وصف استخدام أما في سيناريوهات تسجيل الدخول التبادلي في Windows

هام: تمت ترجمة هذه المقالة باستخدام برامج مايكروسوفت للترجمة الآلية ومن المحتمل ان يتم تحريرها او تدقيقها بعد ذلك من خلال تكنولوجيا منصة مجموعات الترجمة(CTF) او من خلال مترجم بشري. تقدم لك شركة مايكروسوفت هذه المقالات المترجمة بشكل آلي او بالترجمة البشرية او بعد تحريرها وتدقيقها من قبل مجموعات الترجمة حتى تمكنكم من الوصول إلى جميع المقالات الموجودة في قواعد المعرفة لديها بلغات مختلفة. إلا أن المقالات المترجمة قد تحتوي على أخطاء في المفردات او بناء الجمل او النحو. وعليه، فإن شركة مايكروسوفت ليست مسؤولة عن اية أخطاء او عدم دقة في الترجمة او أية أضرار قد تحدث نتيجة أخطاء في ترجمة محتويات النص او استخدامه من قبل العملاء.

اضغط هنا لرابط المقالة باللغة الانجليزية3101129
الموجز
تتناول هذه المقالة كيفية استخدام مصادقة إليه ضمان (ولكن) في سيناريوهات تسجيل الدخول التبادلي.
مقدمة
يضيف أما الحصول على عضوية مجموعة العالمية، المعين من قبل المسؤول للرمز المميز للوصول للمستخدم عندما يتم مصادقة بيانات الاعتماد للمستخدم أثناء تسجيل الدخول باستخدام أسلوب مستند إلى شهادة تسجيل دخول. هذا يجعل من الممكن للمسؤولين موارد الشبكة للتحكم في الوصول إلى الموارد، مثل الملفات والمجلدات والطابعات. يستند هذا الوصول على ما إذا كان المستخدم بتسجيل الدخول باستخدام أسلوب تسجيل دخول المستندة إلى شهادة ونوع الشهادة التي تم استخدامها لتسجيل الدخول.
في هذه المقالة.
تركز هذه المقالة على اثنين من السيناريوهات المشكلة: تسجيل الدخول/تسجيل الخروج وتأمين/إلغاء تأمين. سلوك الاحتكار في هذه السيناريوهات "حسب التصميم" ويمكن تلخيصها كما يلي:

  • أما تهدف إلى حماية موارد شبكة الاتصال.
  • أما لا تستطيع تحديد أو فرض نوع تسجيل الدخول التبادلي (البطاقة الذكية أو اسم المستخدم/كلمة المرور) للكمبيوتر المحلي للمستخدم. وهذا لأنه لا يمكن حماية الموارد التي يتم الوصول إليها بعد تسجيل دخول كمستخدم الحالي موثوق بها باستخدام أما.
الأعراض

مشكلة السيناريو 1 (تسجيل الدخول/تسجيل الخروج)

يرجى مراعاة السيناريو التالي:
  • إذا أراد مسؤول ما فرض مصادقة تسجيل دخول "البطاقة الذكية" (SC) عند المستخدمين الوصول إلى بعض الموارد المتعلقة بالأمان. للقيام بذلك، يقوم المسؤول بنشر أما وفقا ضمان إليه مصادقة AD DS في Windows Server 2008 R2 دليل خطوة بخطوة معرف كائن نهج الإصدار الذي يتم استخدامه في كافة شهادات البطاقات الذكية.

    ملاحظة: في هذه المقالة، نعتبرها هذه المجموعة المعينة الجديدة "البطاقة الذكية مجموعة الأمان العالمية."
  • "تسجيل دخول تبادلي: يتطلب بطاقة ذكية" النهج غير ممكن على محطات العمل. ولذلك، المستخدمين تسجيل الدخول باستخدام بيانات اعتماد أخرى، مثل اسم المستخدم وكلمة المرور.
  • المحلية والوصول إلى موارد شبكة الاتصال يتطلب مجموعة الأمان العالمية البطاقة الذكية.
في هذا السيناريو، تتوقع ذلك المستخدم الوحيد الذي يوقع باستخدام البطاقات الذكية يمكن الوصول المحلي وموارد شبكة الاتصال. ومع ذلك، لمحطة العمل يسمح بتسجيل الدخول المحسنة/مؤقتاً، يتم استخدام المدقق المخزنة مؤقتاً أثناء تسجيل الدخول لإنشاء الرمز المميز للوصول NT لسطح مكتب المستخدم. ولذلك، مجموعات الأمان وطلبات تسجيل الدخول السابقة تستخدم بدلاً من الحالي.

أمثلة سيناريو

ملاحظة: في هذه المقالة، يتم استرداد عضوية المجموعة لجلسات عمل تسجيل دخول تبادلي باستخدام "whoami/المجموعات". يسترد هذا الأمر مجموعات والمطالبات من الرمز المميز للوصول لسطح المكتب.

  • مثال 1

    إذا تم إجراء تسجيل الدخول السابقة باستخدام بطاقة ذكية، يحتوي الرمز المميز للوصول لسطح المكتب مجموعة الأمان العالمية البطاقة الذكية التي يتم توفيرها من قبل الاحتكار. تحدث أحد النتائج التالية:

    • المستخدم بتسجيل الدخول باستخدام البطاقة الذكية: لا يزال يمكن للمستخدم الوصول الأمن المحلية الموارد الهامة. يحاول المستخدم الوصول إلى موارد شبكة الاتصال التي تتطلب مجموعة الأمان العالمية البطاقة الذكية. تنجح هذه المحاولات.
    • المستخدم بتسجيل الدخول باستخدام اسم المستخدم وكلمة المرور: لا يزال يمكن للمستخدم الوصول الأمن المحلية الموارد الهامة. هذه النتيجة غير المتوقعة. يحاول المستخدم الوصول إلى موارد شبكة الاتصال التي تتطلب مجموعة الأمان العالمية البطاقة الذكية. فشل هذه المحاولات كما هو متوقع.
  • مثال 2

    إذا تم إجراء تسجيل الدخول السابقة باستخدام كلمة مرور، الرمز المميز للوصول لسطح المكتب ليس لديه مجموعة الأمان العالمية البطاقة الذكية التي يتم توفيرها من قبل الاحتكار. تحدث أحد النتائج التالية:

    • المستخدم بتسجيل الدخول باستخدام اسم المستخدم وكلمة المرور: يتعذر على المستخدم الوصول إلى الموارد الهامة الأمان المحلي. يحاول المستخدم الوصول إلى موارد شبكة الاتصال التي تتطلب مجموعة الأمان العالمية البطاقة الذكية. فشل هذه المحاولات.
    • المستخدم بتسجيل الدخول باستخدام البطاقة الذكية: يتعذر على المستخدم الوصول إلى الموارد الهامة الأمان المحلي. يحاول المستخدم الوصول إلى موارد شبكة الاتصال. تنجح هذه المحاولات. Outcomeisn't هذا المتوقع من قبل العملاء. ولذلك، فإنه يتسبب الوصول إلى مشاكل في التحكم.

مشكلة السيناريو 2 (تأمين/إلغاء تأمين)

يرجى مراعاة السيناريو التالي:

  • إذا أراد مسؤول ما فرض مصادقة تسجيل دخول "البطاقة الذكية" (SC) عند المستخدمين الوصول إلى بعض الموارد المتعلقة بالأمان. للقيام بذلك، يقوم المسؤول بنشر أما استناداً إلى ضمان إليه مصادقة AD DS في Windows Server 2008 R2 دليل خطوة بخطوة معرف كائن نهج الإصدار الذي يتم استخدامه في كافة شهادات البطاقات الذكية.
  • "تسجيل دخول تبادلي: يتطلب بطاقة ذكية" النهج غير ممكن على محطات العمل. ولذلك، المستخدمين تسجيل الدخول باستخدام بيانات اعتماد أخرى، مثل اسم المستخدم وكلمة المرور.
  • المحلية والوصول إلى موارد شبكة الاتصال يتطلب مجموعة الأمان العالمية البطاقة الذكية.
في هذا السيناريو، تتوقع أن يمكن الوصول المحلي مستخدم الذي يعتمد باستخدام البطاقات الذكية وموارد شبكة الاتصال. ومع ذلك، لأنه يتم إنشاء الرمز المميز للوصول لسطح مكتب المستخدم أثناء تسجيل الدخول، فإنه لم يتغير.

أمثلة سيناريو

  • مثال 1

    إذا كان الرمز المميز للوصول لسطح المكتب مجموعة الأمان العالمية البطاقة الذكية المتوفرة بقصره، إحدى النتائج التالية يحدث:

    • يفتح المستخدم باستخدام البطاقة الذكية: لا يزال يمكن للمستخدم الوصول الأمن المحلية الموارد الهامة. يحاول المستخدم الوصول إلى موارد شبكة الاتصال التي تتطلب مجموعة الأمان العالمية البطاقة الذكية. تنجح هذه المحاولات.
    • يفتح المستخدم باستخدام اسم المستخدم وكلمة المرور: لا يزال يمكن للمستخدم الوصول الأمن المحلية الموارد الهامة. هذا outcomeisn't المتوقع. يحاول المستخدم الوصول إلى موارد شبكة الاتصال التي تتطلب مجموعة الأمان العالمية البطاقة الذكية. فشل هذه المحاولات.
  • مثال 2

    إذا لم يكن الرمز المميز للوصول لسطح المكتب مجموعة الأمان العالمية البطاقة الذكية المتوفرة بقصره، إحدى النتائج التالية يحدث:

    • يفتح المستخدم باستخدام اسم المستخدم وكلمة المرور: يتعذر على المستخدم الوصول إلى الموارد الهامة الأمان المحلي. يحاول المستخدم الوصول إلى موارد شبكة الاتصال التي تتطلب مجموعة الأمان العالمية البطاقة الذكية. فشل هذه المحاولات.
    • يفتح المستخدم باستخدام البطاقة الذكية: يتعذر على المستخدم الوصول إلى الموارد الهامة الأمان المحلي. هذا outcomeisn't المتوقع. يحاول المستخدم الوصول إلى موارد شبكة الاتصال. تنجح هذه المحاولات كما هو متوقع.
معلومات أخرى
وبسبب التصميم الاحتكار والنظام الفرعي للأمان الموضحة في قسم "الأعراض"، يتعرض المستخدمون السيناريوهات التالية أما تحديد نوع تسجيل دخول تبادلي لا أمانة.

تسجيل الدخول/تسجيل الخروج

إذا كان نشطاً أمثلية "تسجيل الدخول السريع"، يستخدم "المحلي النظام الفرعي للأمان" (lsass) ذاكرة التخزين المؤقت المحلية لإنشاء عضوية المجموعة في الرمز المميز لتسجيل الدخول. عند القيام بذلك، يتم الاتصال بوحدة تحكم المجال (DC) غير مطلوب. لذلك، يتم تقليل وقت تسجيل الدخول. هذه ميزة مرغوب فيه للغاية.

بيد أن هذا الوضع يثير المشكلة التالية: تسجيل بعد دخول اتفاقية استكهولم والخروج SC، مجموعة الاحتكار المحلي المخزن مؤقتاً، بشكل غير صحيح، لا تزال موجودة في الرمز المميز للمستخدم بعد المستخدم/كلمة المرور اسم تسجيل دخول تبادلي.

ملاحظات:

  • هذا الموقف ينطبق فقط على تسجيلات الدخول التبادلية.
  • مجموعة الاحتكار مؤقتاً بنفس الطريقة وباستخدام نفس المنطق كمجموعات أخرى.

في هذه الحالة، إذا كان ثم يحاول المستخدم الوصول إلى موارد الشبكة، عضوية المجموعة المخزنة مؤقتاً على sideisn'tused الموارد وجلسة تسجيل دخول المستخدم على جانب الموارد لن يحتوي مجموعة الاحتكار.

يمكنك إصلاح هذه المشكلة بإيقاف تشغيل "أمثلية تسجيل الدخول السريع" ("تكوين الكمبيوتر > قوالب الإدارة > النظام > تسجيل الدخول > الانتظار دوماً من أجل شبكة الاتصال عند بدء تشغيل الكمبيوتر وتسجيل الدخول").

هام يعتبر هذا السلوك ذات الصلة فقط في سيناريو تسجيل الدخول التبادلي. ستعمل الوصول إلى موارد شبكة الاتصال كما هو متوقع لأنه ليست هناك حاجة لتحسين تسجيل الدخول. لذلك، التخزين المؤقت membershipisn't مجموعة المستخدم. يتم الاتصال بوحدة تحكم المجال لإنشاء تذكرة جديدة باستخدام معلومات عضوية المجموعة أما الطازجة.

تأمين/إلغاء تأمين

يرجى مراعاة السيناريو التالي:

  • مستخدم تسجيل الدخول بشكل تفاعلي باستخدام البطاقة الذكية وثم يفتح موارد الشبكة المحمية بالاحتكار.

    ملاحظة: أما الشبكة المحمية الموارد يمكن الوصول إلى المستخدمين الذين لديهم مجموعة قصره في الرمز المميز للوصول الخاص بهم.
  • المستخدم بتأمين الكمبيوتر دون إغلاق مورد الشبكة المحمية بقصره مفتوحة مسبقاً.
  • المستخدم إلغاء تأمين الكمبيوتر باستخدام اسم المستخدم وكلمة المرور للمستخدم الذي قام بتسجيل الدخول باستخدام بطاقة الذكية سابقا).
في هذا السيناريو، يمكن المستخدم الوصول إلى موارد محمية أما لا تزال بعد إلغاء تأمين الكمبيوتر. يعتبر هذا السلوك حسب التصميم. يتم إلغاء تأمين الكمبيوتر وينت، Windows إعادة إنشاء كافة جلسات العمل المفتوحة قد موارد شبكة الاتصال. Windows أيضا عدم إعادة فحص عضوية المجموعة. وهذا لأن هذه الإجراءات قد يؤدي عقوبات الأداء غير المقبول.

لا يوجد خارج نطاق صندوق حل لهذا السيناريو. قد يكون أحد الحلول لإنشاء عامل تصفية "موفر بيانات اعتماد" تصفية الموفر المستخدم اسم وكلمة السر بعد دخول اتفاقية استكهولم وتأمين الخطوات تحدث. لمزيد من المعلومات حول "موفر بيانات الاعتماد"، راجع الموارد التالية:

ملاحظة: لا يمكن أن نؤكد ما إذا كان هذا النهج من أي وقت مضى قد نفذت بنجاح.

مزيد من المعلومات حول الاحتكار

أما لا تستطيع تحديد أو فرض نوع تسجيل الدخول التبادلي (البطاقة الذكية أوروسير الاسم/كلمة المرور). يعتبر هذا السلوك حسب التصميم.

أما المقصود للسيناريوهات التي تتطلب موارد الشبكة بطاقة ذكية. قد غير مقصود به أن الوصول المحلي أوسيدفور.

أي محاولة لحل هذه المشكلة من خلال تقديم الميزات الجديدة مثل القدرة على استخدام عضوية المجموعة الحيوية أو للتعامل مع مجموعات أما كمجموعة حيوية، يمكن أن تسبب مشاكل كبيرة. هذا سبب لا تدعم رموز NT عضويات المجموعة الحيوية. وإذا سمح النظام مجموعات إلى تهذيب في الوقت الحقيقي، قد منع المستخدمين من التفاعل مع سطح المكتب والتطبيقات الخاصة بهم. ولذلك، عضوية المجموعة مؤمنة في الوقت الذي تم إنشاء جلسة العمل وطوال الدورة.

عمليات تسجيل الدخول المخزنة مؤقتاً أيضا مشكلة. إذا تم تمكين تسجيل الدخول المحسنة، يحاول lsass ذاكرة التخزين مؤقت محلية أولاً قبل أن يستدعي شبكة ذهابا وإيابا. في حالة مطابقة لما رآه lsass لتسجيل الدخول السابقة (وهذا صحيح بالنسبة لمعظم عمليات تسجيل الدخول) اسم المستخدم وكلمة المرور، lsass إنشاء رمز مميز عضويات المجموعة نفسها التي لدى المستخدم مسبقاً.

إذا تم إيقاف تشغيل تسجيل الدخول المحسنة، ستكون هناك حاجة شبكة ذهابا وإيابا. ثيسوولد التأكد من أن عضوية المجموعة تعمل عند تسجيل الدخول كما هو متوقع.

وفي تسجيل دخول المخزنة مؤقتاً، تبقى lsass إدخال واحد لكل مستخدم. يتضمن هذا الإدخال المستخدم عضوية المجموعة السابقة. هذا يحمي كلا الأخير باسوردور البطاقة الذكية بيانات الاعتماد التي شاهدتها lsass. بسط كليهما نفس مفتاح رمز مميز وبيانات الاعتماد. إذا قام المستخدمين بمحاولة تسجيل الدخول باستخدام بيانات اعتماد التي لا معنى لها مفتاح، فقدان البيانات والمحتوى المحمي EFS وهكذا DPAPI. لذلك، تنتج عمليات تسجيل الدخول المخزنة مؤقتاً دائماً أحدث عضوية مجموعة محلية، بغض النظر عن الآلية التي يتم استخدامها لتسجيل الدخول.
مصادقة إليه ضمان أما تسجيل الدخول التبادلي

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 3101129 - آخر مراجعة: 11/21/2015 02:07:00 - المراجعة: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Enterprise, Windows 7 Professional

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMtar
تعليقات