут потребовать, чтобы путешественника были назначены определенным группам, например «Бизнес», «таурист» или «правительственные учреждения». Rules for issuing passports might require that the traveler be assigned to certain groups, such as business, or tourist, or government. Этот процесс обеспечивает согласованность разрешений безопасности во всех членах группы. This process ensures consistent security permissions across all members of a group. Использование групп безопасности для назначения разрешений означает, что Управление доступом к ресурсам остается постоянным, и его можно легко контролировать и подвергать аудиту. By using security groups to assign permissions means that access control of resources remains constant and easy to manage and audit. Добавляя и удаляя пользователей, которым требуется доступ из соответствующих групп безопасности по мере необходимости, можно максимально ограничить частоту изменений в списках управления доступом (ACL). By adding and removing users who require access from the appropriate security groups as needed, you can minimize the frequency of changes to access control lists (ACLs).

Автономные управляемые учетные записи служб и виртуальные учетные записи появились в Windows Server 2008 R2 и Windows 7 для предоставления необходимых приложений, таких как Microsoft Exchange Server и службы IIS (IIS), с изоляцией собственных доменных учетных записей, одновременно устраняя необходимость администратора вручную администрировать имя участника-службы (SPN) и учетные данные для этих учетных записей. Standalone managed service accounts and virtual accounts were introduced in Windows Server 2008 R2 and Windows 7 to provide necessary applications, such as Microsoft Exchange Server and Internet Information Services (IIS), with the isolation of their own domain accounts, while eliminating the need for an administrator to manually administer the service principal name (SPN) and credentials for these accounts. Групповые управляемые учетные записи служб появились в Windows Server 2012 и предоставляют те же функциональные возможности в домене, но также расширяют функциональные возможности нескольких серверов. Group managed service accounts were introduced in Windows Server 2012 and provides the same functionality within the domain but also extends that functionality over multiple servers. При подключении к службе, размещенной на ферме серверов, например к службе балансировки сетевой нагрузки, для протоколов взаимной проверки подлинности требуется, чтобы все экземпляры служб использовали один и тот же субъект. When connecting to a service hosted on a server farm, such as Network Load Balance, the authentication protocols supporting mutual authentication require that all instances of the services use the same principal.

Дополнительные сведения об учетных записях см. в следующих статьях: For more information about accounts, see:

Делегированная аутентификация Delegated authentication

Для использования аналогового пути в странах могут выдаваться те же права доступа ко всем участникам официального правительственного делегирования, если они хорошо известны. To use the travel analogy, countries might issue the same access to all members of an official governmental delegation, just as long as the delegates are well-known. Это делегирование позволяет одному участнику работать с полномочиями другого участника. This delegation lets one member act on the authority of another member. В Windows делегированная проверка подлинности происходит, когда сетевая служба принимает запрос на проверку подлинности от пользователя и предполагает, что это удостоверение пользователя, чтобы инициировать новое подключение к второй сетевой службе. In Windows, delegated authentication occurs when a network service accepts an authentication request from a user and assumes the identity of that user in order to initiate a new connection to a second network service. Для поддержки делегированной проверки подлинности необходимо установить серверы переднего плана или сервера первого уровня, например веб-серверы, которые отвечают за обработку запросов проверки подлинности клиентов, а также серверные или n-уровневые серверы, например большие базы данных, которые отвечают за хранение информации. To support delegated authentication, you must establish front-end or first-tier servers, such as web servers, that are responsible for handling client authentication requests and back-end or n-tier servers, such as large databases, that are responsible for storing information. Вы можете делегировать право на настройку делегированной проверки подлинности для пользователей в Организации, чтобы сократить административную нагрузку на администраторов. You can delegate the right to set up delegated authentication to users in your organization to reduce the administrative load on your administrators.

Установив службу или компьютер в качестве доверенного для делегирования, вы разрешите этой службе или компьютеру завершить делегированную проверку подлинности, получить билет для пользователя, выполняющего запрос, а затем получить доступ к сведениям для этого пользователя. By establishing a service or computer as trusted for delegation, you let that service or computer complete delegated authentication, receive a ticket for the user who is making the request, and then access information for that user. Эта модель запрещает доступ к данным на внутренних серверах только тем пользователям или службам, которые представляют учетные данные с правильными маркерами контроля доступа. This model restricts data access on back-end servers just to those users or services that present credentials with the correct access control tokens. Кроме того, он обеспечивает аудит доступа к этим внутренним ресурсам. In addition, it allows for access auditing of those back-end resources. Если требуется, чтобы все данные были доступны через учетные данные, которые делегируются серверу для использования от имени клиента, убедитесь, что сервер не может быть скомпрометирован и что можно получить доступ к конфиденциальным сведениям, хранящимся на других серверах. By requiring that all data be accessed by means of credentials that are delegated to the server for use on behalf of the client, you ensure that the server cannot be compromised and that you can gain access to sensitive information that is stored on other servers. Делегированная проверка подлинности полезна для многоуровневых приложений, предназначенных для использования возможностей единого входа на нескольких компьютерах. Delegated authentication is useful for multitier applications that are designed to use single sign-on capabilities across multiple computers.

Проверка подлинности в отношениях доверия между доменами Authentication in trust relationships between domains

Большинство организаций, имеющих более одного домена, имеют законную потребность в доступе пользователей к общим ресурсам, расположенным в другом домене, так же как путешественника разрешается перемещать в разные регионы в стране. Most organizations that have more than one domain have a legitimate need for users to access shared resources that are located in a different domain, just as the traveler is permitted travel to different regions in the country. Управление этим доступом требует, чтобы пользователи в одном домене также могли проходить проверку подлинности и авторизованы для использования ресурсов в другом домене. Controlling this access requires that users in one domain can also be authenticated and authorized to use resources in another domain. Для обеспечения возможности проверки подлинности и авторизации между клиентами и серверами в разных доменах должно быть отношение доверия между двумя доменами. To provide authentication and authorization capabilities between clients and servers in different domains, there must be a trust between the two domains. Отношения доверия — это базовая технология, с помощью которой безопасная Active Directoryная связь возникает и является неотъемлемой частью безопасности сетевой архитектуры Windows Server. Trusts are the underlying technology by which secured Active Directory communications occur and are an integral security component of the Windows Server network architecture.

При наличии доверительных отношений между двумя доменами механизмы проверки подлинности для каждого домена доверяют, что проверки подлинности поступают из другого домена. When a trust exists between two domains, the authentication mechanisms for each domain trust the authentications coming from the other domain. Отношения доверия обеспечивают контролируемый доступ к общим ресурсам в домене ресурсов — доверенный домен, проверяя, что входящие запросы проверки подлинности поступают из доверенного центра. Trusts help provide for controlled access to shared resources in a resource domain—the trusting domain—by verifying that incoming authentication requests come from a trusted authority—the trusted domain. Таким образом, отношения доверия действуют как мосты, позволяющие проходить только проверенные запросы проверки подлинности между доменами. In this way, trusts act as bridges that let only validated authentication requests travel between domains.

Как конкретное отношение доверия проходит проверку подлинности, зависит от того, как оно настроено. How a specific trust passes authentication requests depends on how it is configured. Отношения доверия могут быть односторонними, предоставляя доступ из доверенного домена к ресурсам в доверяющем домене или двусторонним образом, предоставляя доступ из каждого домена к ресурсам в другом домене. Trust relationships can be one-way, by providing access from the trusted domain to resources in the trusting domain, or two-way, by providing access from each domain to resources in the other domain. Отношения доверия также являются нетранзитивными, и в этом случае доверительные отношения существуют только между двумя доменами партнерских партнеров или транзитивными. в этом случае доверие автоматически распространяется на любые другие домены, которым доверяет любой из партнеров. Trusts are also either nontransitive, in which case trust exists only between the two trust partner domains, or transitive, in which case trust automatically extends to any other domains that either of the partners trusts.

Сведения о том, как работает доверие, см. в статье как работают отношения доверия между доменами и лесами. For information about how a trust works, see How Domain and Forest Trusts Work.

Смена протокола Protocol transition

Переключение протокола помогает разработчикам приложений поддерживать различные механизмы проверки подлинности на уровне проверки подлинности пользователя и переключается на протокол Kerberos для функций безопасности, таких как взаимная проверка подлинности и ограниченное делегирование, на последующих уровнях приложений. Protocol transition assists application designers by letting applications support different authentication mechanisms at the user authentication tier and by switching to the Kerberos protocol for security features, such as mutual authentication and constrained delegation, in the subsequent application tiers.

Дополнительные сведения о смене протокола см. в разделе Смена протокола Kerberos и ограниченное делегирование. For more information about protocol transition, see Kerberos Protocol Transition and Constrained Delegation.

Ограниченное делегирование Constrained delegation

Ограниченное делегирование дает администраторам возможность указывать и обеспечивать границы доверия приложений, ограничивая область, в которой службы приложений могут действовать от имени пользователя. Constrained delegation gives administrators the ability to specify and enforce application trust boundaries by limiting the scope where application services can act on behalf of a user. Можно указать определенные службы, из которых компьютер, которому разрешено делегирование, может запрашивать ресурсы. You can specify particular services from which a computer that is trusted for delegation can request resources. Гибкость в ограничении прав на авторизацию для служб помогает улучшить структуру безопасности приложений, уменьшая возможности взлома недоверенными службами. The flexibility to constrain authorization rights for services helps improve application security design by reducing the opportunities for compromise by untrusted services.

Дополнительные сведения о ограниченном делегировании см. в разделе Общие сведения о ограниченном делегировании Kerberos. For more information about constrained delegation, see Kerberos Constrained Delegation Overview.