LocalSystem アカウントで実行されている Windows サービスなど、SE_TCB_NAME特権を持つサーバーは、LogonUser 関数を呼び出して、サーバーが実行されているコンピューター上のクライアント認証をできます。 LogonUser 関数は、新しいログオン セッション を開始し、クライアントのセキュリティ情報を含む プライマリ アクセス トークン を返します。 このプライマリ トークンは、ImpersonateLoggedOnUser 関数を呼び出してクライアントを偽装したり、CreateProcessAsUser 関数を呼び出して、クライアントの セキュリティ コンテキストで実行されるプロセス を作成したりするときに使用できます。
この方法でクライアントを認証する利点は、認証されたクライアントを偽装しているサーバー、または認証されたクライアントのコンテキストで作成プロセスが、クライアントとしてリモート ネットワーク リソースに接続できることです。 この認証が行われなければ、サーバーはクライアントのアカウント名とパスワードを取得して、WNetAddConnection2 関数に渡す場合にのみ、ネットワーク リソースに接続できます。
この方法でクライアントを認証する欠点は、サーバーがクライアントの 資格情報 (ドメイン名、ユーザー名、パスワード) 取得している必要があることです。 リモート クライアントがこれらの資格情報をサーバーに提供する場合、資格情報が安全な方法で確実に送信されるようにするのは、クライアントとサーバーの責任です。