使用Windows網域控制站驗證擁有目錄伺服器帳戶的使用者時,請指定此驗證。如果使用者在目錄伺服器中沒有帳戶,則無法進行驗證。在Windows驗證之下,可為每個在目錄伺服器中登記的群組指定存取限制。可將儲存於目錄伺服器上的通訊錄登記至機器中,如此一來,不須先使用機器在通訊錄中登記個別設定就可啟用使用者驗證。取得使用者資訊可防止使用不真實的身分,因為,當傳送已掃描的資料或透過電子郵件傳送已接收的傳真訊息時,傳送者的地址(寄件者:)是由驗證系統決定。
第一次存取機器時,您可以使用可供您群組使用的功能。如果您沒有被登記在任何群組中,則可以使用「*預設群組」下的可用功能。若要限制僅特定使用者可以使用的功能,請事先在通訊錄中進行設定。
若要在Windows驗證下自動登記使用者資訊(例如:傳真號碼及電子郵件地址),建議使用SSL加密本機與網域控制站之間的通訊。若要這麼做,您必須建立網域控制站的伺服器憑證。關於建立伺服器憑證的詳細資訊,請參閱建立伺服器憑證。
在Windows驗證期間,在目錄伺服器中登記的資料(例如:使用者的電子郵件地址)會自動登記至機器。如果伺服器上的使用者資訊有變更,執行驗證時,可能會覆寫登記在機器上的資訊。
由其他網域管理的使用者亦需要使用者驗證,但他們無法取得電子郵件地址等的項目。
如果同時設定Kerberos驗證及SSL加密,則無法取得電子郵件地址。
如果您在網域控制站中建立了新的使用者,並在密碼設定時選擇了「使用者必須在下次登入時變更密碼」,請先從電腦登入並變更密碼。
如果在機器上選擇了Kerberos驗證,但驗證伺服器只支援NTLM,則驗證方式將自動切換為NTLM。
使用Windows驗證時,登入使用者名稱區分大小寫。錯誤輸入的使用者名稱將新增到通訊錄中。在這種情況下,請刪除新增的使用者。
如果啟用Windows伺服器上的「Guest」帳戶,也可以驗證並未在網域控制站中登記的使用者。啟用此帳戶時,使用者就會登記在通訊錄中,並且可以使用「*預設群組」下的可用功能。
可以下列兩種驗證方式之一執行Windows驗證:NTLM或Kerberos驗證。以下列出這兩種方式的操作要求:
NTLM驗證的操作要求
若要指定NTLM驗證,必須滿足以下要求:
本機支援NTLMv1驗證和NTLMv2驗證。
在要使用的網域中設定網域控制站。
下列作業系統支援此功能。若要在Active Directory執行時取得使用者資訊,請使用LDAP。如果您使用LDAP,建議您使用SSL加密本機和LDAP伺服器之間的通訊。LDAP伺服器必須支援TLSv1或SSLv3,才能進行SSL加密。
Windows Server 2003/2003 R2
Windows Server 2008/2008 R2
Windows Server 2012/2012 R2
Kerberos驗證的操作要求
若要指定Kerberos驗證,須滿足以下要求:
在要使用的網域中設定網域控制站。
作業系統必須支援KDC(金鑰發佈中心)。若要在Active Directory執行時取得使用者資訊,請使用LDAP。如果您使用LDAP,建議您使用SSL加密本機和LDAP伺服器之間的通訊。LDAP伺服器必須支援TLSv1或SSLv3,才能進行SSL加密。以下列出相容的作業系統:
Windows Server 2003/2003 R2
Windows Server 2008/2008 R2
Windows Server 2012/2012 R2
若要在Windows Server 2008的環境中使用Kerberos驗證,請安裝Service Pack 2或更新的版本。
如果啟用Kerberos驗證,則會將機器和KDC伺服器之間的資料傳送加密。關於指定加密傳送的詳細資訊,請參閱Kerberos驗證加密設定。
關於登入使用者名稱和密碼可使用的字元的詳細資訊,請參閱使用者名稱和密碼可使用的字元。
之後存取機器時,您可以使用可供您群組使用的所有功能,以及身為個別使用者可使用的所有功能。
登記在多個群組中的使用者可以使用所屬群組所有的可用功能。
在Windows驗證下,只有在您想使用SSL自動登記使用者資訊(例如:傳真號碼及電子郵件地址)時,才需要建立伺服器憑證。
如果驗證時取得傳真資訊失敗,請參閱如果無法取得傳真號碼。