認證漫遊

認證漫遊會使用現有的登入及自動註冊機制在使用者每次登入時，安全地將憑證及金鑰下載到本機電腦，如有需要，還能在使用者登出時將之移除。此外，這些認證的完整性在所有狀況中均會受到保護 (例如更新憑證，以及使用者同時登入一台以上的電腦時)。

下列步驟說明了數位認證漫遊的運作方式。

1. 使用者登入已連線至 Active Directory 網域的用戶端電腦。
   
   
2. 因為認證漫遊群組原則是登入處理程序的一部分，所以會套用到使用者電腦中。
   
   
3. 如果這是第一次使用認證漫遊，則會將用戶端電腦上使用者存放區中的憑證複製到 AD  DS 中。
   
   
4. 如果使用者在 AD  DS 中已有憑證，則用戶端電腦上使用者憑證存放區中的憑證會與儲存在 AD  DS 的使用者憑證進行比較。
   
   
5. 如果使用者憑證存放區中的憑證是最新的，則不需採取進一步的動作。然而，若較新的使用者憑證是儲存在 AD  DS 中，則會將這些認證複製到用戶端電腦中。若較新的使用者憑證是儲存在用戶端電腦中，則會將這些認證複製到 AD  DS 中。
   
   
6. 若在用戶端電腦上需要其他憑證，則會處理未執行的憑證自動註冊要求。
   
   

   	附註
   	最近簽發的憑證會儲存在用戶端電腦的憑證存放區中，並複寫到 AD  DS。

7. 在使用者登入已連線到該網域的另一台用戶端電腦時，會套用相同的群組原則設定，並再次從 AD  DS 中複寫憑證。認證漫遊會同步處理及解決憑證與私密金鑰 (來自該使用者登入的所有用戶端電腦) 間的所有衝突，而 AD  DS 也一樣。
   
   

   	重要
   	於多重網域環境及具有多重網域控制站的網域中，在向不同網域控制站確認使用者身分的電腦上簽發憑證之後，若使用者很快地便登入使用單一網域控制站的網路，則認證可能無法立即可用。唯有在這兩個網域或網域控制站間的複寫完成之後，認證才會變成可用。

8. 當使用者的憑證到期時，會自動將舊的憑證保存到電腦上的使用者設定檔及 AD  DS 中。
   
   

在任何時候，只要使用者本機憑證存放區中的私密金鑰或憑證有所變更、使用者鎖定或解除鎖定電腦，以及重新整理群組原則時，都會觸發認證漫遊。

本機電腦元件之間，及本機電腦與 AD  DS 之間的所有憑證相關通訊均會進行簽章及加密。