Windows驗證
Windows驗證只有在安裝了選購件硬碟才能使用。
使用Windows網域控制站驗證擁有目錄伺服器帳戶的使用者時,請指定此驗證。如果使用者在目錄伺服器中沒有帳戶,則無法進行驗證。在Windows驗證下,可為每個在目錄伺服器中登記的群組指定存取限制。可將儲存於目錄伺服器上的通訊錄登記至機器,如此一來,不須先使用機器在通訊錄中登記個別設定,就可啟用使用者驗證。
第一次存取機器時,您可以使用可供您群組使用的功能。如果您沒有被登記在群組中,則可以使用「* 預設群組」下的可用功能。若要限制僅特定使用者可以使用的功能,請在通訊錄中進行設定。
若要在Windows驗證下自動登記使用者資訊,建議使用SSL加密機器與網域控制站之間的通訊。若要這麼做,您必須建立網域控制站的伺服器憑證。關於建立伺服器憑證的詳細資訊,請參閱 建立伺服器憑證。
如果使用Windows驗證,在目錄伺服器中登記的使用者資訊(例如,登入使用者名稱)會自動登記在機器的通訊錄中。即使已在機器上編輯自動登記在機器通訊錄中的使用者資訊,也會在執行驗證時由目錄伺服器的資訊加以覆寫。
由其他網域管理的使用者亦需要使用者驗證,但他們無法取得登入使用者名稱等項目。
如果您在網域控制站中建立了新的使用者,並在密碼設定時選擇了「使用者必須在下次登入時變更密碼」,請先從電腦登入並變更密碼。
如果在機器上選擇了Kerberos驗證,但驗證伺服器只支援NTLM,則驗證方法將自動切換為NTLM。
如果啟用Windows伺服器上的「Guest(來賓)」帳戶,也可以驗證未在網域控制站中登記的使用者。啟用此帳戶時,使用者就會登記在通訊錄中,並且可以使用「* 預設群組」下的可用功能。
可以下列兩種驗證方法之一執行Windows驗證:NTLM或Kerberos驗證。以下列出這兩種方法的操作要求:
NTLM驗證的操作要求
若要指定NTLM驗證,必須符合下列要求:
本機支援NTLMv1驗證和NTLMv2驗證。
在要使用的網域中設定網域控制站。
功能受到以下列出的作業系統所支援。若要在Active Directory執行時取得使用者資訊,請使用LDAP。如果您使用LDAP,建議您使用SSL加密本機和LDAP伺服器之間的通訊。LDAP伺服器必須支援TLSv1或SSLv3,才能進行SSL加密。
Windows Server 2008/2008 R2
Windows Server 2012/2012 R2
Windows Server 2016
Windows Server 2019
Kerberos驗證的操作要求
若要指定Kerberos驗證,必須符合下列要求:
在要使用的網域中設定網域控制站。
作業系統必須支援KDC(金鑰發佈中心)。若要在Active Directory執行時取得使用者資訊,請使用LDAP。如果您使用LDAP,建議您使用SSL加密本機和LDAP伺服器之間的通訊。LDAP伺服器必須支援TLSv1或SSLv3,才能進行SSL加密。以下列出相容的作業系統:
Windows Server 2008/2008 R2
Windows Server 2012/2012 R2
Windows Server 2016
Windows Server 2019
若要在Windows Server 2008的環境中使用Kerberos驗證,請安裝Service Pack 2或更新的版本。
如果啟用Kerberos驗證,則會將機器和KDC伺服器之間的資料傳送加密。關於指定加密傳送的詳細資訊,請參閱 Kerberos驗證加密設定。
關於登入使用者名稱和密碼可使用之字元的詳細資訊,請參閱 使用者名稱和密碼可用字元。
之後存取機器時,您可以使用可供您群組使用的所有功能,以及身為個別使用者可使用的所有功能。
登記在多個群組中的使用者可以使用所屬群組所有的可用功能。
在Windows驗證下,只有在您想使用SSL自動登記使用者資訊(例如,使用者名稱)時,才需要建立伺服器憑證。