访问服务器资源是否需要客户端进程登录到服务器计算机？

Question

重寄我的unanswered in technet.microsoft question？

MSDN "ASP.NET Delegation" article讲述：

• 1）“当您配置为使用特定帐户的进程标识，ASP.NET试图委派账户。如果这是一个本地帐户是相同的（包括密码。 ）到远程计算机上的本地帐户，则可以进行授权，如果远程计算机上不存在这样的帐户，则在网络上显示为Windows匿名帐户（NT AUTHORITY \ ANONYMOUS LOGON）。如果该帐户是有权访问远程计算机的域帐户，则可能会使用该帐户的域网络身份。“

与在手动/交互式访问工作组中的远程计算机（服务器资源）的情况下相同的经常重复的故事 - 需要使用相同的用户名和相同的密码创建本地帐户。但为什么？

如果工作组Windows客户端进程无法访问服务器计算机上的资源而没有在目标计算机上复制此类（本地）帐户已经预先创建， 是否意味着客户端（进程，机器或用户）可以访问服务器资源只有/在登录（打开登录会话）到服务器机器后？

或者，如何理解，这样的访问是不可能的，而不必在服务器机器上有相应的重复本地帐户？

同样MSDN "ASP.NET Delegation" article告诉：。

• “NetworkService帐户它的行为一样的系统帐户，此帐户具有与计算机帐户关联的网络凭据（域名\计算机名）域中，其中它是一员”

没有任何Windows系统有帐户（（NT AUTHORITY \ NETWORK SERVICE）？
以及许多其他常见预建帐户？
为什么他们在（在加入域之前）停滞，但不能用于远程网络访问和客户端标识？

当标识为（（NT AUTHORITY \ NETWORK SERVICE）的工作组Windows访问远程服务器时，使用的身份是什么？

---

我的相关问题：

• domained LocalSystem vs. non-domained LocalSystem account in Windows-es ?
• how to check group membership of an “NT AUTHORITY\” account ?
• Is client LocalSystem (SYSTEM) identified by target/server machine? and in which context?
• Window workgroup LocalSystem vs. domain (AD) LocalSystem [closed]
• how to better set up machine for development both in workgroup and Windows domain? [closed]
• interoperating with Windows domain computer from workrgroup Windows [closed]
• the context of local user of AD-joined machine? Is it of domain machine account or of local machine account?
• RunAs under domain account from non-AD Windows [closed]
• how to better set up machine for development both in workgroup and Windows domain? [closed]
• how to share the same domain machine account with multi-boot workgroup Windows setup?

Answer 1

Q1：相同的频繁重复的故事中的手动/交互在工作组访问远程计算机（服务器资源）的情况下 - 这是必要使用相同的用户名和相同的密码创建本地帐户。但为什么？

A1：是的。见下面的A3。 Q2：如果工作组Windows客户端进程无法访问服务器计算机上的资源而没有在已经预先创建的目标计算机上复制此类（本地）帐户，是否意味着客户端（进程，机器或用户）可以访问服务器资源仅通过/在登录（打开登录会话）到服务器机器后？

A2：是的 - 系统1上的进程对System2上的资源的所有访问都必须经过身份验证 - 除非极少数情况下，当某人在System2上配置一个或多个资源（和系统策略）以允许匿名（即未经身份验证）访问。此外，Server2只能对显示System2可以验证的凭据的网络请求进行身份验证 - 无论是从System2上的本地用户帐户和密码，还是通过联系受信任的域控制器（如果System2加入到域中）。 System2不知道任何有关用户帐户或“用户上下文”（仅限于特殊硬编码SID的LocalSystem，Interactive，LocalService等特殊“帐户”），这些只与System1相关 - 包括任何本地用户帐户在System1上定义，以及任何这些特殊的SID。

Q3：或者，如何理解这样的访问不可能在服务器机器上没有相应的重复本地帐户？

A3：唯一的例外（它不是一个例外，它是一个设计使用的例子）是当System1使用在System2上相同的用户名和密码进行身份验证时。您在网络流量中看到的是System1的进程（当前正在运行，例如System1 \ UserX）将通过网络为System2上的资源（例如文件共享，数据库对象，网页）发出请求。在System1的这个请求中，包含了“System1试图用来认证的证书”（这是一种抽象概括，用于避免描述特定于任何一种认证协议的事情 - 只需承担它）。在其他情况下，帐户UserX在System2上不存在，或者它具有不同的密码，以便System2上的身份验证尝试失败，并且System1的请求失败。也就是说，System2假定UserX必须是System2 \ UserX，并且该帐户不存在或密码不匹配。

在存在匹配的本地帐户的情况下，System2“认为”System1不是使用帐户“System1 \ UserX”登录，而是使用“System2 \ UserX”登录，并且由于密码匹配，认证尝试成功。

Q4：？不会将任何Windows系统有帐户（（NT AUTHORITY \ NETWORK SERVICE） 以及许多其他常见的预建帐户 为什么他们安装（之前的任何加入到域），但不能用于远程网络访问和客户端标识？

A4：请记住，网络服务不是一个定义的帐户（您不会在本地用户和组applet中找到它），而只是一个SID - 如果任何进程包含该SID在其令牌中（取决于创建该令牌的过程的情况），那么允许“网络服务”（实际上意味着“允许网络服务SID的任何资源”）访问资源的任何资源都将允许它通过。否则，网络ork Service只是一个用户友好的抽象，不幸的是，用户友好通常会让事情难以深入到真正的工作原理。

在系统加入域之前，您可能可以为网络服务SID分配权限或权限，但对于作为网络服务运行的服务，远程系统的请求响应会有所不同，具体取决于计算机是否已加入到域或不。如果加入域，远程请求通常会（在现代Windows版本上）使用本地系统的域计算机帐户尝试远程认证。如果未加入域，则远程请求将不会发送凭证，远程系统将不得不将其视为匿名（即未经身份验证）的请求。

Q5：什么是当从工作组的Windows下的进程标识（（NT AUTHORITY \ NETWORK SERVICE）访问远程服务器使用的身份

A5：如A4暗示，有没有身份是远程服务器在这种情况下看到。