Popis používání AMA v situacích interaktivní přihlašování v systému Windows

DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.

Projděte si také anglickou verzi článku: 3101129
Souhrn
Tento článek popisuje, jak používat ověřovací mechanismus pojištění (AMA) čteno interaktivní přihlášení.
Úvod
Při ověření přihlašovacích údajů uživatele při přihlášení pomocí metody založené na certifikátech přihlášení AMA přidá členství ve skupině správce označil, univerzální do přístupového tokenu uživatele. To umožňuje správci prostředků sítě pro řízení přístupu k prostředkům, jako jsou soubory, složky a tiskárny. Tento přístup je založen na tom, zda se uživatel přihlásí pomocí metody založené na certifikátech přihlášení a typ certifikátu, který se používá k přihlášení.
V tomto článku
Tento článek se zaměřuje na dva scénáře problému: přihlášení či odhlášení a uzamčení. Chování AMA v těchto scénářích je "design" a lze shrnout takto:

  • AMA je určena k ochraně síťové prostředky.
  • AMA nelze identifikovat ani vynutit typ interaktivní přihlašování (čipová karta nebo uživatelské jméno a heslo) pro uživatele v místním počítači. Je to proto, že prostředky, které jsou přístupné po interaktivní přihlášení nelze spolehlivě chráněny pomocí AMA.
Příznaky

Scénář 1 problém (přihlášení či odhlášení)

Jde o takovouto situaci:
  • Správce chce při přístupu uživatelů k určitým prostředkům citlivé na zabezpečení Vynutit ověření přihlášení čipové karty (SC). To lze provést správce instaluje AMA podle Funkce Záruka ověřovacího mechanismu pro služba AD DS v systému Windows Server 2008 R2, podrobný Průvodce pro identifikátor objektu zásad vystavování používané ve všech certifikátů karet smart card.

    Poznámka: V tomto článku se označují nové mapované skupiny jako "skupina zabezpečení univerzální čipové karty."
  • "Interaktivní přihlašování: Požadovat kartu smart card" zásad není povoleno na pracovních stanicích. Uživatelé mohou tedy přihlásit pomocí jiného pověření, například uživatelské jméno a heslo.
  • Místní a přístup k prostředkům sítě vyžaduje zabezpečení univerzální skupiny karet smart card.
V tomto scénáři očekáváte, že pouze uživatel, který podepisuje pomocí karty smart card lze získat přístup k místním a síťovým prostředkům. Však protože pracovní stanice umožňuje optimalizovat mezipaměti přihlášení, mezipaměti ověřování se používá při přihlášení k vytvoření NT přístupový token pro plochu. Proto skupin zabezpečení a nároky z předchozího přihlášení slouží místo stávající.

Příklady scénářů

Poznámka: V tomto článku je členství ve skupině načíst interaktivní přihlašování relací pomocí "whoami skupiny." Tento příkaz načte skupin a nároky z tokenu přístupu na ploše.

  • Příklad 1

    Pokud předchozí přihlášení byl proveden pomocí karty smart card, má přístupový token pro plochu pomocí karty smart card univerzální skupina, pochází od AMA. Dojde k jedné z následujících výsledků:

    • Přihlášení pomocí karty smart card: má uživatel stále přístup místního zabezpečení citlivých prostředků. Uživatel se pokusí získat přístup k síťovým prostředkům, které vyžadují zabezpečení univerzální skupiny karet smart card. Tyto pokusy úspěšné.
    • Přihlášení pomocí uživatelského jména a hesla: uživatel stále přístup místního zabezpečení citlivých prostředků. Tento výsledek není očekáván. Uživatel se pokusí získat přístup k síťovým prostředkům, které vyžadují zabezpečení univerzální skupiny karet smart card. Tyto pokusy selžou, podle očekávání.
  • Příklad 2

    Pokud předchozí přihlášení byl proveden pomocí hesla, přístupový token pro plochu pomocí karty smart card univerzální skupina, pochází od AMA nemá. Dojde k jedné z následujících výsledků:

    • Přihlášení pomocí uživatelského jména a hesla: uživatel přístup k prostředkům citlivé místního zabezpečení. Uživatel se pokusí získat přístup k síťovým prostředkům, které vyžadují zabezpečení univerzální skupiny karet smart card. Tyto pokusy selžou.
    • Přihlášení pomocí karty smart card: uživatel přístup k prostředkům citlivé místního zabezpečení. Uživatel se pokusí získat přístup k síťovým prostředkům. Tyto pokusy úspěšné. Tento outcomeisn't očekávání zákazníků. Proto způsobí, že aplikace access potíže s řízením.

Problém 2 scénář (uzamčení)

Jde o takovouto situaci:

  • Správce chce při přístupu uživatelů k určitým prostředkům citlivé na zabezpečení Vynutit ověření přihlášení čipové karty (SC). To lze provést správce instaluje AMA podle Funkce Záruka ověřovacího mechanismu pro služba AD DS v systému Windows Server 2008 R2, podrobný Průvodce pro identifikátor objektu zásad vystavování používané ve všech certifikátů karet smart card.
  • "Interaktivní přihlašování: Požadovat kartu smart card" zásad není povoleno na pracovních stanicích. Uživatelé mohou tedy přihlásit pomocí jiného pověření, například uživatelské jméno a heslo.
  • Místní a přístup k prostředkům sítě vyžaduje zabezpečení univerzální skupiny karet smart card.
V tomto scénáři očekáváte, že pouze uživatel, který podepíše pomocí karty smart card lze získat přístup k místním a síťovým prostředkům. Nicméně protože přístupový token pro plochu uživatele je vytvořen při přihlášení, nezmění.

Příklady scénářů

  • Příklad 1

    Má-li přístupový token pro plochu karty smart card zabezpečení univerzální skupiny poskytované AMA, dojde k jedné z následujících výsledků:

    • Odemkne uživatele pomocí karty smart card: má uživatel stále přístup místního zabezpečení citlivých prostředků. Uživatel se pokusí získat přístup k síťovým prostředkům, které vyžadují zabezpečení univerzální skupiny karet smart card. Tyto pokusy úspěšné.
    • Odemkne uživatele pomocí uživatelského jména a hesla: uživatel stále přístup místního zabezpečení citlivých prostředků. Tento outcomeisn't očekávání. Uživatel se pokusí získat přístup k síťovým prostředkům, které vyžadují zabezpečení univerzální skupiny karet smart card. Tyto pokusy selžou.
  • Příklad 2

    Není-li přístupový token pro plochu karty smart card zabezpečení univerzální skupiny poskytované AMA, dojde k jedné z následujících výsledků:

    • Odemkne uživatele pomocí uživatelského jména a hesla: uživatel přístup k prostředkům citlivé místního zabezpečení. Uživatel se pokusí o přístup k síťovým prostředkům, které vyžadují zabezpečení univerzální skupiny karet smart card. Tyto pokusy selžou.
    • Odemkne uživatele pomocí karty smart card: uživatel přístup k prostředkům citlivé místního zabezpečení. Tento outcomeisn't očekávání. Uživatel se pokusí získat přístup k síťovým prostředkům. Tyto pokusy úspěšné podle očekávání.
Další informace
Je navržena AMA a podsystém zabezpečení, která je popsána v části "Příznaky" uživatelé zaznamenat následující scénáře, ve kterých AMA nelze spolehlivě identifikovat typ interaktivní přihlášení.

Přihlášení/odhlášení.

Pokud je aktivní Optimalizace rychlého přihlášení, místním podsystémem zabezpečení (lsass) místní mezipaměti používá ke generování členství ve skupině v tokenu přihlášení. Tímto způsobem komunikace s řadičem domény (DC) není nutné. Proto se snižuje čas přihlášení. Jedná se o velmi žádanou funkci.

Však tato situace způsobí, že následující problém: po SC přihlašování a odhlašování SC, umístěné v místní mezipaměti skupina AMA se nesprávně, stále ještě v tokenu uživatele po interaktivní přihlášení uživatelské jméno a heslo.

Poznámky

  • Tato situace se týká pouze interaktivní přihlášení.
  • Skupinu AMA ukryto stejným způsobem a s použitím stejné logiky jako ostatní skupiny.

V této situaci pokud se uživatel pokusí získat přístup k síťovým prostředkům, členství ve skupinách v mezipaměti v sideisn'tused prostředků a relace přihlášení uživatele na straně zdrojů nebude obsahovat skupinu AMA.

Lze tento problém vyřešen, vypněte Optimalizace rychlého přihlášení ("Konfigurace počítače > šablony pro správu > systému > přihlášení > sítě při spouštění a přihlašování počítače vždy počkat").

Důležité Toto chování je relevantní pouze v případě interaktivního přihlášení. Přístup k síťovým prostředkům bude fungovat podle očekávání, protože není nutné pro optimalizaci přihlášení. Proto do mezipaměti používá membershipisn't skupiny. Chcete-li vytvořit nový lístek pomocí nejčerstvější informace o členství ve skupině AMA je kontaktován řadič domény.

Zamknout/odemknout

Jde o takovouto situaci:

  • Uživatel interaktivně přihlášení pomocí karty smart card a poté otevře AMA chráněné síťovým prostředkům.

    Poznámka: AMA chráněné sítě, prostředky lze získat přístup pouze uživatelé, kteří mají skupinu AMA v jejich přístupový token.
  • Uživatel uzamkne počítač bez první zavření dříve otevřeného chráněné AMA síťovému prostředku.
  • Uživatel počítač odemkne pomocí uživatelského jména a hesla uživatele stejný, který dříve přihlášení pomocí karty smart card).
V tomto případě má uživatel stále přístup AMA chráněné prostředky po odemčení počítače. Toto chování je záměrné. Whenthe počítače je odemknut, systém Windows znovu nevytvoří otevřených relací, které měly síťové prostředky. Systém Windows také není znovu zkontrolovat členství ve skupině. Je to proto, že tyto akce by způsobilo nepřijatelný výkon sankce.

Neexistuje žádné řešení out-of-box pro tento scénář. Řešením by bylo vytvořit zprostředkovatele pověření filtr, který filtruje Zprostředkovatel uživatelské jméno a heslo po přihlášení SC a provedeny kroky zámku. Další informace o zprostředkovateli pověření, naleznete v následujících zdrojích:

Poznámka: Jsme nelze potvrdit, zda tento přístup stále bylo úspěšně provedeno.

Další informace o AMA

AMA nelze identifikovat ani vynutit typ interaktivní přihlašování (čipová karta oruser jméno a heslo). Toto chování je záměrné.

AMA je určen pro scénáře, ve kterých síťových prostředků požadovat kartu smart card. To má nemají být usedfor místní přístup.

Jakýkoli pokus o řešení tohoto problému zavádí nové funkce, například možnost použít dynamické členství nebo skupinám popisovač AMA jako dynamická skupina může způsobit významné problémy. Z tohoto důvodu tokeny NT nepodporují dynamické členství. Pokud skupiny, které chcete oříznout v reálném systému, může být uživatelům zabráněno interakci s jejich plochy a aplikací. Proto členství ve skupinách jsou uzamčeny v době, která je vytvořena relace a jsou udržovány v rámci relace.

V mezipaměti přihlášení jsou také problematické. Pokud je povoleno přihlášení optimalizované, lsass nejprve se pokusí místní mezipaměti před vyvolá síti výměna zpráv. Pokud uživatelské jméno a heslo jsou stejné služby lsass viděli předchozí přihlášení (to platí pro většinu přihlašování), vytvoří služba lsass token, který má stejné členství ve skupinách, které má uživatel dříve.

Pokud optimalizaci přihlášení je vypnutý, bude vyžadován odezvy sítě. Ujistěte se, že členství ve skupině očekávaným způsobem při přihlášení Thiswould.

V přihlášení z mezipaměti služby lsass udržuje jedna položka pro jednotlivé uživatele. Tato položka zahrnuje předchozí skupiny členství uživatele. To je chráněn i poslední passwordor pověření čipové karty, viděli lsass. Jak zrušit zalomení stejný klíč tokenu a pověření. Pokud uživatelé pokusí přihlásit pomocí klíče zastaralé pověření, se ztratí data rozhraní DPAPI, obsah chráněný pomocí systému souborů EFS a tak dále. Proto v mezipaměti přihlášení vždy znamenala poslední členství místní skupiny, bez ohledu na mechanismus, který se používá k přihlášení.
Interaktivní přihlášení zabezpečování AMA mechanismus ověřování

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 3101129 - Poslední kontrola: 11/21/2015 02:07:00 - Revize: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Enterprise, Windows 7 Professional

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMtcs
Váš názor