Como exatamente a authentication "silenciosa" usando as contas locais correspondentes em uma networking Windows funciona?

Imagine uma networking de grupos de trabalho do Windows, onde dois computadores possuem uma conta local com a mesma combinação de nome de user / senha. Se eu logair em um computador e tentair conectair-me a um recurso compairtilhado não público, não me solicita cnetworkingnciais – o fato de o computador remoto ter uma conta local com as mesmas cnetworkingnciais que a conta local em o computador que estou usando significa que eu estou autenticado "silenciosamente".

  1. Eu entendi isso corretamente, certo?
  2. Em caso afirmativo, por que não posso encontrá-lo documentado em qualquer lugair? Eu fiz um extenso Googling. O recurso tem um nome? Alguém pode me indicair alguma documentation oficial?

Desde já, obrigado.

Ele é chamado de authentication NTLM pass-through e está documentado no airtigo NTLM TechNet . Veja a seção intitulada Pass-through authentication paira a pairte inferior.


O service NetLogon implementa authentication pass-through. Ele executa as seguintes funções:

  • Seleciona o domínio paira passair o request de authentication paira.

  • Seleciona o server dentro do domínio.

  • Passa o request de authentication paira o server selecionado.

Selecionair o domínio é direto. O nome de domínio é passado paira LsaLogonUser. O nome do domínio é processado da seguinte forma:

  • Se o nome de domínio corresponder ao nome do database SAM, a authentication é processada nesse computador. Em uma estação de trabalho Windows que é um membro de um domínio, o nome do database SAM é considerado o nome do computador. Em um controlador de domínio do Active Directory, o nome do database da conta é o nome do domínio. Em um computador que não é um membro de um domínio, todos os logons processam solicitações localmente.

  • Se o domínio especificado é confiável por este domínio, o request de authentication é passado paira o domínio confiável. Nos controladores de domínio do Active Directory, a list de domínios confiáveis ​​está facilmente disponível. Em um membro de um domínio do Windows, a solicitação é sempre passada paira o domínio principal da estação de trabalho, permitindo que o domínio principal determine se o domínio especificado é confiável.

  • Se o domínio especificado não for confiável pelo domínio, a solicitação de authentication é processada no computador que está sendo conectado como se o nome de domínio especificado fosse esse nome de domínio. O NetLogon não diferencia entre um domínio inexistente, um domínio não confiável e um nome de domínio incorretamente typescript.