クライアント ログオン セッション
localSystem アカウントで実行されている Windows サービスなどのSE_TCB_NAME特権を持つサーバーは、LogonUser 関数を呼び出して、サーバーが実行されているコンピューターでクライアントを認証できます。 LogonUser 関数は、新しいログオン セッションを開始し、クライアントのセキュリティ情報を含むプライマリ アクセス トークンを返します。 このプライマリ トークンは、 ImpersonateLoggedOnUser 関数を呼び出してクライアントを偽装する場合、または CreateProcessAsUser 関数を呼び出して、クライアントの セキュリティ コンテキスト で実行されるプロセスを作成するときに使用できます。
この方法でクライアントを認証する利点は、認証されたクライアントを偽装しているサーバー、または認証されたクライアントのコンテキストで作成された プロセス が、クライアントとしてリモート ネットワーク リソースに接続できることです。 この認証が行われなければ、サーバーはクライアントのアカウント名とパスワードを取得して WNetAddConnection2 関数に渡した場合にのみ、ネットワーク リソースに接続できます。
この方法でクライアントを認証する欠点は、サーバーがクライアントの 資格情報 (ドメイン名、ユーザー名、パスワード) を取得している必要があることです。 リモート クライアントがこれらの資格情報をサーバーに提供する場合、資格情報が安全な方法で確実に送信されるようにするのは、クライアントとサーバーの責任です。