Beschreibung des AMA Verwendung in Szenarios interaktive Anmeldung in Windows

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 3101129
Zusammenfassung
Dieser Artikel beschreibt die interaktive Anmeldung Szenarien Authentication Mechanism Assurance (AMA) verwenden.
Einführung
AMA Fügt eine vom Administrator festgelegte, universelle Gruppenmitgliedschaft Zugriffstoken eines Benutzers, wenn die Anmeldeinformationen während der Anmeldung mithilfe einer zertifikatbasierten Anmeldemethode authentifiziert werden. Dadurch können Netzwerkadministratoren Ressource den Zugriff auf Ressourcen wie Dateien, Ordner und Drucker steuern. Dieser Zugriff basiert auf, ob die Anmeldung mithilfe einer zertifikatbasierten Anmeldemethode und den Typ des Zertifikats, das zum Anmelden.
In diesem Artikel
Dieser Artikel konzentriert sich auf zwei Problemszenarios: Anmeldung/Abmeldung und sperren/entsperren. Das Verhalten des AMA in diesen Szenarien ist "by Design" und kann wie folgt zusammengefasst werden:

  • AMA soll Netzwerkressourcen zu schützen.
  • AMA kann weder identifizieren noch interaktive Anmeldetyp (Smartcard oder Benutzername/Kennwort) für den lokalen Computer des Benutzers zu erzwingen. Ist nach einer interaktiven Anmeldung Zugriff auf Ressourcen mit AMA zuverlässig geschützt werden können.
Problembeschreibung

Problem Szenario 1 (Anmelden/Abmelden)

Betrachten Sie das folgende Szenario:
  • Ein Administrator möchte Anmeldeauthentifizierung Smartcard (SC) erzwingen, wenn Benutzer bestimmte sicherheitsrelevante Ressourcen zugreifen. Hierzu stellt der Administrator AMA nach der Authentifizierungsmechanismussicherung für AD DS in Windows Server 2008 R2-Leitfaden für die Ausstellung Richtlinie Objekt-ID, die in der Smartcard-Zertifikate verwendet.

    Hinweis In diesem Artikel finden wir neue zugeordneten Smartcard universal Security-Gruppe."
  • Der "Interaktive Anmeldung: Smartcard erforderlich" Richtlinie nicht aktiviert auf Arbeitsstationen. Daher können Benutzer anmelden mit anderen Anmeldeinformationen wie Benutzername und Kennwort.
  • Lokale und Zugriff auf Netzwerkressourcen erfordert universelle Sicherheitsgruppe Smartcard.
In diesem Szenario erwarten Sie, dass nur Benutzer auf Smartcards mit Zeichen kann Zugriff auf lokale und Netzwerkressourcen. Da jedoch die Arbeitsstation anmelden optimiert/Cache ermöglicht, ist zwischengespeicherte Verifier während der Anmeldung verwendet NT-Zugriffstoken für den Benutzer erstellen. Daher werden Sicherheitsgruppen und Ansprüche die frühere Anmeldung statt der aktuellen verwendet.

Szenario-Beispiele

Hinweis In diesem Artikel wird der Gruppenmitgliedschaft für interaktive Anmeldung Sessions mit abgerufen "Whoami/Groups" Dieser Befehl ruft die Gruppen und Ansprüche aus dem Desktop-Zugriffstoken.

  • Beispiel 1

    Bei die frühere Anmeldung mit einer Smartcard hat das Zugriffstoken für den Desktop Smartcard universellen Sicherheitsgruppe, die AMA zur Verfügung. Eines der folgenden Ergebnisse auftritt:

    • Der Benutzer meldet sich mithilfe der Smartcard: Benutzer kann weiterhin lokale vertrauliche Ressourcen zugreifen. Der Benutzer versucht, den Zugriff auf Netzwerkressourcen, die universelle Sicherheitsgruppe Smartcard erforderlich. Diese Versuche erfolgreich sind.
    • Die Anmeldung mit Benutzername und Kennwort: der Benutzer kann weiterhin lokale vertrauliche Ressourcen zugreifen. Dieses Ergebnis wird nicht erwartet. Der Benutzer versucht, den Zugriff auf Netzwerkressourcen, die universelle Sicherheitsgruppe Smartcard erforderlich. Diese Versuche nicht wie erwartet.
  • Beispiel 2

    Bei die frühere Anmeldung mit einem Kennwort, das Zugriffstoken für den Desktop universelle Sicherheitsgruppe Smartcard keinen, die AMA zur Verfügung. Eines der folgenden Ergebnisse auftritt:

    • Die Anmeldung mit einem Benutzernamen und Kennwort: der Benutzer nicht auf lokale vertrauliche Ressourcen zugreifen. Der Benutzer versucht, den Zugriff auf Netzwerkressourcen, die universelle Sicherheitsgruppe Smartcard erforderlich. Diese Versuche fehlschlagen.
    • Der Benutzer meldet sich mithilfe der Smartcard: Benutzer lokale vertrauliche Ressourcen kann nicht zugegriffen werden. Der Benutzer versucht, auf Netzwerkressourcen zuzugreifen. Diese Versuche erfolgreich sind. Diese vom Kunden erwartete outcomeisn't. Daher wird Access Probleme.

Problem Szenario 2 (Sperren/Entsperren)

Betrachten Sie das folgende Szenario:

  • Ein Administrator möchte Anmeldeauthentifizierung Smartcard (SC) erzwingen, wenn Benutzer bestimmte sicherheitsrelevante Ressourcen zugreifen. Zu diesem Zweck stellt der Administrator AMA nach Authentifizierungsmechanismussicherung für AD DS in Windows Server 2008 R2-Leitfaden für die Ausstellung Richtlinie Objekt-ID, die in der Smartcard-Zertifikate verwendet.
  • Der "Interaktive Anmeldung: Smartcard erforderlich" Richtlinie nicht aktiviert auf Arbeitsstationen. Daher können Benutzer anmelden mit anderen Anmeldeinformationen wie Benutzername und Kennwort.
  • Lokale und Zugriff auf Netzwerkressourcen erfordert universelle Sicherheitsgruppe Smartcard.
In diesem Szenario erwarten Sie, dass nur ein Benutzer mit einer Smartcard signiert auf kann Zugriff auf lokale und Netzwerkressourcen. Aber da das Zugriffstoken für den Benutzer bei der Anmeldung erstellt wird, wird er nicht geändert.

Szenario-Beispiele

  • Beispiel 1

    Wenn das Zugriffstoken für den Desktop die universellen Sicherheitsgruppe Smartcard AMA bereitgestellt hat, tritt eines der folgenden Ergebnisse:

    • Der Benutzer mithilfe der Smartcard entsperrt: Benutzer kann weiterhin lokale vertrauliche Ressourcen zugreifen. Der Benutzer versucht, den Zugriff auf Netzwerkressourcen, die universelle Sicherheitsgruppe Smartcard erforderlich. Diese Versuche erfolgreich sind.
    • Der Benutzer mit dem Benutzernamen und Kennwort entsperrt: Benutzer kann weiterhin lokale vertrauliche Ressourcen zugreifen. Diese outcomeisn't erwartet. Der Benutzer versucht, den Zugriff auf Netzwerkressourcen, die universelle Sicherheitsgruppe Smartcard erforderlich. Diese Versuche fehlschlagen.
  • Beispiel 2

    Das Zugriffstoken für den Desktop keinen Smartcard universelle Sicherheitsgruppe, die von AMA bereitgestellten, tritt eines der folgenden Ergebnisse:

    • Der Benutzer entsperrt mit Benutzername und Kennwort: der Benutzer nicht auf lokale vertrauliche Ressourcen zugreifen. Der Benutzer versucht, Zugriff auf Netzwerkressourcen dass universelle Sicherheitsgruppe Smartcard. Diese Versuche fehlschlagen.
    • Der Benutzer mithilfe der Smartcard entsperrt: Benutzer lokale vertrauliche Ressourcen kann nicht zugegriffen werden. Diese outcomeisn't erwartet. Der Benutzer versucht, auf Netzwerkressourcen zuzugreifen. Diese Versuche erfolgreich wie erwartet.
Weitere Informationen
Aufgrund der im Abschnitt "Symptome" beschriebene Entwurf AMA und Sicherheitsteilsystem auftreten Benutzer die folgenden Szenarien in denen AMA zuverlässig interaktive Anmeldetyp identifizieren kann.

An-/abmelden

Wenn Optimierung für schnelles Anmelden aktiviert ist, verwendet das lokale Sicherheitssubsystem (Lsass) lokalen Cache Gruppenmitgliedschaft in das Anmeldetoken generiert. Dadurch ist die Kommunikation mit dem Domänencontroller (DC) nicht erforderlich. Anmeldung wird daher verringert. Dies ist anzustreben.

Dies aufgrund des folgenden Problems: nach SC-Anmeldung und Abmeldung SC, die lokal zwischengespeicherte AMA Gruppe ist, weiterhin in das Benutzertoken nach interaktive Anmeldung von Benutzer-Kennwort.

Hinweise

  • Dies gilt nur für interaktive Anmeldung.
  • Eine AMA Gruppe wird auf die gleiche Weise und mit derselben Logik wie anderen zwischengespeichert.

In dieser Situation versucht der Benutzer dann Zugriff auf Netzwerkressourcen wird nicht zwischengespeicherte Gruppenmitgliedschaft auf die Ressource sideisn'tused und Anmeldung des Benutzers auf der Ressourcenseite eine AMA Gruppe enthalten.

Dieses Problem kann durch Deaktivieren der Optimierung für schnelles Anmelden behoben ("Computerkonfiguration > Administrative Vorlagen > System > Anmeldung > immer auf das Netzwerk und bei warten").

Wichtig Dieses Verhalten ist nur in der interaktiven Anmeldung Szenario. Zugriff auf Netzwerkressourcen funktioniert wie erwartet, da keine Notwendigkeit für anmeldeoptimierung besteht. Gruppe membershipisn't verwendet daher zwischengespeichert. Der Domänencontroller wird kontaktiert, um neues Ticket mithilfe von die neuesten Informationen zur Gruppenmitgliedschaft AMA.

Sperren/Entsperren

Betrachten Sie das folgende Szenario:

  • Ein Benutzer interaktiv mit der Smartcard anmeldet und öffnet dann Netzwerkressourcen AMA geschützt.

    Hinweis AMA geschütztes Netzwerk können Zugriff auf nur Benutzer mit einer Gruppe AMA in ihr Zugriffstoken.
  • Benutzer sperrt den Computer, ohne zuerst zu schließen die zuvor geöffneten AMA geschützt Netzwerkressource.
  • Der Benutzer wird der Computer entsperrt mit Benutzername und Kennwort den gleichen Benutzer zuvor mithilfe einer Smartcards angemeldet).
In diesem Szenario kann der Benutzer weiterhin AMA geschützte Ressourcen zugreifen, nachdem der Computer entsperrt wird. Dieses Verhalten ist entwurfsbedingt. Sollen Computer entsperrt ist Windows Erstellen der open Sessions, die Netzwerkressourcen nicht erneut. Windows überprüft die Mitgliedschaft auch nicht erneut. Dies ist, da diese Aktionen Leistungseinbußen verursachen würde.

Es gibt keine Out-of-Box-Lösung für dieses Szenario. Eine Lösung wäre einen Anmeldeinformationsanbieter Filter erstellen, der Benutzer/Kennwort-Provider nach der Anmeldung SC herausgefiltert und Sperre Schritte auftreten. Weitere Informationen zum Anmeldeinformationsanbieter finden Sie unter den folgenden Ressourcen:

Hinweis Wir können nicht überprüfen, ob dieser Ansatz immer erfolgreich durchgeführt wurde.

Weitere Informationen zu AMA

AMA kann weder identifiziert noch erzwingen den interaktiven Anmeldetyp (Smartcard Oruser Name/Kennwort). Dieses Verhalten ist entwurfsbedingt.

AMA ist für Szenarien vorgesehen, in der Netzwerkressourcen eine Smartcard anfordern. Es ist nicht vorgesehen Usedfor lokalen Zugriff.

Jeder Versuch, dieses Problem beheben, indem Sie neue Funktionen, z. B. die Möglichkeit, dynamische Mitgliedschaft oder Handle AMA Gruppen als dynamische Gruppe kann erhebliche Probleme verursachen. Deshalb NT Tokens dynamisches Gruppenmitgliedschaften unterstützen. Wenn das System Gruppen in Echtzeit zuzuschneidenden zulässig, möglicherweise versehenes Interaktion mit Desktop und Applikationen. Daher Gruppenmitgliedschaften zum Zeitpunkt der Sitzung gesperrt sind und bleiben während der Sitzung.

Zwischengespeicherte Anmeldungen sind ebenfalls problematisch. Optimierte Anmeldung aktiviert ist, versucht Lsass zunächst einen lokalen Cache, bevor ein Netzwerk Roundtrip aufgerufen. Wenn der Benutzername und das Kennwort sind identisch für die vorherige Anmeldung Lsass sah (Dies gilt für die meisten Anmeldung), erstellt Lsass ein Token, die dieselben Gruppenmitgliedschaften der Benutzer zuvor.

Optimierte Anmeldung aktiviert ist, wäre ein Netzwerkroundtrip erforderlich. Werde sicher, dass die Gruppenmitgliedschaft bei Anmeldung erwartungsgemäß.

In einer zwischengespeicherten Anmeldung hält Lsass ein Eintrag pro Benutzer. Vorherige Gruppenmitgliedschaft des Benutzers enthält. Dies ist von beiden letzten Passwordor Smartcard-Anmeldeinformationen geschützt, die Lsass gesehen haben. Beide Entpacken denselben Schlüssel Tokens und Anmeldeinformationen. Wenn Benutzer versuchen, mit einem Anmeldeinformationsschlüssel veraltete anzumelden, würde sie DPAPI Daten EFS-geschützte Inhalte, und verlieren. Zwischengespeicherte Anmeldungen erzeugen daher immer die aktuelle lokale Gruppenmitgliedschaft unabhängig von der Mechanismus, der zum Anmelden.
Authentication Mechanism Assurance AMA interaktive Anmeldung

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 3101129 – Letzte Überarbeitung: 11/21/2015 02:08:00 – Revision: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Enterprise, Windows 7 Professional

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMtde
Feedback