Windows 令牌有哪些不同类型以及它们有何不同？

Question

最近我一直在处理Windows LogonUser API。 LogonUser api 根据传递给 API 的 dwLogonType 返回不同的令牌。该文件提到：

• 该函数返回模拟令牌，而不是主令牌。你 不能直接在 CreateProcessAsUser 函数中使用此令牌。 但是，您可以调用 DuplicateTokenEx 函数来转换 令牌转换为主令牌，然后在 CreateProcessAsUser 中使用它。

• 如果您将令牌转换为主令牌并将其用于 CreateProcessAsUser启动一个进程，新进程无法访问 其他网络资源，例如远程服务器或打印机，通过 重定向器。一个例外是，如果网络资源不可用 访问受控制，然后新进程将能够访问它。

我对不同的令牌类型完全感到困惑。我想了解什么是不同的 Windows 令牌类型以及它们有何不同？

Answer 1

从历史上看（比如 17 年前）：

如果以用户 U 的身份在服务器 B 上运行的进程想要以同一用户的身份连接到服务器 C，则服务器之间的身份验证协议要求服务器 B 知道用户 U 的密码。

如果用户 U 登录到服务器 B，则这不是问题（用户必须输入密码）。

然而，假设用户 U 实际上在客户端 A 上登录并连接到服务器 B（可能是邮件服务器）。然后服务器 B 可以安全地确定它确实是用户 U 在连接，但服务器 B 永远不会看到 U 的密码，因此它无法代表 U 连接到服务器 C。

这种区别自然会产生两种用户令牌：

• 主要令牌代表“真正”登录并可以连接到其他网络资源的用户。
• 模拟令牌，代表实际登录到另一台计算机的经过身份验证的用户，因此该令牌不能用于访问其他网络资源（因为操作系统不知道密码，而这是服务器间身份验证协议所要求的）。

回到今天，事情变得更加复杂，因为例如 Kerberos 身份验证支持跨多个服务器的委派，但除非您明确启用此功能，否则上述相同限制仍然适用。

回到您的问题，您提到的限制仅在您请求 LOGON32_LOGON_NETWORK 令牌时才适用。正如文档所说，这是对不需要访问其他网络资源的网络服务器的快速登录；如果您确实需要此访问权限，请选择其他登录类型。

为了进一步阅读，本文已过时，但确实涵盖了各种模拟和委托选项。