跳过标题
 

Windows验证

使用Windows域控制器验证在目录服务器上有自己账户的用户时,请指定此验证方法。如果用户在目录服务器上没有自己的帐户,就无法对其进行验证。在Windows验证下,您可以为目录服务器中注册的每个群组指定访问限制。可将保存在目录服务器中的通讯簿注册到机器中,这样不必先使用机器在通讯簿中注册各项设置,就可进行用户验证。获取用户信息可以防止使用虚假的身份,因为发件人的地址(发件人:)是在发送扫描数据时由验证系统确定的。

您首次访问机器时,可使用所在群组可以使用的功能。如果未在组中注册,则可以使用“*默认群组”下的可用功能。要限制仅某些用户可使用的功能,请事先在通讯簿中进行设置。

要在Windows验证下自动注册用户信息,建议使用SSL对机器和域控制器之间的通信进行加密。为此,您必须创建域控制器的服务器证书。有关创建服务器证书的详细信息,请参见 创建服务器证书

重要信息

  • 如果使用Windows验证,则会自动将目录服务器中注册的用户信息,如用户的电子邮件地址,自动注册到机器的通讯簿中。即使在机器上编辑了自动注册在机器通讯簿中的用户信息,执行验证时也会被目录服务器中的信息覆盖。

  • 在其他域中管理的用户须接受用户验证,但他们无法获取电子邮件地址之类的项目。

  • 如果同时设置了Kerberos验证和SSL加密,则无法获取电子邮件地址。

  • 如果您在域控制器中创建了新用户,并且在配置密码时选择了“用户下次登录时须更改密码”,请首先登录到计算机并更改密码。

  • 如果在本机上选择了Kerberos验证,但验证服务器仅支持NTLM验证,则验证方法会自动切换为NTLM。

  • 如果在Windows服务器上启用了“访客”帐户,未在域控制器中注册的用户也会通过验证。启用此帐户后,用户将在通讯簿中注册,并可使用“*默认群组”下的可用功能。

Windows验证可使用这两种验证方法中的一种执行:NTLM或Kerberos验证。下面列出了这两种方法的执行要求:

NTLM验证的操作要求

要指定NTLM验证,必须满足以下要求:

  • 本机支持NTLMv1验证和NTLMv2验证。

  • 在要使用的域中创建域控制器。

  • 以下所列操作系统支持此功能。要在运行Active Directory时获取用户信息,请使用LDAP。如果您使用的是LDAP,我们建议您使用SSL来对机器和LDAP服务器之间的通信进行加密。只有在LDAP服务器支持TLSv1或SSLv3时,才能使用SSL进行加密。

    • Windows Server 2008/2008 R2

    • Windows Server 2012/2012 R2

Kerberos验证的操作要求

要指定Kerberos验证,必须满足以下要求:

  • 在要使用的域中创建域控制器。

  • 操作系统必须支持KDC(密钥分发中心)。要在运行Active Directory时获取用户信息,请使用LDAP。如果您使用的是LDAP,我们建议您使用SSL来对机器和LDAP服务器之间的通信进行加密。只有在LDAP服务器支持TLSv1或SSLv3时,才能使用SSL进行加密。下面列出了兼容的操作系统:

    • Windows Server 2008/2008 R2

    • Windows Server 2012/2012 R2

    要在Windows Server 2008中使用Kerberos验证,请安装Service Pack 2或更高版本。

  • 如果启用了Kerberos验证,则系统会对机器和KDC服务器之间的数据传输进行加密。有关指定加密传输的详细信息,请参见 Kerberos验证加密设置

注

  • 有关可用于登录用户名和密码的字符,请参见 可用于用户名和密码的字符

  • 随后访问机器时,您可使用所在群组及您个人可用的所有功能。

  • 在多个群组中注册的用户可以使用这些群组的所有可用功能。

  • 在Windows验证下,无需创建服务器证书,但希望使用SSL自动注册用户名等用户信息时除外。