Freigeben über


Windows-Anmeldeszenarios

In diesem Referenzthema für IT-Experten werden gängige Windows-Anmeldeszenarien zusammengefasst.

Bei Windows-Betriebssystemen müssen sich alle Benutzer mit einem gültigen Konto beim Computer anmelden, um auf die lokalen Ressourcen und Netzwerkressourcen zugreifen zu können. Windows-basierte Computer schützen Ressourcen mit dem Anmeldevorgang, bei dem die Benutzer authentifiziert werden. Nach der Benutzerauthentifizierung setzen Technologien für die Autorisierung und Zugriffssteuerung eine zweite Phase des Ressourcenschutzes um: Sie prüfen, ob der authentifizierte Benutzer dazu berechtigt ist, auf eine Ressource zuzugreifen.

Die Inhalte dieses Themas gelten für die Windows-Versionen, die oben unter Gilt für aufgeführt sind.

Zusätzlich können Anwendungen und Dienste fordern, dass Benutzer sich anmelden müssen, um auf die Ressourcen zuzugreifen, die von der Anwendung bzw. dem Dienst bereitgestellt werden. Diese Anmeldung ähnelt dem Windows-Anmeldevorgang, denn auch hier sind ein gültiges Konto und die richtigen Anmeldeinformationen erforderlich. Die Windows-Anmeldedaten werden jedoch in der SAM-Datenbank (Sicherheitskontenverwaltung) auf dem lokalen Computer und ggf. in Active Directory gespeichert. Das Konto und die Anmeldeinformationen, die für die Anmeldung bei Anwendungen und Diensten verwendet werden, werden von der Anwendung bzw. vom Dienst verwaltet und können optional lokal im Schließfach für Anmeldeinformationen gespeichert werden.

Wie die Authentifizierung funktioniert, erfahren Sie unter Windows-Authentifizierungskonzepte.

In diesem Thema werden folgende Szenarien beschrieben:

Achtung

Wenn ein Benutzer eine lokale Anmeldung durchführt, werden ihre Anmeldeinformationen lokal anhand einer zwischengespeicherten Kopie überprüft, bevor sie mit einem Identitätsanbieter über das Netzwerk authentifiziert werden. Wenn die Cacheüberprüfung erfolgreich ist, erhält der Benutzer Zugriff auf den Desktop, auch wenn das Gerät offline ist. Wenn der Benutzer jedoch sein Kennwort in der Cloud ändert, wird der zwischengespeicherte Prüfer nicht aktualisiert, was bedeutet, dass er weiterhin mit dem alten Kennwort auf seinen lokalen Computer zugreifen kann.

Interaktive Anmeldung

Der Anmeldevorgang beginnt, wenn ein Benutzer seine Anmeldeinformationen in das entsprechende Dialogfeld eingibt, eine Smartcard in den Smartcardleser einsteckt oder mit einem biometrischen Gerät interagiert. Benutzer können die interaktive Anmeldung bei einem Computer mit einem lokalen Benutzerkonto oder einem Domänenkonto durchführen.

Das folgende Diagramm zeigt die Komponenten der interaktiven Anmeldung und den Anmeldevorgang.

Diagramm: Komponenten der interaktiven Anmeldung und der Anmeldevorgang

Windows-Client – Authentifizierungsarchitektur

Lokale Anmeldung und Domänenanmeldung

Die Anmeldeinformationen, die der Benutzer bei einer Domänenanmeldung eingibt, enthalten alle Elemente, die für eine lokale Anmeldung erforderlich sind, z. B. den Kontonamen und das Kennwort oder Zertifikat und Active Directory-Domäneninformationen. Der Prozess bestätigt die Identifikation des Benutzers für die Sicherheitsdatenbank auf dem lokalen Computer des Benutzers oder für die Active Directory-Domäne. Für Benutzer in einer Domäne ist dieser Anmeldevorgang immer erforderlich und kann nicht deaktiviert werden.

Benutzer können die interaktive Anmeldung bei einem Computer auf zwei Arten durchführen:

  • Lokal, wenn der Benutzer direkten physischen Zugriff auf den Computer hat oder wenn der Computer zu einem Computernetzwerk gehört.

    Die lokale Anmeldung gewährt einem Benutzer die Berechtigung, auf die Windows-Ressourcen auf dem lokalen Computer zuzugreifen. Eine lokale Anmeldung setzt voraus, dass für den Benutzer ein Benutzerkonto in der Sicherheitskontenverwaltung (SAM) auf dem lokalen Computer vorliegt. Mit SAM werden die Benutzer- und Gruppeninformationen in Form von Sicherheitskonten, die in der lokalen Computerregistrierung gespeichert sind, geschützt und verwaltet. Der Computer kann Netzwerkzugriff haben, dies wird aber nicht vorausgesetzt. Mit den lokalen Benutzerkonto- und Gruppenmitgliedschaftsinformationen wird der Zugriff auf die lokalen Ressourcen verwaltet.

    Die Netzwerkanmeldung gewährt einem Benutzer die Berechtigung, auf die Windows-Ressourcen auf dem lokalen Computer und auf Ressourcen auf Netzwerkcomputern zuzugreifen, wie im Zugriffstoken der Anmeldeinformationen definiert. Sowohl die lokale Anmeldung als auch die Netzwerkanmeldung setzen voraus, dass für den Benutzer ein Benutzerkonto in der Sicherheitskontenverwaltung (SAM) auf dem lokalen Computer vorliegt. Mit den lokalen Benutzerkonto- und Gruppenmitgliedschaftsinformationen wird der Zugriff auf die lokalen Ressourcen verwaltet, und das Zugriffstoken des Benutzers definiert, auf welche Ressourcen auf Netzwerkcomputern der Benutzer zugreifen kann.

    Eine lokale Anmeldung und eine Netzwerkanmeldung sind nicht ausreichend, um dem Benutzer und dem Computer zu berechtigen, auf Domänenressourcen zuzugreifen und sie zu verwenden.

  • Remote, über Terminaldienste oder Remotedesktopdienste. In diesem Fall wird die Anmeldung als remoteinteraktive Anmeldung bezeichnet.

Nach der interaktiven Anmeldung führt Windows für den Benutzer Anwendungen aus und der Benutzer kann mit diesen Anwendungen interagieren.

Die lokale Anmeldung gewährt einem Benutzer die Berechtigung, auf Ressourcen auf dem lokalen Computer oder auf Netzwerkcomputern zuzugreifen. Wenn der Computer einer Domäne angehört, versucht die Windows-Anmeldung, sich bei dieser Domäne anzumelden.

Die Domänenanmeldung gewährt einem Benutzer die Berechtigung, auf lokale Ressourcen und Domänenressourcen zuzugreifen. Eine Domänenanmeldung setzt voraus, dass der Benutzer ein Benutzerkonto in Active Directory besitzt. Der Computer muss ein Konto in der Active Directory-Domäne besitzen und physisch mit dem Netzwerk verbunden sein. Benutzer benötigen außerdem die Benutzerrechte für die Anmeldung bei einem lokalen Computer oder einer Domäne. Mit den Domänenbenutzerkonto- und Gruppenmitgliedschaftsinformationen wird der Zugriff auf die Domänenressourcen und lokalen Ressourcen verwaltet.

Remoteanmeldung

Bei Windows basiert der Zugriff auf einen anderen Computer per Remoteanmeldung auf dem Remotedesktopprotokoll (RDP). Da sich der Benutzer bereits beim Clientcomputer angemeldet haben muss, bevor er versucht, eine Remoteverbindung herzustellen, sind die interaktiven Anmeldeprozesse erfolgreich abgeschlossen.

Das RDP verwaltet die Anmeldeinformationen, die der Benutzer über den Remotedesktopclient eingibt. Diese Anmeldeinformationen sind für den Zielcomputer gedacht, und der Benutzer muss auf diesem Zielcomputer ein Benutzerkonto haben. Außerdem muss der Zielcomputer so konfiguriert sein, dass er Remoteverbindungen zulässt. Die Anmeldeinformationen für den Zielcomputer werden versendet, und es wird versucht, den Authentifizierungsvorgang durchzuführen. Wenn die Authentifizierung erfolgreich ist, wird der Benutzer mit den lokalen Ressourcen und den Netzwerkressourcen verbunden, die mit den angegebenen Anmeldeinformationen zugänglich sind.

Netzwerkanmeldung

Eine Netzwerkanmeldung kann erst nach der Authentifizierung eines Benutzers, Dienstes oder Computers verwendet werden. Das Dialogfeld für die Eingabe der Anmeldeinformationen wird bei der Netzwerkanmeldung nicht genutzt. Stattdessen verwendet der Prozess die zuvor bereits erstellten Anmeldeinformationen oder eine andere Methode zur Erfassung der Anmeldeinformationen. Dieser Prozess bestätigt die Identität des Benutzers für alle Netzwerkdienste, auf die der Benutzer zugreifen möchte. In der Regel bekommt der Benutzer von diesem Vorgang nichts mit, es sei denn, er muss alternative Anmeldeinformationen eingeben.

Um diese Authentifizierung zu ermöglichen, umfasst das Sicherheitssystem die folgenden Authentifizierungsmechanismen:

  • das Protokoll Kerberos Version 5

  • Öffentliche Schlüsselzertifikate

  • Secure Sockets Layer/Transport Layer Security (SSL/TLS)

  • Digest

  • NTLM, für die Kompatibilität mit Systemen, die auf Microsoft Windows NT 4.0 basieren

Informationen zu den Komponenten und Prozessen finden Sie im obigen Diagramm zur interaktiven Anmeldung.

Anmeldung mit Smartcards

Smartcards können nur für die Anmeldung bei Domänenkonten, nicht bei lokalen Konten verwendet werden. Die Smartcardauthentifizierung setzt die Nutzung des Kerberos-Authentifizierungsprotokolls voraus. Seit Windows Server 2000 ist in Windows-basierten Betriebssystemen eine Erweiterung für öffentliche Schlüssel für die anfängliche Authentifizierungsanforderung des Kerberos-Protokolls implementiert. Anders als ein freigegebener geheimer Schlüssel ist die Verschlüsselung mit einem öffentlichen Schlüssel asymmetrisch: Es werden also zwei verschiedene Schlüssel benötigt, einer für die Verschlüsselung, einer für die Entschlüsselung. Gemeinsam bilden diese beiden Schlüssel dann ein privates/öffentliches Schlüsselpaar.

Zum Starten einer typischen Anmeldesitzung muss ein Benutzer für den Nachweis seiner Identität Informationen eingeben, die nur ihm selbst und der zugrunde liegenden Kerberos-Protokollinfrastruktur bekannt sind. Die geheimen Informationen sind ein kryptografischer freigegebener Schlüssel, der aus dem Kennwort des Benutzers abgeleitet wird. Ein freigegebener geheimer Schlüssel ist symmetrisch, er wird also sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet.

Das folgende Diagramm zeigt die Komponenten und Prozesse, die für die Smartcardanmeldung erforderlich sind.

Diagramm: die für die Smartcardanmeldung erforderlichen Komponenten und Prozesse

Smartcard-Anmeldeanbieterarchitektur

Wenn statt eines Kennworts eine Smartcard verwendet wird, wird das auf der Smartcard gespeicherte private/öffentliche Schlüsselpaar durch den freigegebenen geheimen Schlüssel ersetzt, der vom Kennwort des Benutzers abgeleitet wird. Der private Schlüssel wird nur auf der Smartcard gespeichert. Der öffentliche Schlüssel kann an alle Benutzer weitergegeben werden, mit denen der Besitzer vertrauliche Informationen austauschen möchte.

Weitere Informationen zur Smartcardanmeldung bei Windows finden Sie unter So funktioniert die Smartcard-Anmeldung in Windows.

Biometrische Anmeldung

Mit einem Gerät wird ein digitales Merkmal eines Artefakts, z. B. eines Fingerabdrucks, erfasst und erstellt. Diese digitale Repräsentation wird dann mit einer Probe desselben Artefakts verglichen. Bei einer Übereinstimmung kann die Authentifizierung erfolgreich durchgeführt werden. Diese Art der Anmeldung kann auf allen Computern konfiguriert werden, die eines der unter Gilt für (am Seitenanfang) aufgeführten Betriebssysteme ausführen. Wenn die biometrische Anmeldung jedoch nur für die lokale Anmeldung konfiguriert wird, muss der Benutzer beim Zugriff auf eine Active Directory-Domäne seine Domänenanmeldeinformationen eingeben.

Zusätzliche Ressourcen

Informationen dazu, wie Windows die beim Anmeldevorgang übermittelten Anmeldeinformationen verwaltet, finden Sie unter Verwaltung von Anmeldeinformationen bei der Windows-Authentifizierung.

Technische Übersicht zur Windows-Anmeldung und -Authentifizierung.