Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit naslagartikel voor IT-professionals biedt een overzicht van veelvoorkomende Windows-aanmeld- en inlogscenario's.
Windows-besturingssystemen vereisen dat alle gebruikers zich met een geldig account aanmelden bij de computer om toegang te krijgen tot lokale en netwerkbronnen. Windows-computers beveiligen resources door het aanmeldingsproces te implementeren, waarin gebruikers worden geverifieerd. Nadat een gebruiker is geverifieerd, implementeren autorisatie- en toegangsbeheertechnologieën de tweede fase van het beveiligen van resources: bepalen of de geverifieerde gebruiker is gemachtigd voor toegang tot een resource.
De inhoud van dit artikel is van toepassing op versies van Windows die zijn aangewezen in de lijst Van toepassing op aan het begin van dit artikel.
Bovendien kunnen toepassingen en services vereisen dat gebruikers zich aanmelden voor toegang tot de resources die worden aangeboden door de toepassing of service. Het aanmeldingsproces is vergelijkbaar met het aanmeldingsproces, omdat een geldig account en de juiste referenties vereist zijn, maar aanmeldingsgegevens worden opgeslagen in de SAM-database (Security Account Manager) op de lokale computer en in Active Directory, indien van toepassing. Aanmeldingsaccount- en referentiegegevens worden beheerd door de toepassing of service en kunnen eventueel lokaal worden opgeslagen in Credential Locker.
Zie Windows-verificatieconcepten voor meer informatie over hoe verificatie werkt.
In dit artikel worden de volgende scenario's beschreven:
Caution
Wanneer een gebruiker een lokale aanmelding uitvoert, worden de inloggegevens lokaal geverifieerd tegen een gecachte kopie voordat ze via het netwerk worden geverifieerd bij een identiteitsprovider. Als de verificatie van de cache is geslaagd, krijgt de gebruiker toegang tot het bureaublad, zelfs als het apparaat offline is. Als de gebruiker echter het wachtwoord in de cloud wijzigt, wordt de verificator in de cache niet bijgewerkt, wat betekent dat ze nog steeds toegang hebben tot hun lokale computer met hun oude wachtwoord.
Interactieve aanmelding
Het aanmeldingsproces begint wanneer een gebruiker referenties invoert in het dialoogvenster voor het invoeren van referenties, wanneer de gebruiker een smartcard invoegt in de smartcardlezer of wanneer de gebruiker interactie heeft met een biometrisch apparaat. Gebruikers kunnen een interactieve aanmelding uitvoeren met behulp van een lokaal gebruikersaccount of een domeinaccount om zich aan te melden bij een computer.
In het volgende diagram ziet u de interactieve aanmeldingselementen en het aanmeldingsproces.
Lokale aanmelding en domeinaanmelding
Referenties die de gebruiker voor een domeinaanmelding presenteert, bevatten alle elementen die nodig zijn voor een lokale aanmelding, zoals accountnaam en wachtwoord of certificaat, en Active Directory-domeingegevens. Het proces bevestigt de identificatie van de gebruiker aan de beveiligingsdatabase op de lokale computer van de gebruiker of aan een Active Directory-domein. Dit verplichte aanmeldingsproces kan niet worden uitgeschakeld voor gebruikers in een domein.
Gebruikers kunnen op twee manieren een interactieve aanmelding op een computer uitvoeren:
Lokaal, wanneer de gebruiker directe fysieke toegang heeft tot de computer of wanneer de computer deel uitmaakt van een netwerk van computers.
Een lokale aanmelding verleent een gebruiker toegang tot Windows-resources op de lokale computer. Voor een lokale aanmelding moet de gebruiker een gebruikersaccount hebben in Security Accounts Manager (SAM) op de lokale computer. SAM beveiligt en beheert gebruikers- en groepsgegevens in de vorm van beveiligingsaccounts die zijn opgeslagen in het register van de lokale computer. De computer kan netwerktoegang hebben, maar dit is niet vereist. Lokale gebruikersaccount- en groepslidmaatschapsgegevens worden gebruikt om de toegang tot lokale resources te beheren.
Een netwerkaanmelding verleent een gebruiker machtigingen voor toegang tot Windows-resources op de lokale computer, naast alle resources op computers in het netwerk, zoals gedefinieerd door het toegangstoken van de referentie. Zowel een lokale aanmelding als een netwerkaanmelding vereisen dat de gebruiker een gebruikersaccount heeft in Security Accounts Manager (SAM) op de lokale computer. Lokale gebruikersaccount- en groepslidmaatschapsgegevens worden gebruikt voor het beheren van de toegang tot lokale resources en het toegangstoken voor de gebruiker definieert welke resources kunnen worden geopend op netwerkcomputers.
Een lokale aanmelding en een netwerkaanmelding zijn niet voldoende om de gebruiker en computer toegang te verlenen en domeinbronnen te gebruiken.
Extern, via Terminal Services of Extern Bureaubladservices (RDS), in dat geval wordt de aanmelding verder aangeduid als extern interactief.
Na een interactieve aanmelding voert Windows toepassingen uit namens de gebruiker en kan de gebruiker met deze toepassingen communiceren.
Een lokale aanmelding verleent een gebruiker toestemming om toegang te krijgen tot resources op de lokale computer of bronnen op netwerkcomputers. Als de computer lid is van een domein, probeert de Winlogon-functionaliteit zich aan te melden bij dat domein.
Een domeinaanmelding verleent een gebruiker machtigingen voor toegang tot lokale en domeinbronnen. Voor een domeinaanmelding moet de gebruiker een gebruikersaccount hebben in Active Directory. De computer moet een account hebben in het Active Directory-domein en fysiek zijn verbonden met het netwerk. Gebruikers moeten ook over de gebruikersrechten beschikken om zich aan te melden bij een lokale computer of een domein. Domeingebruikersaccountgegevens en informatie over groepslidmaatschap worden gebruikt om de toegang tot domein- en lokale resources te beheren.
Externe aanmelding
In Windows is het openen van een andere computer via externe aanmelding afhankelijk van Remote Desktop Protocol (RDP). Omdat de gebruiker zich al bij de clientcomputer moet hebben aangemeld voordat een externe verbinding wordt uitgevoerd, zijn interactieve aanmeldingsprocessen voltooid.
RDP beheert de inloggegevens die de gebruiker invoert met behulp van de Extern bureaublad-client. Deze referenties zijn bedoeld voor de doelcomputer en de gebruiker moet een account op die doelcomputer hebben. Bovendien moet de doelcomputer worden geconfigureerd om een externe verbinding te accepteren. De referenties van de doelcomputer worden verzonden met als doel het verificatieproces uit te voeren. Als de verificatie is geslaagd, is de gebruiker verbonden met lokale en netwerkbronnen die toegankelijk zijn met behulp van de opgegeven referenties.
Netwerkaanmelding
Een netwerkaanmelding kan alleen worden gebruikt nadat gebruikers-, service- of computerverificatie is opgetreden. Tijdens het aanmelden bij het netwerk gebruikt het proces niet de dialoogvensters voor het invoeren van referenties om gegevens te verzamelen. In plaats daarvan worden eerder tot stand gebrachte referenties of een andere methode voor het verzamelen van referenties gebruikt. Dit proces bevestigt de identiteit van de gebruiker voor elke netwerkservice waartoe de gebruiker toegang probeert te krijgen. Dit proces is doorgaans onzichtbaar voor de gebruiker, tenzij er alternatieve referenties moeten worden opgegeven.
Om dit type verificatie te bieden, bevat het beveiligingssysteem de volgende verificatiemechanismen:
Kerberos versie 5-protocol
Certificaten van openbare sleutels
Beveiliging van beveiligde sockets-laag/transportlaag (SSL/TLS)
Digest
NTLM, voor compatibiliteit met Microsoft Windows NT 4.0-systemen
Zie het interactieve aanmeldingsdiagram eerder in dit artikel voor informatie over de elementen en processen.
Smartcard-aanmelding
Smartcards kunnen alleen worden gebruikt om u aan te melden bij domeinaccounts, niet voor lokale accounts. Voor smartcardverificatie is het gebruik van het Kerberos-verificatieprotocol vereist. Vanaf Windows 2000 Server wordt in Windows-besturingssystemen een openbare-sleutelextensie voor de eerste verificatieaanvraag van het Kerberos-protocol geïmplementeerd. In tegenstelling tot cryptografie van gedeelde geheime sleutels is openbare-sleutelcryptografie asymmetrisch. Dat wil gezegd, er zijn twee verschillende sleutels nodig: een om te versleutelen, een andere om te ontsleutelen. De sleutels die nodig zijn om beide bewerkingen uit te voeren, vormen samen een persoonlijk/openbaar sleutelpaar.
Om een typische aanmeldingssessie te starten, moet een gebruiker zijn identiteit bewijzen door alleen informatie op te geven die alleen bekend is bij de gebruiker en de onderliggende Kerberos-protocolinfrastructuur. De geheime informatie is een cryptografische gedeelde sleutel die is afgeleid van het wachtwoord van de gebruiker. Een gedeelde geheime sleutel is symmetrisch, wat betekent dat dezelfde sleutel wordt gebruikt voor zowel versleuteling als ontsleuteling.
In het volgende diagram ziet u de elementen en processen die vereist zijn voor aanmelding met smartcards.
Wanneer een smartcard wordt gebruikt in plaats van een wachtwoord, wordt een persoonlijk/openbaar sleutelpaar dat is opgeslagen op de smartcard van de gebruiker vervangen door de gedeelde geheime sleutel, die is afgeleid van het wachtwoord van de gebruiker. De persoonlijke sleutel wordt alleen opgeslagen op de smartcard. De openbare sleutel kan beschikbaar worden gesteld aan iedereen met wie de eigenaar vertrouwelijke informatie wil uitwisselen.
Zie Hoe smartcardaanmelding werkt in Windows voor meer informatie over het aanmeldingsproces voor smartcards in Windows.
Biometrische aanmelding
Een apparaat wordt gebruikt om een digitaal kenmerk van een artefact, zoals een vingerafdruk, vast te leggen en te bouwen. Deze digitale weergave wordt vervolgens vergeleken met een voorbeeld van hetzelfde artefact en wanneer de twee overeenkomen, kan verificatie plaatsvinden. Computers waarop een van de besturingssystemen die zijn aangewezen in de lijst Van toepassing op aan het begin van dit artikel kunnen worden geconfigureerd om deze vorm van aanmelding te accepteren. Als biometrische aanmelding echter alleen is geconfigureerd voor lokale aanmelding, moet de gebruiker domeinreferenties presenteren bij het openen van een Active Directory-domein.
Verwante inhoud
Zie Referentiebeheer in Windows-verificatie voor informatie over hoe Windows referenties beheert die tijdens het aanmeldingsproces zijn ingediend.