Транзитная аутентификация в однодоменной сети
Если пользователь входит с рабочей станции Windows NT Workstation в домен, то рабочая станция не обращается для аутентификации в свою базу SAM, а выполняет транзитную аутентификацию. Транзитная аутентификация заключается в поиске первичного или вторичного контроллеров домена и передаче им данных о пользователе. Контроллер домена, получив данные пользователя, выполняет просмотр своей базы SAM DP или SAM PD и на основании хранящихся там данных выполняет процедуру аутентификации. Естественно, что прошедшему аутентификацию пользователю присваивается SID, хранящийся в базе SAM контроллера домена, а не той рабочей станции, с которой пользователь выполняет логический вход.
Если у разделяемых ресурсов всех серверов домена данный SID включен в списки прав доступа ACL, то пользователь после входа в домен автоматически получает соответствующие права доступа к этим ресурсам.
Таким образом, централизованная справочная служба контроллеров PDC и BDC обеспечивает свойство единственности логического входа в систему - пользователь не должен каждый раз проходить через процедуру аутентификации при попытке получить доступ к ресурсам нового сервера Windows NT Server.