爲了說明身份驗證過程,下圖描述了登錄嘗試不起作用時發生的步驟。
客戶端計算機將用戶登錄信息提供給域控制器。這包括用戶帳戶名和其密碼的加密哈希。該信息可以發送到任何域控制器,並且通常發送到被標識爲最接近客戶端計算機的域控制器。
當域控制器檢測到身份驗證嘗試不起作用並且返回STATUS_WRONG_PASSWORD,STATUS_PASSWORD_EXPIRED,STATUS_PASSWORD_MUST_CHANGE或STATUS_ACCOUNT_LOCKED_OUT的條件時,域控制器會將身份驗證嘗試轉發給主域控制器(PDC)仿真器操作主機。本質上,域控制器查詢PDC以權威性確定密碼是否爲當前密碼。域控制器向PDC查詢此信息,因爲域控制器可能沒有該用戶的最新密碼,但是根據設計,PDC仿真器操作主機始終具有最新密碼。
PDC仿真器操作主機將重試身份驗證請求,以驗證密碼是否正確。如果PDC模擬器操作主機拒絕該錯誤密碼,則PDC模擬器操作主機將爲該用戶對象增加badPwdCount屬性。PDC是對用戶密碼有效性的授權。
失敗的登錄結果信息由PDC仿真器操作主機發送到身份驗證域控制器。
身份驗證域控制器還爲用戶對象增加了其badPwdCount屬性的副本。
然後,進行身份驗證的域控制器將響應發送到客戶端計算機,以通知域控制器登錄嘗試無效。
只要該用戶,程序或服務繼續向身份驗證域控制器發送錯誤的憑據,由於密碼錯誤而失敗的登錄嘗試將繼續轉發到PDC,直到達到錯誤登錄嘗試的閾值爲止(如果您將其設置爲政策)。發生這種情況時,該帳戶將被鎖定。