Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

Souhrn

Tento článek popisuje způsob použití ověřování mechanismus pojištění (AMA) čteno interaktivní přihlášení.

Úvod

Při ověření přihlašovacích údajů uživatele při přihlášení pomocí metody založené na certifikátech přihlášení AMA přidá členství ve skupině správce označil, univerzální do přístupového tokenu uživatele. To umožňuje správci prostředků sítě pro řízení přístupu k prostředkům, jako jsou soubory, složky a tiskárny. Tento přístup je založen na tom, zda se uživatel přihlásí pomocí metody založené na certifikátech přihlášení a typ certifikátu, který se používá k přihlášení.

V tomto článku

Tento článek se zaměřuje na dva scénáře problému: přihlášení či odhlášení a uzamčení. Chování AMA v těchto scénářích je "záměrné" a lze shrnout takto:

  • AMA je určená pro ochranu síťových prostředků.

  • AMA nelze identifikovat ani vynutit typ interaktivní přihlašování (čipová karta nebo uživatelské jméno a heslo) pro uživatele v místním počítači. Je to proto, že prostředky, které jsou přístupné po interaktivní přihlášení nelze spolehlivě chráněny pomocí AMA.

Příznaky

Problém scénář 1 (přihlášení či odhlášení)

Jde o takovouto situaci:

  • Správce chce vynutit ověření přihlášení karty Smart Card (SC) při přístupu uživatelů k určitým prostředkům citlivé na zabezpečení. Chcete-li to provést, správce instaluje AMA podle Funkce Záruka ověřovacího mechanismu pro služba AD DS v systému Windows Server 2008 R2 podrobný průvodce pro identifikátor objektu zásad vystavování používané ve všech certifikátů karet smart card.

    Poznámka: V tomto článku se označují nové mapované skupiny jako "skupina universal zabezpečení čipové karty."

  • "Interaktivní přihlašování: Požadovat kartu smart card" zásady není povoleno na pracovních stanicích. Uživatelé mohou tedy přihlásit pomocí jiného pověření, například uživatelské jméno a heslo.

  • Místní a přístup k prostředkům sítě vyžaduje zabezpečení univerzální skupiny karet smart card.

V tomto scénáři očekáváte, že pouze uživatel, který podepisuje pomocí karty smart card lze získat přístup k místním a síťovým prostředkům. Však protože pracovní stanice umožňuje optimalizovat mezipaměti přihlášení, v mezipaměti ověřovače se používá při přihlášení k vytvoření NT přístupový token pro plochu uživatele. Místo stávající se používají proto, skupin zabezpečení a deklarace z předchozího přihlášení.



Příklady scénářů

Poznámka: V tomto článku je členství ve skupině načíst interaktivní přihlašování relací pomocí "whoami skupiny." Tento příkaz načte skupiny a nároků z tokenu přístupu na plochu.

  • Příklad 1

    Pokud předchozí přihlášení byl proveden pomocí karty smart card, má přístupový token pro plochu karty smart card univerzální skupina, pochází od AMA. Dojde k jedné z následujících výsledků:

    • Přihlášení pomocí karty smart card: má uživatel stále přístup místního zabezpečení citlivých prostředků. Uživatel se pokusí získat přístup k síťovým prostředkům, které vyžadují zabezpečení univerzální skupiny karet smart card. Tyto pokusy úspěšné.

    • Přihlášení pomocí uživatelského jména a hesla: uživatel stále přístup místního zabezpečení citlivých prostředků. Tento výsledek není očekáván. Uživatel se pokusí získat přístup k síťovým prostředkům, které vyžadují zabezpečení univerzální skupiny karet smart card. Tyto pokusy selžou, podle očekávání.

  • Příklad 2

    Pokud předchozí přihlášení byl proveden pomocí hesla, nemá přístupový token pro plochu karty smart card univerzální skupina, pochází od AMA. Dojde k jedné z následujících výsledků:

    • Přihlášení pomocí uživatelského jména a hesla: uživatel přístup k prostředkům citlivé místního zabezpečení. Uživatel se pokusí získat přístup k síťovým prostředkům, které vyžadují zabezpečení univerzální skupiny karet smart card. Tyto pokusy selžou.

    • Přihlášení pomocí karty smart card: uživatel přístup k prostředkům citlivé místního zabezpečení. Uživatel se pokusí získat přístup k síťovým prostředkům. Tyto pokusy úspěšné. Tento výsledek není očekáván zákazníky. Proto způsobí, že aplikace access potíže s řízením.

Problém scénář 2 (uzamčení)

Jde o takovouto situaci:

  • Správce chce vynutit ověření přihlášení karty Smart Card (SC) při přístupu uživatelů k určitým prostředkům citlivé na zabezpečení. K tomu správce instaluje AMA podle Funkce Záruka ověřovacího mechanismu pro služba AD DS v systému Windows Server 2008 R2 Step-by-Step Guide pro identifikátor objektu zásad vystavování používané ve všech certifikátů karet smart card.

  • "Interaktivní přihlašování: Požadovat kartu smart card" zásady není povoleno na pracovních stanicích. Uživatelé mohou tedy přihlásit pomocí jiného pověření, například uživatelské jméno a heslo.

  • Místní a přístup k prostředkům sítě vyžaduje zabezpečení univerzální skupiny karet smart card.

V tomto scénáři očekáváte, že pouze uživatel, který podepisuje pomocí karty smart card lze získat přístup k místním a síťovým prostředkům. Však protože přístupový token pro plochu uživatele je vytvořen při přihlášení, se nezmění.



Příklady scénářů

  • Příklad 1

    Má-li přístupový token pro plochu karty smart card zabezpečení univerzální skupiny poskytované AMA, dojde k jedné z následujících výsledků:

    • Odemkne uživatele pomocí karty smart card: má uživatel stále přístup místního zabezpečení citlivých prostředků. Uživatel se pokusí získat přístup k síťovým prostředkům, které vyžadují zabezpečení univerzální skupiny karet smart card. Tyto pokusy úspěšné.

    • Odemkne uživatele pomocí uživatelského jména a hesla: uživatel stále přístup místního zabezpečení citlivých prostředků. Tento výsledek není očekáván. Uživatel se pokusí získat přístup k síťovým prostředkům, které vyžadují zabezpečení univerzální skupiny karet smart card. Tyto pokusy selžou.

  • Příklad 2

    Není-li přístupový token pro plochu karty smart card zabezpečení univerzální skupiny poskytované AMA, dojde k jedné z následujících výsledků:

    • Odemkne uživatele pomocí uživatelského jména a hesla: uživatel přístup k prostředkům citlivé místního zabezpečení. Uživatel se pokusí získat přístup k síťovým prostředkům, které vyžadují zabezpečení univerzální skupiny karet smart card. Tyto pokusy selžou.

    • Odemkne uživatele pomocí karty smart card: uživatel přístup k prostředkům citlivé místního zabezpečení. Tento výsledek není očekáván. Uživatel se pokusí získat přístup k síťovým prostředkům. Tyto pokusy úspěšné, podle očekávání.

Další informace

Je navržena AMA a podsystém zabezpečení, která je popsána v části "Příznaky" uživatelé zaznamenat následující scénáře, ve kterých AMA nelze spolehlivě identifikovat typ interaktivní přihlášení.

Logon/logoff

Pokud je aktivní Optimalizace rychlého přihlášení, místním podsystémem zabezpečení (lsass) místní mezipaměti používá ke generování členství ve skupinách v tokenu přihlášení. Tímto způsobem komunikace s řadičem domény (DC) není vyžadován. Proto je snížen čas přihlášení. Jedná se o velmi žádanou funkci.

Však tato situace způsobí, že následující problém: po SC přihlašování a odhlašování SC, umístěná v místní mezipaměti skupina AMA je, nesprávně, stále ještě v tokenu uživatele po interaktivní přihlášení uživatelské jméno a heslo.

Poznámky

  • Tato situace se týká pouze interaktivní přihlášení.

  • Skupinu AMA ukryto stejným způsobem a s použitím stejné logiky jako ostatní skupiny.


V této situaci uživatel pokusí získat přístup k síťovým prostředkům, členství v mezipaměti na straně zdrojů není použit a přihlašovací relace uživatele na straně zdrojů nesmějí obsahovat skupinu AMA.

Lze tento problém vyřešen, vypněte Optimalizace rychlého přihlášení ("Konfigurace počítače > šablony pro správu > Systém > přihlášení > sítě při spouštění a přihlašování počítače vždy počkat").

Důležité Toto chování platí pouze v případě interaktivního přihlášení. Přístup k síťovým prostředkům bude fungovat podle očekávání, protože není nutné pro optimalizaci přihlášení. Proto není použit v mezipaměti členství. Chcete-li vytvořit nový lístek pomocí nejčerstvější informace členství AMA je kontaktován řadič domény.

Lock/unlock

Jde o takovouto situaci:

  • Uživatel interaktivně přihlášení pomocí karty smart card a poté otevře AMA chráněné síťovým prostředkům.

    Poznámka: AMA chráněné sítě, prostředky lze získat přístup pouze uživatelé, kteří mají skupinu AMA v jejich přístupový token.

  • Uživatel uzamkne počítač bez první zavření dříve otevřeného chráněné AMA síťovému prostředku.

  • Uživatel počítač odemkne pomocí uživatelského jména a hesla uživatele stejný, který dříve přihlášení pomocí karty smart card).

V tomto případě má uživatel stále přístup AMA chráněné prostředky po odemčení počítače. Toto chování je záměrné. Při odemčení počítače systému Windows znovu nevytvoří otevřených relací, které měly síťové prostředky. Systém Windows také není znovu zkontrolovat členství ve skupině. Je to proto, že tyto akce by způsobilo nepřijatelný výkon sankce.

Neexistuje žádné řešení out-of-box pro tento scénář. Jedním z řešení je vytvořit zprostředkovatele pověření filtr, který filtruje Zprostředkovatel uživatelské jméno a heslo po přihlášení SC a provedeny kroky zámku. Další informace o zprostředkovateli pověření, naleznete v následujících zdrojích:

ICredentialProviderFilter rozhraní

Ukázky poskytovatel pověření Windows VistaPoznámka: Jsme nelze potvrdit, zda tento přístup stále bylo úspěšně provedeno.

Další informace o AMA

AMA nelze identifikovat ani vynutit typ interaktivní přihlašování (čipová karta nebo uživatelské jméno a heslo). Toto chování je záměrné.

AMA je určena pro scénáře, ve kterých síťových prostředků požadovat kartu smart card. Má nejsou určeny pro místní přístup.

Jakýkoli pokus o řešení tohoto problému zavádí nové funkce, například schopnost používat dynamické členství nebo skupinám popisovač AMA jako dynamická skupina může způsobit významné problémy. Z tohoto důvodu tokeny NT nepodporují dynamické členství. Pokud skupiny, které chcete oříznout v reálném systému, může být uživatelům zabráněno interakci s plochy a aplikací. Proto členství ve skupinách jsou uzamčeny v době, která je vytvořena relace a jsou udržovány v rámci relace.

V mezipaměti přihlášení jsou také problematické. Pokud je povoleno přihlášení optimalizované, lsass nejprve pokusí místní mezipaměti před vyvolá síti výměna zpráv. Pokud uživatelské jméno a heslo totožné s lsass viděli předchozí přihlášení (to platí pro většinu přihlašování), vytvoří služba lsass token, který má stejné členství ve skupinách, které má uživatel dříve.

Pokud optimalizaci přihlášení vypnuto, bude vyžadován odezvy sítě. To by se ujistěte, že členství ve skupinách očekávaným způsobem při přihlášení.

V přihlášení z mezipaměti služby lsass udržuje jedna položka pro jednotlivé uživatele. Tato položka zahrnuje předchozí členství skupiny uživatele. To je chráněn posledního hesla nebo pověření karty smart card, které viděli lsass. Jak zrušit zalomení stejný klíč tokenu a pověření. Pokud uživatelé pokusí přihlásit pomocí pověření zastaralé klíče, by oni ztratili dat rozhraní DPAPI, obsah chráněný pomocí systému souborů EFS a tak dále. Proto v mezipaměti přihlášení vždy znamenala poslední členství místní skupiny, bez ohledu na mechanismus, který slouží k přihlášení.

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×