Проверка Windows Genuine Advantage является обязательной при загрузке обновлений Windows

Обзор

Windows XP

Проверка подлинности Windows является обязательным при запросе подлинной Windows загрузите с веб-узла центра загрузки Майкрософт или Центра обновления Windows. Процесс проверки применяется для следующих версий Microsoft Windows XP:

Windows XP Home Edition

Windows XP Professional

Windows XP Tablet PC Edition

Windows XP Media Center Edition

Обновления для системы безопасности доступен всем пользователям подлинного программного обеспечения Windows и контрафактное программное обеспечение Windows через автоматическое обновление. Проверки подлинности Windows не требуется, чтобы убедиться в том, что клиенты имеют доступ к новейшим возможностям, выполнению обновлений и поддержку от корпорации Майкрософт.

Для проверки программного обеспечения Windows XP, посетите следующий веб-узел и нажмите кнопку Проверить Windows:

http://www.microsoft.com/genuineЕсли проверка завершается неудачно, вы получите описание почему программное обеспечение не подлинного программного обеспечения Windows. Кроме того вы получите сведения о способах получения подлинного программного обеспечения Windows.

Windows Vista

Проверка подлинности Windows является обязательным при запросе подлинной Windows загрузите с веб-узла центра загрузки Майкрософт или Центра обновления Windows. Процесс проверки применяется для всех выпусков Windows Vista. Это включает в себя следующие выпуски:

Windows Vista Starter

Windows Vista Home Basic

Основные N Windows Vista Home

Windows Vista Home Premium

Windows Vista Business N

Windows Vista Enterprise

Обновления для системы безопасности доступен всем пользователям подлинного программного обеспечения Windows и контрафактное программное обеспечение Windows через автоматическое обновление. Проверки подлинности Windows не требуется, чтобы убедиться в том, что клиенты имеют доступ к новейшим возможностям, выполнению обновлений и поддержку от корпорации Майкрософт.

Для проверки программного обеспечения Windows Vista, посетите следующий веб-узел и нажмите кнопку Проверить Windows:

Сведения о подлинной Windows

Поддержка Windows 7 закончилась 14 января 2020 г.

Чтобы продолжить получать обновления системы безопасности от Майкрософт, мы рекомендуем перейти на Windows 10.

Подлинные версии Windows публикуются корпорацией Майкрософт, надлежащим образом лицензируются и поддерживаются корпорацией Майкрософт или ее доверенным партнером. Вам понадобится подлинная версия Windows для доступа к дополнительным обновлениям и загрузкам, которые помогут вам получить максимальную отдачу от вашего ПК.

Инструкции по активации в Windows см. в разделе Активация Windows 7 или Windows 8.1. Если вы используете Windows 10, ознакомьтесь с Разактивациями в Windows 10.

Здесь приведены ответы на некоторые распространенные вопросы о подлинном программном обеспечении Windows.

Убедитесь, что на упаковке присутствуют основные признаки подлинного ПО Windows, такие как сертификат подлинности (COA), наклейка подтверждения лицензии и голограмма от кромки до кромки. Дополнительные сведения можно найти на странице что искать на веб-сайте Microsoft о том, как рассказать . Безопаснее всего всегда покупать Windows или компьютер с предустановленной ОС Windows непосредственно в корпорации Майкрософт или в местном магазине или магазине, которому вы доверяете.

Если вы получаете такие уведомления, скорее всего ваша копия Windows была неправильно активирована. Щелкните уведомление и следуйте инструкциям, чтобы восстановить Windows или, если вы узнали, что ваше ПО нелицензионное, приобретите подлинную версию Windows.

Пока вы не исправите ошибку, вы периодически будете получать напоминания о том, что копия Windows не подлинна. Рабочий стол также может стать черным, чтобы вы обратили внимание на эти сообщения. Вы можете сбросить его, но каждые 60 минут экран снова будет становиться черным, пока проблема не будет устранена.

ОС Windows всегда будет получать важные обновления безопасности, даже если ваша версия является неподлинной. Однако другие обновления и преимущества доступны исключительно для подлинного программного обеспечения Windows.

Активация позволяет убедиться, что ваша копия Windows используется только на компьютерах, разрешенных условиями лицензионного соглашения на использование программного обеспечения корпорации Майкрософт. Активация связывает ключ продукта или цифровые права с аппаратной конфигурацией. Активировать Windows, как правило, необходимо только один раз, если только вы не собираетесь менять оборудование.

При скачивании обновлений на компьютер Windows проверяет, действителен ли ваш ключ продукта или есть ли у вас цифровые права. Если это так, вы имеете право получать последние обновления от корпорации Майкрософт. В противном случае на вашем компьютере используется контрафактная копия.

Копию Windows невозможно установить на большем количестве компьютеров, чем разрешено условиями лицензионного соглашения на использование программного обеспечения корпорации Майкрософт. Как правило, одну копию Windows можно установить на одном компьютере. Дополнительные сведения о лицензировании Windows на нескольких компьютерах можно найти на веб-сайте корпоративного лицензирования Майкрософт .

Да. Вы по-прежнему сможете получать важные обновления безопасности. Однако многие обновления доступны только для пользователей подлинных копий Windows. Настоятельно рекомендуем вам как можно быстрее начать использовать подлинное программное обеспечение Майкрософт для безопасной работы компьютера.

Проверка — это процесс, выполняющийся через Интернет. Он помогает определить подлинность установленной копии Windows, а также наличие и целостность важных файлов лицензирования. Проверка длится всего несколько секунд и позволяет корпорации Майкрософт сопоставить профиль оборудования компьютера с 25-символьным ключом продукта или цифровыми правами.

Проверка копии Windows может потребоваться перед скачиванием данных и обновлений, которые предназначены для компьютеров под управлением подлинной копии Windows. Windows также может запросить запустить проверку подлинности, если неправильно выполнена активация.

Если ваша копия Windows не пройдет проверку, появится страница результатов с сообщением о том, почему ваша копия не является подлинной. Вы также увидите информацию о том, как устранить проблему.

Существует несколько распространенных причин, по которым копия Windows, работающая на компьютере, может оказаться во время проверки неподлинной.

Ремонт. Если ваш компьютер был отремонтирован, вы можете начать видеть на рабочем столе сообщения о том, что Windows не является подлинной. Если во время ремонта пришлось переустановить Windows, мастер мог выполнить активацию системы, используя другой ключ, отличающийся от ключа, который был использован во время первой установки ОС. Уведомления могут не появляться до тех пор, пока вы не попробуете скачать из Центра загрузки Майкрософт данные, которые требуют проверки, и проверка не закончится ошибкой. Чтобы устранить эту проблему, вы можете правильно активировать Windows, повторно введя исходный ключ продукта.

Для устранения других проблем может потребоваться приобрести подлинную версию Windows.

1 лицензия — 1 компьютер. Еще одна распространенная причина сбоя проверки Windows — попытка установить копию Windows на большее количество компьютеров, чем предусмотрено лицензией. Например, вы купили одну копию Windows и установили ее на несколько компьютеров. Онлайн-проверка может завершиться сбоем, так как ключ продукта уже используется на другом компьютере. Для большинства копий Windows работает правило: одна копия Windows может быть установлена на одном компьютере. Чтобы узнать о лицензировании нескольких компьютеров, перейдите на веб-сайт корпоративного лицензирования Майкрософт .

Контрафактное программное обеспечение. Проверка также может завершиться сбоем, если вы случайно приобрели и установили нелицензионную копию ПО Windows. С помощью этого веб- сайта можно найти нелицензионное программное обеспечение и файл, если это необходимо. Сбой проверки подлинности характерен для версий Windows, которые были приобретены на онлайн-аукционах, или если подлинность Windows проверялась на приобретенном вами подержанном компьютере. Не забудьте попросить продавца положить в упаковку оригинальный диск Windows и сертификат подлинности.

Чтобы создать отчет о контрафактном приложении, перейдите на веб-сайт о том, как рассказать о нем.

Если вы считаете, что вы случайно приобрели нелицензионное программное обеспечение, или у вас есть информация о человеке, компании или интернет-сайте, которые, возможно, продают нелицензионное программное обеспечение, вы можете отправить отчет по Интернету. Корпорация Майкрософт будет считать его конфиденциальной информацией. Корпорация Майкрософт уделяет много времени и тратит много сил на борьбу с подделкой программного обеспечения, и вы можете быть уверены, что после получения вашего отчета мы будем принимать соответствующие меры.

Если вы получили сообщение об ошибке при активации Windows, можно узнать, что оно означает. Подробности можно найти в справке по устранению ошибок активации.

При установке Windows вам потребуется ключ продукта. Чтобы получить дополнительные сведения, см. раздел Поиск ключа продукта.

Windows XP — Удаленный компьютер требует проверки подлинности на уровне сети

Описание проблемы

Если, при попытке зайти на терминальный сервер, с клиента на котором в качестве операционной системы выступает Windows XP, вы получаете следующее сообщение:

Подключение к удаленному рабочему столу
Удаленный компьютер требует проверки подлинности на уровне сети, которую данный компьютер не поддерживает. Обратитесь за помощью к системному администратору или в службу технической поддержки.

То у вас есть два способа исправления этой ошибки — с использованием официального средства Microsoft Fix It 50588, или же ручной правкой реестра. Рассмотрим оба этих способа подробнее.

Автоматизированный способ

Первым делом скачиваем исправления по ссылкам ниже:

Microsoft Fix It 50588
Microsoft Fix It 50588 (Яндекс.Диск)

И устанавливаем его. Для тихой установки можно воспользоваться командой следующего вида:

После установки в обязательном порядке потребуется перезагрузка, в противном случае может возникнуть ошибка «Произошла ошибка проверки подлинности. Затребованный пакет безопасности не существует.».

Ручной способ с правкой реестра

В реестре нужно внести следующие изменения:

• В ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa находим параметр Security Packages и добавляем в него строчку tspkg.
  
• В ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders создаем параметр SecurityProviders и добавляем туда msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll.
  

После правки реестра так же требуется обязательная перезагрузка компьютера.

Основные понятия проверки подлинности Windows Windows Authentication Concepts

Область применения. Windows Server (Semi-Annual Channel), Windows Server 2016 Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

В этом справочном разделе описываются понятия, на которых основана проверка подлинности Windows. This reference overview topic describes the concepts on which Windows authentication is based.

Проверка подлинности — это процесс проверки удостоверения объекта или пользователя. Authentication is a process for verifying the identity of an object or person. Задача проверки подлинности объекта заключается в проверке подлинности объекта. When you authenticate an object, the goal is to verify that the object is genuine. При проверке подлинности пользователя целью является проверка того, что пользователь не является фальшивый. When you authenticate a person, the goal is to verify that the person is not an imposter.

В контексте сети проверка подлинности — это подтверждение удостоверения сетевого приложения или ресурса. In a networking context, authentication is the act of proving identity to a network application or resource. Как правило, удостоверение удостоверяется в криптографической операции, которая использует либо только ключ, который знает пользователь (как при использовании шифрования с открытым ключом), либо общий ключ. Typically, identity is proven by a cryptographic operation that uses either a key only the user knows (as with public key cryptography) or a shared key. Во время проверки подлинности на стороне сервера выполняется сравнение подписанных данных с известным криптографическим ключом для проверки попытки проверки подлинности. The server side of the authentication exchange compares the signed data with a known cryptographic key to validate the authentication attempt.

Благодаря тому что криптографические ключи хранятся в безопасном центральном местоположении, процесс проверки подлинности можно масштабировать и поддерживать. Storing the cryptographic keys in a secure central location makes the authentication process scalable and maintainable. Active Directory — это рекомендуемая и используемая по умолчанию технология для хранения сведений об удостоверениях, включая криптографические ключи, которые являются учетными данными пользователя. Active Directory is the recommended and default technology for storing identity information, which include the cryptographic keys that are the user’s credentials. Служба каталогов Active Directory необходима для реализаций NTLM и Kerberos по умолчанию. Active Directory is required for default NTLM and Kerberos implementations.

Методы проверки подлинности основаны на простом входе в операционную систему или в службу или приложение, которое определяет пользователей на основе чего-то, что известно только пользователю, например пароль, к более мощным механизмам обеспечения безопасности, использующим то, что пользователь хас’суч как маркеры, сертификаты открытого ключа, изображения или атрибуты биологических. Authentication techniques range from a simple logon to an operating system or a sign-in to a service or application, which identifies users based on something that only the user knows, such as a password, to more powerful security mechanisms that use something that the user has’such as tokens, public key certificates, pictures, or biological attributes. В бизнес-среде пользователи могут открывать множество приложений на различных типах серверов из одного или многих местоположений. In a business environment, users might access multiple applications on many types of servers within a single location or across multiple locations. Поэтому проверка подлинности должна поддерживать среды для других платформ и других операционных систем Windows. For these reasons, authentication must support environments for other platforms and for other Windows operating systems.

Проверка подлинности и авторизация: аналоговая поездка Authentication and authorization: A travel analogy

Аналоговая передача может помочь объяснить, как работает проверка подлинности. A travel analogy can help explain how authentication works. Чтобы начать путешествие, обычно требуется несколько подготовительных задач. A few preparatory tasks are usually necessary to begin the journey. Путешественника должен доказать свои истинные удостоверения своим узлам. The traveler must prove their true identity to their host authorities. Этот эксперимент может быть в виде подтверждения гражданства, места рождения, личного ваучера, фотографий или того, что требуется для закона страны узла. This proof can be in the form of proof of citizenship, birth place, a personal voucher, photographs, or whatever is required by the law of the host country. Удостоверение путешественника проверяется выдачей Passport, которая аналогична системной учетной записи, выданной и администрируемых организацией — субъектом безопасности. The traveler’s identity is validated by the issuance of a passport, which is analogous to a system account issued and administered by an organization—the security principal. Паспорт и предполагаемое место назначения основаны на наборе правил и нормативных актов, выданных правительственными органами. The passport and the intended destination are based on a set of rules and regulations issued by the governmental authority.

Путешествие The journey

Когда путешественника поступает на международную границу, для него запрашиваются учетные данные, а путешественника представляет свой паспорт. When the traveler arrives at the international border, a border guard asks for credentials, and the traveler presents his or her passport. Процесс состоит из двух этапов: The process is two-fold:

Условие проверяет подлинность паспорта, подтверждая, что он был выдан центром безопасности, который является доверенным для учетных данных локального правительства (по крайней мере, для выдачи паспортов), и проверяет, что паспорт не был изменен. The guard authenticates the passport by verifying that it was issued by a security authority that the local government trusts (trusts, at least, to issue passports) and by verifying that the passport has not been modified.

Условие проверяет подлинность путешественника, проверяя, соответствует ли лицо лицу, изображенному на паспорте, и что другие необходимые учетные данные имеют правильный порядок. The guard authenticates the traveler by verifying that the face matches the face of the person pictured on the passport and that other required credentials are in good order.

Если паспорт считается допустимым и путешественника становится его владельцем, то проверка подлинности прошла успешно, и путешественника может быть разрешен доступ через границу. If the passport proves to be valid and the traveler proves to be its owner, authentication is successful, and the traveler can be allowed access across the border.

Транзитивное отношение доверия между центрами безопасности является основой проверки подлинности; тип проверки подлинности, который выполняется на международной границе, основан на доверии. Transitive trust between security authorities is the foundation of authentication; the type of authentication that takes place at an international border is based on trust. Местный правительственный орган не знает путешественника, но он доверяет этому органу размещения. The local government does not know the traveler, but it trusts that the host government does. Когда правительственный орган узла выпустил паспорт, он не знал путешественника. When the host government issued the passport, it did not know the traveler either. Он доверяет агентству, выдавшего сертификат о рождении, или другую документацию. It trusted the agency that issued the birth certificate or other documentation. Агентство, которое выдавало сертификат о рождении, в свою очередь, доверенный врач, который подписал сертификат. The agency that issued the birth certificate, in turn, trusted the physician who signed the certificate. Врач, следящий за рождением путешественникаа, записывает сертификат с прямым подтверждением подлинности, в данном случае с местом младенец. The physician witnessed the traveler’s birth and stamped the certificate with direct proof of the identity, in this case with the newborn’s footprint. Отношения доверия, передаваемые таким образом через доверенные посредники, являются транзитивными. Trust that is transferred in this way, through trusted intermediaries, is transitive.

Транзитивное доверие является основой сетевой безопасности в архитектуре клиента или сервера Windows. Transitive trust is the foundation for network security in Windows client/server architecture. Отношение доверия проходит по всему набору доменов, например доменному дереву, и формирует связь между доменом и всеми доменами, которые доверяют этому домену. A trust relationship flows throughout a set of domains, such as a domain tree, and forms a relationship between a domain and all domains that trust that domain. Например, если домен A имеет транзитивное доверие с доменом B, а домен б доверяет домену C, то домен A доверяет домену C. For example, if domain A has a transitive trust with domain B, and if domain B trusts domain C, then domain A trusts domain C.

Между проверкой подлинности и авторизацией существует разница. There is a difference between authentication and authorization. При использовании проверки подлинности система подтверждает, что вы с вами сказали. With authentication, the system proves that you are who you say you are. При использовании авторизации система проверяет наличие прав на выполнение действий, которые вы хотите выполнить. With authorization, the system verifies that you have rights to do what you want to do. Чтобы перевести границу на следующий шаг, просто выполните проверку подлинности того, что путешественника является правильным владельцем действительного паспорта, не обязательно авторизует путешественника для ввода страны. To take the border analogy to the next step, merely authenticating that the traveler is the proper owner of a valid passport does not necessarily authorize the traveler to enter a country. Резидентам в определенной стране можно вводить другую страну, просто предоставляя паспорт только в тех случаях, когда введенная страна предоставляет неограниченные разрешения для всех граждан этой страны. Residents of a particular country are allowed to enter another country by simply presenting a passport only in situations where the country being entered grants unlimited permission for all citizens of that particular country to enter.

Аналогичным образом можно предоставить всем пользователям определенные разрешения домена для доступа к ресурсу. Similarly, you can grant all users from a certain domain permissions to access a resource. Любой пользователь, принадлежащий к этому домену, имеет доступ к ресурсу, как и в Канаде, и в США входит Канада. Any user who belongs to that domain has access to the resource, just as Canada lets U.S. citizens enter Canada. Тем не менее, граждан США пытается войти в Бразилии или Индии, чтобы они не могли ввести эти страны только с помощью цифрового паспорта, так как в обеих странах требуется, чтобы в качестве действительного Visa требовалось посетить граждан США. However, U.S. citizens attempting to enter Brazil or India find that they cannot enter those countries merely by presenting a passport because both of those countries require visiting U.S. citizens to have a valid visa. Поэтому проверка подлинности не гарантирует доступа к ресурсам или авторизации для использования ресурсов. Thus, authentication does not guarantee access to resources or authorization to use resources.

Учетные данные Credentials

Паспорт и, возможно, связанные висас — это принятые учетные данные для путешественника. A passport and possibly associated visas are the accepted credentials for a traveler. Однако эти учетные данные могут не позволить путешественника ввести или получить доступ ко всем ресурсам в стране. However, those credentials might not let a traveler enter or access all resources within a country. Например, для участия в конференции требуются дополнительные учетные данные. For instance, additional credentials are required to attend a conference. В Windows можно управлять учетными данными, чтобы предоставить владельцам учетных записей доступ к ресурсам по сети, не требуя повторного предоставления учетных данных. In Windows, credentials can be managed to make it possible for account holders to access resources over the network without repeatedly having to supply their credentials. Этот тип доступа позволяет системе проверять подлинность пользователей один раз, чтобы получить доступ ко всем приложениям и источникам данных, которые им разрешено использовать, не вводя другой идентификатор учетной записи или пароль. This type of access lets users be authenticated one time by the system to access all applications and data sources that they are authorized to use without entering another account identifier or password. Платформа Windows обеспечивает возможность использования единого удостоверения пользователя (обслуживаемого Active Directory) по сети путем локального кэширования учетных данных пользователя в локальном центре безопасности операционной системы (LSA). The Windows platform capitalizes on the ability to use a single user identity (maintained by Active Directory) across the network by locally caching user credentials in the operating system’s Local Security Authority (LSA). Когда пользователь входит в домен, пакеты проверки подлинности Windows прозрачно используют учетные данные для предоставления единого входа при проверке подлинности учетных данных в сетевых ресурсах. When a user logs on to the domain, Windows authentication packages transparently use the credentials to provide single sign-on when authenticating the credentials to network resources. Дополнительные сведения об учетных данных см. в разделе процессы учетных данных при проверке подлинности Windows. For more information about credentials, see Credentials Processes in Windows Authentication.

Многофакторная идентификация для путешественника может быть требованием предоставления и представления нескольких документов для проверки подлинности удостоверений, таких как паспорт и сведения о регистрации конференции. A form of multi-factor authentication for the traveler might be the requirement to carry and present multiple documents to authenticate his identity such as a passport and conference registration information. Windows реализует эту форму или проверку подлинности с помощью смарт-карт, виртуальных смарт-карт и биометрических технологий. Windows implements this form or authentication through smart cards, virtual smart cards, and biometric technologies.

Субъекты безопасности и учетные записи Security principals and accounts

В Windows любой пользователь, служба, группа или компьютер, которые могут инициировать действие, являются субъектом безопасности. In Windows, any user, service, group, or computer that can initiate action is a security principal. Субъекты безопасности имеют учетные записи, которые могут быть локальными для компьютера или быть основаны на домене. Security principals have accounts, which can be local to a computer or be domain-based. Например, компьютеры, присоединенные к домену клиента Windows, могут участвовать в сетевом домене путем взаимодействия с контроллером домена, даже если никто из пользователей не вошел в систему. For example, Windows client domain-joined computers can participate in a network domain by communicating with a domain controller even when no human user is logged on. Чтобы инициировать обмен данными, компьютер должен иметь активную учетную запись в домене. To initiate communications, the computer must have an active account in the domain. Прежде чем принимать подключения от компьютера, локальный центр безопасности на контроллере домена проверяет подлинность удостоверения компьютера, а затем определяет контекст безопасности компьютера так же, как и для участника безопасности. Before accepting communications from the computer, the local security authority on the domain controller authenticates the computer’s identity, and then defines the computer’s security context just as it would for a human security principal. Этот контекст безопасности определяет удостоверение и возможности пользователя или службы на определенном компьютере, а также пользователя, службы, группы или компьютера в сети. This security context defines the identity and capabilities of a user or service on a particular computer or a user, service, group, or computer on a network. Например, он определяет ресурсы, такие как файловый ресурс или принтер, к которым можно получить доступ, и действия, такие как чтение, запись или изменение, которые могут быть выполнены пользователем, службой или компьютером на этом ресурсе. For example, it defines the resources, such as a file share or printer, that can be accessed and the actions, such as Read, Write, or Modify, that can be performed by a user, service, or computer on that resource. Дополнительные сведения см. в разделе субъекты безопасности. For more information, see Security Principals.

Учетная запись — это средство для распознавания клаимант—пользователя или службы, запрашивающего доступ или ресурсы. An account is a means to identify a claimant—the human user or service—requesting access or resources. Путешественника, который владеет подлинным паспортом, обладает учетной записью, содержащей страну узла. The traveler who holds the authentic passport possesses an account with the host country. Пользователи, группы пользователей, объекты и службы могут иметь отдельные учетные записи или учетные записи общего доступа. Users, groups of users, objects, and services can all have individual accounts or share accounts. Учетные записи могут быть членами групп и могут назначать определенные права и разрешения. Accounts can be member of groups and can be assigned specific rights and permissions. Учетные записи могут быть ограничены локальным компьютером, Рабочей группой, сетью или назначены членство в домене. Accounts can be restricted to the local computer, workgroup, network, or be assigned membership to a domain.

Встроенные учетные записи и группы безопасности, в которых они являются членами, определяются в каждой версии Windows. Built-in accounts and the security groups, of which they are members, are defined on each version of Windows. С помощью групп безопасности можно назначить одни и те же разрешения безопасности для многих пользователей, которые успешно прошли проверку подлинности, что упрощает администрирование доступа. By using security groups, you can assign the same security permissions to many users who are successfully authenticated, which simplifies access administration. Правила для выдачи паспортов могут потребовать, чтобы путешественника были назначены определенным группам, например «Бизнес», «таурист» или «правительственные учреждения». Rules for issuing passports might require that the traveler be assigned to certain groups, such as business, or tourist, or government. Этот процесс обеспечивает согласованность разрешений безопасности во всех членах группы. This process ensures consistent security permissions across all members of a group. Использование групп безопасности для назначения разрешений означает, что Управление доступом к ресурсам остается постоянным, и его можно легко контролировать и подвергать аудиту. By using security groups to assign permissions means that access control of resources remains constant and easy to manage and audit. Добавляя и удаляя пользователей, которым требуется доступ из соответствующих групп безопасности по мере необходимости, можно максимально ограничить частоту изменений в списках управления доступом (ACL). By adding and removing users who require access from the appropriate security groups as needed, you can minimize the frequency of changes to access control lists (ACLs).

Автономные управляемые учетные записи служб и виртуальные учетные записи появились в Windows Server 2008 R2 и Windows 7 для предоставления необходимых приложений, таких как Microsoft Exchange Server и службы IIS (IIS), с изоляцией собственных доменных учетных записей, одновременно устраняя необходимость администратора вручную администрировать имя участника-службы (SPN) и учетные данные для этих учетных записей. Standalone managed service accounts and virtual accounts were introduced in Windows Server 2008 R2 and Windows 7 to provide necessary applications, such as Microsoft Exchange Server and Internet Information Services (IIS), with the isolation of their own domain accounts, while eliminating the need for an administrator to manually administer the service principal name (SPN) and credentials for these accounts. Групповые управляемые учетные записи служб появились в Windows Server 2012 и предоставляют те же функциональные возможности в домене, но также расширяют функциональные возможности нескольких серверов. Group managed service accounts were introduced in Windows Server 2012 and provides the same functionality within the domain but also extends that functionality over multiple servers. При подключении к службе, размещенной на ферме серверов, например к службе балансировки сетевой нагрузки, для протоколов взаимной проверки подлинности требуется, чтобы все экземпляры служб использовали один и тот же субъект. When connecting to a service hosted on a server farm, such as Network Load Balance, the authentication protocols supporting mutual authentication require that all instances of the services use the same principal.

Дополнительные сведения об учетных записях см. в следующих статьях: For more information about accounts, see:

Делегированная аутентификация Delegated authentication

Для использования аналогового пути в странах могут выдаваться те же права доступа ко всем участникам официального правительственного делегирования, если они хорошо известны. To use the travel analogy, countries might issue the same access to all members of an official governmental delegation, just as long as the delegates are well-known. Это делегирование позволяет одному участнику работать с полномочиями другого участника. This delegation lets one member act on the authority of another member. В Windows делегированная проверка подлинности происходит, когда сетевая служба принимает запрос на проверку подлинности от пользователя и предполагает, что это удостоверение пользователя, чтобы инициировать новое подключение к второй сетевой службе. In Windows, delegated authentication occurs when a network service accepts an authentication request from a user and assumes the identity of that user in order to initiate a new connection to a second network service. Для поддержки делегированной проверки подлинности необходимо установить серверы переднего плана или сервера первого уровня, например веб-серверы, которые отвечают за обработку запросов проверки подлинности клиентов, а также серверные или n-уровневые серверы, например большие базы данных, которые отвечают за хранение информации. To support delegated authentication, you must establish front-end or first-tier servers, such as web servers, that are responsible for handling client authentication requests and back-end or n-tier servers, such as large databases, that are responsible for storing information. Вы можете делегировать право на настройку делегированной проверки подлинности для пользователей в Организации, чтобы сократить административную нагрузку на администраторов. You can delegate the right to set up delegated authentication to users in your organization to reduce the administrative load on your administrators.

Установив службу или компьютер в качестве доверенного для делегирования, вы разрешите этой службе или компьютеру завершить делегированную проверку подлинности, получить билет для пользователя, выполняющего запрос, а затем получить доступ к сведениям для этого пользователя. By establishing a service or computer as trusted for delegation, you let that service or computer complete delegated authentication, receive a ticket for the user who is making the request, and then access information for that user. Эта модель запрещает доступ к данным на внутренних серверах только тем пользователям или службам, которые представляют учетные данные с правильными маркерами контроля доступа. This model restricts data access on back-end servers just to those users or services that present credentials with the correct access control tokens. Кроме того, он обеспечивает аудит доступа к этим внутренним ресурсам. In addition, it allows for access auditing of those back-end resources. Если требуется, чтобы все данные были доступны через учетные данные, которые делегируются серверу для использования от имени клиента, убедитесь, что сервер не может быть скомпрометирован и что можно получить доступ к конфиденциальным сведениям, хранящимся на других серверах. By requiring that all data be accessed by means of credentials that are delegated to the server for use on behalf of the client, you ensure that the server cannot be compromised and that you can gain access to sensitive information that is stored on other servers. Делегированная проверка подлинности полезна для многоуровневых приложений, предназначенных для использования возможностей единого входа на нескольких компьютерах. Delegated authentication is useful for multitier applications that are designed to use single sign-on capabilities across multiple computers.

Проверка подлинности в отношениях доверия между доменами Authentication in trust relationships between domains

Большинство организаций, имеющих более одного домена, имеют законную потребность в доступе пользователей к общим ресурсам, расположенным в другом домене, так же как путешественника разрешается перемещать в разные регионы в стране. Most organizations that have more than one domain have a legitimate need for users to access shared resources that are located in a different domain, just as the traveler is permitted travel to different regions in the country. Управление этим доступом требует, чтобы пользователи в одном домене также могли проходить проверку подлинности и авторизованы для использования ресурсов в другом домене. Controlling this access requires that users in one domain can also be authenticated and authorized to use resources in another domain. Для обеспечения возможности проверки подлинности и авторизации между клиентами и серверами в разных доменах должно быть отношение доверия между двумя доменами. To provide authentication and authorization capabilities between clients and servers in different domains, there must be a trust between the two domains. Отношения доверия — это базовая технология, с помощью которой безопасная Active Directoryная связь возникает и является неотъемлемой частью безопасности сетевой архитектуры Windows Server. Trusts are the underlying technology by which secured Active Directory communications occur and are an integral security component of the Windows Server network architecture.

При наличии доверительных отношений между двумя доменами механизмы проверки подлинности для каждого домена доверяют, что проверки подлинности поступают из другого домена. When a trust exists between two domains, the authentication mechanisms for each domain trust the authentications coming from the other domain. Отношения доверия обеспечивают контролируемый доступ к общим ресурсам в домене ресурсов — доверенный домен, проверяя, что входящие запросы проверки подлинности поступают из доверенного центра. Trusts help provide for controlled access to shared resources in a resource domain—the trusting domain—by verifying that incoming authentication requests come from a trusted authority—the trusted domain. Таким образом, отношения доверия действуют как мосты, позволяющие проходить только проверенные запросы проверки подлинности между доменами. In this way, trusts act as bridges that let only validated authentication requests travel between domains.

Как конкретное отношение доверия проходит проверку подлинности, зависит от того, как оно настроено. How a specific trust passes authentication requests depends on how it is configured. Отношения доверия могут быть односторонними, предоставляя доступ из доверенного домена к ресурсам в доверяющем домене или двусторонним образом, предоставляя доступ из каждого домена к ресурсам в другом домене. Trust relationships can be one-way, by providing access from the trusted domain to resources in the trusting domain, or two-way, by providing access from each domain to resources in the other domain. Отношения доверия также являются нетранзитивными, и в этом случае доверительные отношения существуют только между двумя доменами партнерских партнеров или транзитивными. в этом случае доверие автоматически распространяется на любые другие домены, которым доверяет любой из партнеров. Trusts are also either nontransitive, in which case trust exists only between the two trust partner domains, or transitive, in which case trust automatically extends to any other domains that either of the partners trusts.

Сведения о том, как работает доверие, см. в статье как работают отношения доверия между доменами и лесами. For information about how a trust works, see How Domain and Forest Trusts Work.

Смена протокола Protocol transition

Переключение протокола помогает разработчикам приложений поддерживать различные механизмы проверки подлинности на уровне проверки подлинности пользователя и переключается на протокол Kerberos для функций безопасности, таких как взаимная проверка подлинности и ограниченное делегирование, на последующих уровнях приложений. Protocol transition assists application designers by letting applications support different authentication mechanisms at the user authentication tier and by switching to the Kerberos protocol for security features, such as mutual authentication and constrained delegation, in the subsequent application tiers.

Дополнительные сведения о смене протокола см. в разделе Смена протокола Kerberos и ограниченное делегирование. For more information about protocol transition, see Kerberos Protocol Transition and Constrained Delegation.

Ограниченное делегирование Constrained delegation

Ограниченное делегирование дает администраторам возможность указывать и обеспечивать границы доверия приложений, ограничивая область, в которой службы приложений могут действовать от имени пользователя. Constrained delegation gives administrators the ability to specify and enforce application trust boundaries by limiting the scope where application services can act on behalf of a user. Можно указать определенные службы, из которых компьютер, которому разрешено делегирование, может запрашивать ресурсы. You can specify particular services from which a computer that is trusted for delegation can request resources. Гибкость в ограничении прав на авторизацию для служб помогает улучшить структуру безопасности приложений, уменьшая возможности взлома недоверенными службами. The flexibility to constrain authorization rights for services helps improve application security design by reducing the opportunities for compromise by untrusted services.

Дополнительные сведения о ограниченном делегировании см. в разделе Общие сведения о ограниченном делегировании Kerberos. For more information about constrained delegation, see Kerberos Constrained Delegation Overview.