Tweet
Hiểu rõ tiến trình đăng nhập vào Domain AD DS qua 6 bước cụ thể
Nếu bạn đang làm trong lĩnh vực hệ thống hoặc mới bắt đầu tìm hiểu về Windows Server và Active Directory, thì hiểu rõ quy trình đăng nhập vào Domain là kiến thức nền tảng quan trọng. Khi người dùng đăng nhập vào một máy tính thuộc domain, có một chuỗi các bước xác thực được thực hiện giữa máy khách (client), bộ điều khiển miền (Domain Controller - DC), và các tài nguyên khác như máy chủ (Server).
Hãy cùng đi qua từng bước:
Bước 1: Xác thực người dùng với Domain Controller
Khi người dùng nhập thông tin đăng nhập (username/password) vào máy trạm (workstation), hệ thống sẽ gửi yêu cầu xác thực tới Domain Controller (DC). DC sẽ kiểm tra thông tin này trong cơ sở dữ liệu Active Directory. Nếu hợp lệ, người dùng được xác thực thành công.
👉 Tại bước này, Kerberos Authentication thường được sử dụng thay vì NTLM.
Bước 2: DC cấp Ticket Granting Ticket (TGT) cho máy khách
Sau khi xác thực thành công, Domain Controller gửi lại cho client một TGT (Ticket Granting Ticket). Đây là một dạng vé xác thực tạm thời, được mã hóa bằng khóa bí mật của dịch vụ KDC (Key Distribution Center) thuộc DC.
👉 TGT cho phép client yêu cầu thêm quyền truy cập khác mà không cần phải gửi lại username/password.
Bước 3: Client dùng TGT để xin truy cập vào Workstation
Mặc dù client đang ngồi trên máy workstation, hệ thống vẫn cần cấp quyền truy cập chính thức cho người dùng với tư cách domain user. Client gửi yêu cầu sử dụng TGT đến Domain Controller để xin truy cập chính thức vào workstation.
Bước 4: DC cấp phép truy cập Workstation
Domain Controller xác minh TGT và trả lại một Service Ticket (vé dịch vụ) cho phép client truy cập vào dịch vụ cụ thể — ở đây là truy cập máy trạm (workstation). Máy trạm giờ đây chấp nhận người dùng này là domain user và cấp quyền truy cập vào session.
Bước 5: Client dùng lại TGT để xin quyền truy cập Server
Giả sử người dùng cần truy cập một máy chủ khác trong domain (ví dụ: file server, SQL server,...), thì client tiếp tục sử dụng TGT để xin thêm một service ticket nữa từ Domain Controller — lần này là cho dịch vụ máy chủ.
Bước 6: DC cấp Service Ticket để truy cập Server
Domain Controller kiểm tra yêu cầu và trả lại Service Ticket tương ứng cho dịch vụ máy chủ đó. Sau đó, client gửi ticket này đến server đích và nếu hợp lệ, người dùng sẽ được cấp quyền truy cập đến tài nguyên máy chủ.
Kết luận:
Toàn bộ quá trình này giúp đảm bảo rằng mỗi truy cập đều được xác thực chặt chẽ theo cơ chế Kerberos Authentication – nhanh, bảo mật và không cần gửi mật khẩu lặp lại. Đây là lý do tại sao Active Directory trở thành lựa chọn phổ biến trong môi trường doanh nghiệp.
Nếu bạn đang làm trong lĩnh vực hệ thống hoặc mới bắt đầu tìm hiểu về Windows Server và Active Directory, thì hiểu rõ quy trình đăng nhập vào Domain là kiến thức nền tảng quan trọng. Khi người dùng đăng nhập vào một máy tính thuộc domain, có một chuỗi các bước xác thực được thực hiện giữa máy khách (client), bộ điều khiển miền (Domain Controller - DC), và các tài nguyên khác như máy chủ (Server).
Hãy cùng đi qua từng bước:
Bước 1: Xác thực người dùng với Domain Controller
Khi người dùng nhập thông tin đăng nhập (username/password) vào máy trạm (workstation), hệ thống sẽ gửi yêu cầu xác thực tới Domain Controller (DC). DC sẽ kiểm tra thông tin này trong cơ sở dữ liệu Active Directory. Nếu hợp lệ, người dùng được xác thực thành công.
👉 Tại bước này, Kerberos Authentication thường được sử dụng thay vì NTLM.
Bước 2: DC cấp Ticket Granting Ticket (TGT) cho máy khách
Sau khi xác thực thành công, Domain Controller gửi lại cho client một TGT (Ticket Granting Ticket). Đây là một dạng vé xác thực tạm thời, được mã hóa bằng khóa bí mật của dịch vụ KDC (Key Distribution Center) thuộc DC.
👉 TGT cho phép client yêu cầu thêm quyền truy cập khác mà không cần phải gửi lại username/password.
Bước 3: Client dùng TGT để xin truy cập vào Workstation
Mặc dù client đang ngồi trên máy workstation, hệ thống vẫn cần cấp quyền truy cập chính thức cho người dùng với tư cách domain user. Client gửi yêu cầu sử dụng TGT đến Domain Controller để xin truy cập chính thức vào workstation.
Bước 4: DC cấp phép truy cập Workstation
Domain Controller xác minh TGT và trả lại một Service Ticket (vé dịch vụ) cho phép client truy cập vào dịch vụ cụ thể — ở đây là truy cập máy trạm (workstation). Máy trạm giờ đây chấp nhận người dùng này là domain user và cấp quyền truy cập vào session.
Bước 5: Client dùng lại TGT để xin quyền truy cập Server
Giả sử người dùng cần truy cập một máy chủ khác trong domain (ví dụ: file server, SQL server,...), thì client tiếp tục sử dụng TGT để xin thêm một service ticket nữa từ Domain Controller — lần này là cho dịch vụ máy chủ.
Bước 6: DC cấp Service Ticket để truy cập Server
Domain Controller kiểm tra yêu cầu và trả lại Service Ticket tương ứng cho dịch vụ máy chủ đó. Sau đó, client gửi ticket này đến server đích và nếu hợp lệ, người dùng sẽ được cấp quyền truy cập đến tài nguyên máy chủ.
Kết luận:
Toàn bộ quá trình này giúp đảm bảo rằng mỗi truy cập đều được xác thực chặt chẽ theo cơ chế Kerberos Authentication – nhanh, bảo mật và không cần gửi mật khẩu lặp lại. Đây là lý do tại sao Active Directory trở thành lựa chọn phổ biến trong môi trường doanh nghiệp.