Sesiones de inicio de sesión de cliente

Un servidor con el privilegio SE_TCB_NAME, como un servicio de Windows que se ejecuta en la cuenta localSystem, puede llamar a la función LogonUser para autenticar a un cliente en el equipo en el que se ejecuta el servidor. La función LogonUser inicia una nueva sesión de inicio de sesión y devuelve un token de acceso principal que contiene la información de seguridad del cliente. Puede usar este token principal al llamar a la función ImpersonateLoggedOnUser para suplantar al cliente o llamar a la función CreateProcessAsUser para crear un proceso que se ejecute en el contexto de seguridad del cliente.

La ventaja de autenticar al cliente de esta manera es que el servidor suplanta al cliente autenticado o un proceso creado en el contexto del cliente autenticado, puede conectarse a recursos de red remotos como cliente. Si no se realiza esta autenticación, el servidor solo puede conectarse a los recursos de red si ha adquirido el nombre y la contraseña de la cuenta del cliente para pasar a la función WNetAddConnection2 .

La desventaja de autenticar al cliente de esta manera es que el servidor debe haber adquirido las credenciales del cliente (nombre de dominio, nombre de usuario y contraseña). Si un cliente remoto proporciona estas credenciales al servidor, es responsabilidad del cliente y del servidor asegurarse de que las credenciales se transmiten de forma segura.