Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här referensartikeln för IT-proffs sammanfattar vanliga scenarier för Windows-inloggning och inloggning.
Windows-operativsystem kräver att alla användare loggar in på datorn med ett giltigt konto för att få åtkomst till lokala resurser och nätverksresurser. Windows-baserade datorer skyddar resurser genom att implementera inloggningsprocessen, där användarna autentiseras. När en användare har autentiserats implementerar auktoriserings- och åtkomstkontrolltekniker den andra fasen för att skydda resurser: att avgöra om den autentiserade användaren har behörighet att komma åt en resurs.
Innehållet i den här artikeln gäller för versioner av Windows som anges i listan Gäller för i början av den här artikeln.
Dessutom kan program och tjänster kräva att användarna loggar in för att få åtkomst till de resurser som erbjuds av programmet eller tjänsten. Inloggningsprocessen liknar inloggningsprocessen, eftersom ett giltigt konto och korrekta autentiseringsuppgifter krävs, men inloggningsinformation lagras i SAM-databasen (Security Account Manager) på den lokala datorn och i Active Directory där det är tillämpligt. Inloggningskonto och information om autentiseringsuppgifter hanteras av programmet eller tjänsten och kan också lagras lokalt i Credential Locker.
Information om hur autentisering fungerar finns i Begrepp för Windows-autentisering.
I den här artikeln beskrivs följande scenarier:
Caution
När en användare utför en lokal inloggning verifieras deras autentiseringsuppgifter lokalt mot en cachelagrad kopia innan de autentiseras med en identitetsprovider via nätverket. Om cacheverifieringen lyckas får användaren åtkomst till skrivbordet även om enheten är offline. Men om användaren ändrar sitt lösenord i molnet uppdateras inte den cachelagrade kontrollanten, vilket innebär att de fortfarande kan komma åt sin lokala dator med hjälp av sitt gamla lösenord.
Interaktiv inloggning
Inloggningsprocessen börjar när en användare anger autentiseringsuppgifter i dialogrutan för autentiseringsuppgifter, när användaren infogar ett smartkort i smartkortsläsaren eller när användaren interagerar med en biometrisk enhet. Användare kan utföra en interaktiv inloggning med hjälp av ett lokalt användarkonto eller ett domänkonto för att logga in på en dator.
Följande diagram visar de interaktiva inloggningselementen och inloggningsprocessen.
Lokal inloggning och domäninloggning
Autentiseringsuppgifter som användaren presenterar för en domäninloggning innehåller alla element som krävs för en lokal inloggning, till exempel kontonamn och lösenord eller certifikat samt Active Directory-domäninformation. Processen bekräftar användarens identifiering till säkerhetsdatabasen på användarens lokala dator eller till en Active Directory-domän. Den här obligatoriska inloggningsprocessen kan inte inaktiveras för användare i en domän.
Användare kan utföra en interaktiv inloggning till en dator på två sätt:
Lokalt, när användaren har direkt fysisk åtkomst till datorn eller när datorn är en del av ett nätverk av datorer.
En lokal inloggning ger en användare behörighet att komma åt Windows-resurser på den lokala datorn. En lokal inloggning kräver att användaren har ett användarkonto i Security Accounts Manager (SAM) på den lokala datorn. SAM skyddar och hanterar användar- och gruppinformation i form av säkerhetskonton som lagras i det lokala datorregistret. Datorn kan ha nätverksåtkomst, men den krävs inte. Information om lokalt användarkonto och gruppmedlemskap används för att hantera åtkomst till lokala resurser.
En nätverksinloggning ger en användare behörighet att komma åt Windows-resurser på den lokala datorn utöver alla resurser på nätverksanslutna datorer, enligt definitionen i autentiseringsuppgifternas åtkomsttoken. Både en lokal inloggning och en nätverksinloggning kräver att användaren har ett användarkonto i Security Accounts Manager (SAM) på den lokala datorn. Information om lokalt användarkonto och gruppmedlemskap används för att hantera åtkomst till lokala resurser, och åtkomsttoken för användaren definierar vilka resurser som kan nås på nätverksanslutna datorer.
En lokal inloggning och en nätverksinloggning räcker inte för att ge användaren och datorn behörighet att komma åt och använda domänresurser.
Med fjärranslutning via Terminal Services eller Fjärrskrivbordstjänster (RDS), och då kvalificeras inloggningen som interaktiv fjärranslutning.
Efter en interaktiv inloggning kör Windows program åt användaren och användaren kan interagera med dessa program.
En lokal inloggning ger en användare behörighet att komma åt resurser på den lokala datorn eller resurser på nätverksanslutna datorer. Om datorn är ansluten till en domän försöker Winlogon-funktionen logga in på domänen.
En domäninloggning ger en användare behörighet att komma åt lokala resurser och domänresurser. En domäninloggning kräver att användaren har ett användarkonto i Active Directory. Datorn måste ha ett konto i Active Directory-domänen och vara fysiskt ansluten till nätverket. Användarna måste också ha användarbehörighet för att logga in på en lokal dator eller en domän. Information om domänanvändarkonto och gruppmedlemskap används för att hantera åtkomst till domän- och lokala resurser.
Fjärrinloggning
I Windows förlitar sig åtkomsten till en annan dator via fjärrinloggning på RDP (Remote Desktop Protocol). Eftersom användaren redan måste ha loggat in på klientdatorn innan en fjärranslutning görs har interaktiva inloggningsprocesser slutförts.
RDP hanterar de autentiseringsuppgifter som användaren anger med hjälp av fjärrskrivbordsklienten. Dessa autentiseringsuppgifter är avsedda för måldatorn och användaren måste ha ett konto på måldatorn. Dessutom måste måldatorn konfigureras för att acceptera en fjärranslutning. Autentiseringsuppgifterna för måldatorn skickas för att försöka utföra autentiseringsprocessen. Om autentiseringen lyckas är användaren ansluten till lokala resurser och nätverksresurser som är tillgängliga med hjälp av de angivna autentiseringsuppgifterna.
Nätverksinloggning
En nätverksinloggning kan bara användas när användar-, tjänst- eller datorautentisering har inträffat. Under nätverksinloggningen använder processen inte autentiseringsuppgifternas inmatningsdialogrutor för att samla in data. I stället används tidigare etablerade autentiseringsuppgifter eller en annan metod för att samla in autentiseringsuppgifter. Den här processen bekräftar användarens identitet för alla nätverkstjänster som användaren försöker komma åt. Den här processen är vanligtvis osynlig för användaren om inte alternativa autentiseringsuppgifter måste anges.
Säkerhetssystemet innehåller följande autentiseringsmekanismer för att tillhandahålla den här typen av autentisering:
Kerberos version 5-protokoll
Certifikat för offentlig nyckel
Secure Sockets Layer/Transport Layer Security (SSL/TLS)
Digest
NTLM, för kompatibilitet med Microsoft Windows NT 4.0-baserade system
Information om element och processer finns i det interaktiva inloggningsdiagrammet tidigare i den här artikeln.
Logga in med smartkort
Smartkort kan endast användas för att logga in på domänkonton, inte lokala konton. Smartkortautentisering kräver användning av Kerberos-autentiseringsprotokollet. Från och med Windows 2000 Server implementeras ett offentligt nyckeltillägg till Kerberos-protokollets första autentiseringsbegäran i Windows-baserade operativsystem. Till skillnad från kryptografi med delad hemlig nyckel är kryptering av offentliga nycklar asymmetrisk. Det vill: två olika nycklar behövs: en för att kryptera, en annan för att dekryptera. Tillsammans utgör de nycklar som krävs för att utföra båda åtgärderna ett privat/offentligt nyckelpar.
För att initiera en typisk inloggningssession måste en användare bevisa sin identitet genom att endast ange information som användaren och den underliggande Kerberos-protokollinfrastrukturen känner till. Den hemliga informationen är en kryptografisk delad nyckel som härleds från användarens lösenord. En delad hemlighetsnyckel är symmetrisk, vilket innebär att samma nyckel används för både kryptering och dekryptering.
Följande diagram visar de element och processer som krävs för smartkortsinloggning.
När ett smartkort används i stället för ett lösenord ersätts ett privat/offentligt nyckelpar som lagras på användarens smartkort med den delade hemliga nyckeln, som härleds från användarens lösenord. Den privata nyckeln lagras endast på smartkortet. Den offentliga nyckeln kan göras tillgänglig för alla som ägaren vill utbyta konfidentiell information med.
Mer information om inloggningsprocessen för smartkort i Windows finns i Så här fungerar inloggning med smartkort i Windows.
Biometrisk inloggning
En enhet används för att avbilda och skapa en digital egenskap hos en artefakt, till exempel ett fingeravtryck. Den här digitala representationen jämförs sedan med ett exempel på samma artefakt och när de två matchar kan autentisering ske. Datorer som kör något av de operativsystem som anges i listan Gäller för i början av den här artikeln kan konfigureras för att acceptera den här typen av inloggning. Men om biometrisk inloggning endast har konfigurerats för lokal inloggning måste användaren visa autentiseringsuppgifter för domänen vid åtkomst till en Active Directory-domän.
Relaterat innehåll
Information om hur Windows hanterar autentiseringsuppgifter som skickas under inloggningsprocessen finns i Hantering av autentiseringsuppgifter i Windows-autentisering.