Περιγραφή της χρήσης AMA σε σενάρια αλληλεπιδραστική σύνδεση στα Windows

ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο έχει μεταφραστεί χρησιμοποιώντας λογισμικό μηχανικής μετάφρασης της Microsoft και μπορείτε να το διορθώσετε χρησιμοποιώντας την τεχνολογία Community Translation Framework (CTF) (Πλαίσιο μετάφρασης κοινότητας). Η Microsoft παρέχει μηχανική μετάφραση, επεξεργασία μετά τη μηχανική μετάφραση από την κοινότητα και άρθρα μεταφρασμένα από επαγγελματίες προκειμένου να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής βάσης σε πολλές γλώσσες. Τα άρθρα μηχανικής μετάφρασης και αυτά που επεξεργάζονται ύστερα από μηχανική μετάφραση ενδέχεται να περιέχουν σφάλματα στο λεξιλόγιο, στη σύνταξη ή/και στη γραμματική. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες μας. Για περισσότερες πληροφορίες σχετικά με το CTF, μεταβείτε στην τοποθεσία http://support.microsoft.com/gp/machine-translation-corrections/el.

Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη: 3101129
Περίληψη
Αυτό το άρθρο πραγματεύεται τον τρόπο χρήσης της διασφάλισης μηχανισμό ελέγχου ταυτότητας (AMA) σε σενάρια σύνδεσης με αλληλεπίδραση.
Εισαγωγή
AMA προσθέτει μια ιδιότητα μέλους ομάδας που έχει οριστεί από το διαχειριστή, ενιαίου κώδικα πρόσβασης του χρήστη όταν τα διαπιστευτήρια χρήστη γίνεται έλεγχος ταυτότητας κατά τη σύνδεση, χρησιμοποιώντας μια μέθοδο σύνδεσης που βασίζεται σε πιστοποιητικά. Αυτό καθιστά δυνατή για τους διαχειριστές πόρων δικτύου για να ελέγξετε την πρόσβαση σε πόρους, όπως αρχεία, φακέλους και εκτυπωτές. Αυτή η πρόσβαση βασίζεται στο αν ο χρήστης συνδέεται, χρησιμοποιώντας μια μέθοδο σύνδεσης που βασίζεται σε πιστοποιητικά και τον τύπο του πιστοποιητικού που χρησιμοποιείται για να συνδεθείτε.
Σε αυτό το άρθρο
Αυτό το άρθρο εστιάζει σε δύο σενάρια πρόβλημα: σύνδεση/αποσύνδεση και Κλείδωμα/Ξεκλείδωμα. Η συμπεριφορά του AMA σε αυτά τα σενάρια είναι "από τη Σχεδίαση" και μπορεί να συνοψιστεί ως εξής:

  • AMA προορίζεται για την προστασία των πόρων δικτύου.
  • AMA ούτε να αναγνωρίσει ούτε να επιβάλετε τον τύπο σύνδεσης αλληλεπίδρασης (έξυπνη κάρτα ή όνομα χρήστη/κωδικό πρόσβασης) για τον τοπικό υπολογιστή του χρήστη. Αυτό συμβαίνει επειδή πόρων που γίνεται μετά από μια σύνδεση Αλληλεπιδραστικός χρήστης δεν μπορούν να προστατευτούν με αξιόπιστο τρόπο με τη χρήση AMA.
Συμπτώματα

Προβλημάτων σενάριο 1 (σύνδεση/αποσύνδεση)

Εξετάστε το ακόλουθο σενάριο:
  • Ένας διαχειριστής θέλει να επιβάλλει ο έλεγχος ταυτότητας σύνδεσης έξυπνης κάρτας (SC), όταν οι χρήστες πρόσβαση σε ορισμένους πόρους κρίσιμων για την ασφάλεια. Για να γίνει αυτό, ο διαχειριστής αναπτύσσει AMA σύμφωνα με το Εξασφάλισης μηχανισμό ελέγχου ταυτότητας για AD DS σε Windows Server 2008 R2 Οδηγός βήμα προς βήμα για το αναγνωριστικό αντικειμένου πολιτικής έκδοσης που χρησιμοποιείται σε όλα τα πιστοποιητικά έξυπνης κάρτας.

    Σημείωση Σε αυτό το άρθρο, αναφερόμαστε σε αυτήν τη νέα ομάδα αντιστοιχισμένη ως "ομάδα έξυπνης κάρτας καθολικής ασφαλείας."
  • Η "Σύνδεση αλληλεπίδρασης: απαιτείται Έξυπνη κάρτα" πολιτική δεν είναι ενεργοποιημένη σε σταθμούς εργασίας. Επομένως, οι χρήστες μπορούν να συνδεθείτε χρησιμοποιώντας άλλες πιστοποιήσεις, όπως το όνομα χρήστη και τον κωδικό πρόσβασης.
  • Τοπική και η πρόσβαση σε πόρους δικτύου απαιτεί την ομάδα ασφαλείας καθολικής έξυπνης κάρτας.
Σε αυτό το σενάριο, αναμένετε ότι μόνο ο χρήστης που υπογράφει με τη χρήση έξυπνων καρτών πρόσβασης τοπικών και πόρους δικτύου. Ωστόσο, επειδή ο σταθμός εργασίας επιτρέπει βελτιστοποίηση/προσωρινής αποθήκευσης σύνδεσης, ο επαληθευτής προσωρινής αποθήκευσης χρησιμοποιείται κατά τη σύνδεση για να δημιουργήσετε το διακριτικό πρόσβασης NT για την επιφάνεια εργασίας του χρήστη. Κατά συνέπεια, τις ομάδες ασφαλείας και τις απαιτήσεις από την προηγούμενη σύνδεση χρησιμοποιούνται αντί για το τρέχον αρχείο.

Παραδείγματα σενάριο

Σημείωση Σε αυτό το άρθρο, την ιδιότητα μέλους ομάδας ανακτάται για περιόδους λειτουργίας σύνδεσης αλληλεπίδρασης με τη χρήση "whoami/ομάδων." Αυτή η εντολή ανακτά τις ομάδες και τις απαιτήσεις από το διακριτικό πρόσβασης στην επιφάνεια εργασίας.

  • Παράδειγμα 1

    Εάν η προηγούμενη σύνδεση έχει πραγματοποιηθεί με τη χρήση έξυπνης κάρτας, το διακριτικό πρόσβασης για την επιφάνεια εργασίας έχει την ομάδα ασφαλείας καθολικής έξυπνης κάρτας που παρέχεται από το AMA. Συμβαίνει ένα από τα παρακάτω αποτελέσματα:

    • Ο χρήστης που συνδέεται με τη χρήση της έξυπνης κάρτας: Ο χρήστης να έχετε πρόσβαση σε πόρους ευαίσθητων τοπικής ασφάλειας. Ο χρήστης προσπαθεί να αποκτήσει πρόσβαση σε πόρους δικτύου που απαιτούν την ομάδα ασφαλείας καθολικής έξυπνης κάρτας. Αυτές οι προσπάθειες θα επιτύχουν.
    • Ο χρήστης συνδέεται, χρησιμοποιώντας το όνομα χρήστη και τον κωδικό πρόσβασης: Ο χρήστης να έχετε πρόσβαση σε πόρους ευαίσθητων τοπικής ασφάλειας. Το αποτέλεσμα αυτό δεν είναι αναμενόμενο. Ο χρήστης προσπαθεί να αποκτήσει πρόσβαση σε πόρους δικτύου που απαιτούν την ομάδα ασφαλείας καθολικής έξυπνης κάρτας. Αυτές οι προσπάθειες αποτύχουν, όπως αναμένεται.
  • Παράδειγμα 2

    Εάν η προηγούμενη σύνδεση έχει πραγματοποιηθεί χρησιμοποιώντας έναν κωδικό πρόσβασης, το διακριτικό πρόσβασης για την επιφάνεια εργασίας δεν διαθέτει την ομάδα ασφαλείας καθολικής έξυπνης κάρτας που παρέχεται από το AMA. Συμβαίνει ένα από τα παρακάτω αποτελέσματα:

    • Ο χρήστης συνδέεται, χρησιμοποιώντας ένα όνομα χρήστη και κωδικό πρόσβασης: δεν είναι δυνατό να έχει πρόσβαση ο χρήστης ευαίσθητους πόρους τοπικής ασφάλειας. Ο χρήστης προσπαθεί να αποκτήσει πρόσβαση σε πόρους δικτύου που απαιτούν την ομάδα ασφαλείας καθολικής έξυπνης κάρτας. Αυτές οι προσπάθειες αποτύχουν.
    • Ο χρήστης που συνδέεται με τη χρήση της έξυπνης κάρτας: δεν είναι δυνατό να έχει πρόσβαση ο χρήστης ευαίσθητους πόρους τοπικής ασφάλειας. Ο χρήστης προσπαθεί να αποκτήσει πρόσβαση σε πόρους του δικτύου. Αυτές οι προσπάθειες θα επιτύχουν. Το outcomeisn't που αναμένεται από πελάτες. Επομένως, προκαλεί πρόσβαση προβλήματα ελέγχου.

Προβλημάτων σενάριο 2 (Κλείδωμα/Ξεκλείδωμα)

Εξετάστε το ακόλουθο σενάριο:

  • Ένας διαχειριστής θέλει να επιβάλλει ο έλεγχος ταυτότητας σύνδεσης έξυπνης κάρτας (SC), όταν οι χρήστες πρόσβαση σε ορισμένους πόρους κρίσιμων για την ασφάλεια. Για να γίνει αυτό, ο διαχειριστής αναπτύσσει AMA σύμφωνα με Εξασφάλισης μηχανισμό ελέγχου ταυτότητας για AD DS σε Windows Server 2008 R2 Οδηγός βήμα προς βήμα για το αναγνωριστικό αντικειμένου πολιτικής έκδοσης που χρησιμοποιείται σε όλα τα πιστοποιητικά έξυπνης κάρτας.
  • Η "Σύνδεση αλληλεπίδρασης: απαιτείται Έξυπνη κάρτα" πολιτική δεν είναι ενεργοποιημένη σε σταθμούς εργασίας. Επομένως, οι χρήστες μπορούν να συνδεθείτε χρησιμοποιώντας άλλες πιστοποιήσεις, όπως το όνομα χρήστη και τον κωδικό πρόσβασης.
  • Τοπική και η πρόσβαση σε πόρους δικτύου απαιτεί την ομάδα ασφαλείας καθολικής έξυπνης κάρτας.
Σε αυτό το σενάριο, αναμένετε ότι μόνο ένας χρήστης που υπογράφει με τη χρήση έξυπνων καρτών πρόσβασης τοπικών και πόρους δικτύου. Ωστόσο, επειδή το διακριτικό πρόσβασης για την επιφάνεια εργασίας του χρήστη δημιουργείται κατά τη διάρκεια της σύνδεσης, αυτό δεν αλλάζει.

Παραδείγματα σενάριο

  • Παράδειγμα 1

    Εάν το διακριτικό πρόσβασης για την επιφάνεια εργασίας έχει την ομάδα ασφαλείας καθολικής έξυπνης κάρτας που παρέχονται από AMA, θα συμβεί ένα από τα παρακάτω αποτελέσματα:

    • Ξεκλειδώνει το χρήστη με τη χρήση της έξυπνης κάρτας: Ο χρήστης να έχετε πρόσβαση σε πόρους ευαίσθητων τοπικής ασφάλειας. Ο χρήστης προσπαθεί να αποκτήσει πρόσβαση σε πόρους δικτύου που απαιτούν την ομάδα ασφαλείας καθολικής έξυπνης κάρτας. Αυτές οι προσπάθειες θα επιτύχουν.
    • Ξεκλειδώνει το χρήστη, χρησιμοποιώντας το όνομα χρήστη και τον κωδικό πρόσβασης: Ο χρήστης να έχετε πρόσβαση σε πόρους ευαίσθητων τοπικής ασφάλειας. Το outcomeisn't που αναμένεται. Ο χρήστης προσπαθεί να αποκτήσει πρόσβαση σε πόρους δικτύου που απαιτούν την ομάδα ασφαλείας καθολικής έξυπνης κάρτας. Αυτές οι προσπάθειες αποτύχουν.
  • Παράδειγμα 2

    Εάν το διακριτικό πρόσβασης για την επιφάνεια εργασίας δεν διαθέτει την ομάδα ασφαλείας καθολικής έξυπνης κάρτας που παρέχονται από AMA, θα συμβεί ένα από τα παρακάτω αποτελέσματα:

    • Ξεκλειδώνει το χρήστη χρησιμοποιώντας το όνομα χρήστη και τον κωδικό πρόσβασης: δεν είναι δυνατό να έχει πρόσβαση ο χρήστης ευαίσθητους πόρους τοπικής ασφάλειας. Ο χρήστης προσπαθεί να αποκτήσει πρόσβαση σε πόρους δικτύου που απαιτεί την ομάδα ασφαλείας καθολικής έξυπνης κάρτας. Αυτές οι προσπάθειες αποτύχουν.
    • Ξεκλειδώνει το χρήστη με τη χρήση της έξυπνης κάρτας: δεν είναι δυνατό να έχει πρόσβαση ο χρήστης ευαίσθητους πόρους τοπικής ασφάλειας. Το outcomeisn't που αναμένεται. Ο χρήστης προσπαθεί να αποκτήσει πρόσβαση σε πόρους του δικτύου. Αυτές οι προσπάθειες θα επιτύχουν όπως αναμένεται.
Περισσότερες πληροφορίες
Εξαιτίας της σχεδίασης AMA και το υποσύστημα ασφαλείας που περιγράφεται στην ενότητα "Συμπτώματα", οι χρήστες αντιμετωπίζουν τα ακόλουθα σενάρια, στα οποία AMA αξιόπιστα δεν μπορεί να αναγνωρίσει τον τύπο της σύνδεσης με αλληλεπίδραση.

Σύνδεση/αποσύνδεση

Εάν βελτιστοποίηση γρήγορης σύνδεσης είναι ενεργό, το τοπικό υποσύστημα ασφαλείας (lsass) χρησιμοποιεί τοπικό χώρο προσωρινής αποθήκευσης για να δημιουργήσει την ιδιότητα μέλους ομάδας στο διακριτικό σύνδεσης. Με αυτόν τον τρόπο, η επικοινωνία με τον ελεγκτή τομέα (DC) δεν είναι απαραίτητα. Επομένως, μειώνεται το χρόνο σύνδεσης. Αυτό είναι ιδιαίτερα επιθυμητή δυνατότητα.

Ωστόσο, αυτή η κατάσταση προκαλεί το ακόλουθο πρόβλημα: Αφού SC σύνδεσης και της αποσύνδεσης SC, το τοπικά προσωρινά αποθηκευμένο AMA ομάδα είναι, εσφαλμένα, εξακολουθούν να υπάρχουν στο διακριτικό χρήστη μετά την αλληλεπιδραστική σύνδεση ονόματος/κωδικού πρόσβασης χρήστη.

Σημειώσεις

  • Η κατάσταση αυτή ισχύει μόνο για συνδέσεις αλληλεπίδρασης.
  • Μια ομάδα AMA είναι προσωρινά, με τον ίδιο τρόπο και χρησιμοποιώντας την ίδια λογική με άλλες ομάδες.

Σε αυτήν την περίπτωση, εάν, στη συνέχεια, επιχειρεί να αποκτήσει πρόσβαση σε πόρους του δικτύου, την ιδιότητα μέλους ομάδας προσωρινής αποθήκευσης για την sideisn'tused πόρων και περίοδο λειτουργίας σύνδεσης του χρήστη στην πλευρά των πόρων δεν θα περιέχει μια ομάδα AMA.

Αυτό το πρόβλημα μπορεί να διορθωθεί απενεργοποιώντας βελτιστοποίηση γρήγορης σύνδεσης ("Ρύθμιση παραμέτρων υπολογιστή > πρότυπα διαχείρισης > σύστημα > σύνδεσης > πάντα αναμονή για το δίκτυο κατά την εκκίνηση του υπολογιστή και τη σύνδεση").

Σημαντικό Αυτή η συμπεριφορά είναι κατάλληλη μόνο για το σενάριο αλληλεπιδραστική σύνδεση. Πρόσβαση σε πόρους δικτύου θα λειτουργούν όπως αναμένεται, επειδή δεν υπάρχει ανάγκη για τη βελτιστοποίηση της σύνδεσης. Επομένως, προσωρινά membershipisn't ομάδα που χρησιμοποιείται. Ο ελεγκτής Τομέα θα επικοινωνήσει για να δημιουργήσετε το νέο δελτίο χρησιμοποιώντας την πιο πρόσφατη πληροφοριών μελών ομάδας AMA.

Κλείδωμα/Ξεκλείδωμα

Εξετάστε το ακόλουθο σενάριο:

  • Ένας χρήστης συνδέεται αλληλεπιδραστικά, χρησιμοποιώντας την έξυπνη κάρτα και στη συνέχεια ανοίγει τους πόρους του δικτύου που προστατεύονται από το AMA.

    Σημείωση Προστατευμένο δίκτυο AMA πόροι μπορεί να είναι δυνατή η πρόσβαση μόνο οι χρήστες που έχουν μια ομάδα AMA στο τους διακριτικό πρόσβασης.
  • Ο χρήστης κλειδώνει τον υπολογιστή χωρίς πρώτα να κλείσει τον πόρο ανοίξατε προηγουμένως δικτύου που προστατεύονται από το AMA.
  • Ο χρήστης ξεκλειδώνει τον υπολογιστή χρησιμοποιώντας το όνομα χρήστη και τον κωδικό πρόσβασης για τον ίδιο χρήστη που συνδέθηκε προηγουμένως με τη χρήση έξυπνης κάρτας).
Σε αυτό το σενάριο, ο χρήστης να έχετε πρόσβαση στους πόρους που προστατεύονται από το AMA μετά από τον υπολογιστή είναι κλειδωμένο. Αυτή η συμπεριφορά οφείλεται στη σχεδίαση. Ο υπολογιστής Whenthe είναι κλειδωμένο, τα Windows δεν δημιουργεί εκ νέου όλες τις ανοιχτές περιόδους λειτουργίας που είχε πόρους δικτύου. Τα Windows επίσης δεν επαναλαμβάνεται από την ιδιότητα μέλους ομάδας. Αυτό συμβαίνει επειδή αυτές οι ενέργειες θα μπορούσε να προκαλέσει μη αποδεκτής απόδοσης κυρώσεις.

Δεν υπάρχει λύση για αυτό το σενάριο out-of-box. Μία λύση θα ήταν να δημιουργήσετε ένα φίλτρο παροχής διαπιστευτηρίων που φιλτράρει την υπηρεσία παροχής του ονόματος/κωδικού πρόσβασης χρήστη μετά τη σύνδεση SC και παρουσιάζεται κλείδωμα βήματα. Για να μάθετε περισσότερα σχετικά με την υπηρεσία παροχής διαπιστευτηρίων, ανατρέξτε στους παρακάτω πόρους:

Σημείωση Δεν είναι δυνατό να επιβεβαιωθεί εάν αυτή η προσέγγιση έχει ποτέ έχουν υλοποιηθεί με επιτυχία.

Περισσότερες πληροφορίες σχετικά με την AMA

AMA ούτε να αναγνωρίσει ούτε να επιβάλετε τον τύπο σύνδεσης αλληλεπίδρασης (έξυπνη κάρτα oruser όνομα/κωδικός πρόσβασης). Αυτή η συμπεριφορά οφείλεται στη σχεδίαση.

AMA προορίζεται για σενάρια στα οποία πόρους δικτύου απαιτούν μια έξυπνη κάρτα. Αυτό δεν έχει προορίζεται να είναι τοπική πρόσβαση usedfor.

Οποιαδήποτε προσπάθεια για να διορθώσετε αυτό το ζήτημα με την εισαγωγή νέων δυνατοτήτων, όπως είναι η δυνατότητα να χρησιμοποιήσετε την ιδιότητα μέλους ομάδας δυναμικό ή σε ομάδες AMA δείκτη χειρισμού ως δυναμική ομάδα, θα μπορούσε να προκαλέσει σημαντικά προβλήματα. Αυτός είναι ο λόγος διακριτικά NT δεν υποστηρίζει δυναμική ιδιότητα μέλους. Εάν το σύστημα επιτρέπεται ομάδες για να αποκοπεί στο πραγματικό, μπορεί να μην επιτρέπεται στους χρήστες από την αλληλεπίδραση με τα δικά τους επιφάνεια εργασίας και τις εφαρμογές. Επομένως, η ιδιότητα μέλους της ομάδας κλειδώνονται κατά τη στιγμή που δημιουργείται η περίοδος λειτουργίας και διατηρούνται σε όλη τη διάρκεια της περιόδου λειτουργίας.

Προσωρινά αποθηκευμένες συνδέσεις είναι προβληματική. Εάν είναι ενεργοποιημένη η σύνδεση βελτιστοποιημένο, το lsass προσπαθεί πρώτα μια τοπική μνήμη cache πριν ενεργοποιεί ένα δίκτυο διαδρομή με επιστροφή. Εάν το όνομα χρήστη και ο κωδικός πρόσβασης είναι πανομοιότυπο με αυτό που είδατε lsass για την προηγούμενη σύνδεση (αυτό ισχύει για τις περισσότερες συνδέσεις), το lsass δημιουργεί ένα διακριτικό το οποίο έχει την ίδια ιδιότητα μέλους που είχε προηγουμένως ο χρήστης.

Εάν είναι απενεργοποιημένη η βελτιστοποιημένη σύνδεσης, θα απαιτείτο ένα δίκτυο απόκρισης. Thiswould, βεβαιωθείτε ότι η ιδιότητα μέλους της ομάδας λειτουργούν κατά τη σύνδεση, όπως αναμένεται.

Σε μια προσωρινά αποθηκευμένη σύνδεση, το lsass διατηρεί μία εγγραφή για κάθε χρήστη. Αυτή η καταχώρηση περιλαμβάνει συμμετοχή σε προηγούμενη ομάδα του χρήστη. Αυτό προστατεύεται από δύο στην τελευταία passwordor έξυπνη κάρτα πιστοποίηση που είδατε lsass. Και τα δύο ξεδιπλώνει το ίδιο κλειδί διακριτικό και διαπιστευτηρίων. Εάν οι χρήστες για να προσπαθήσετε να συνδεθείτε χρησιμοποιώντας ένα κλειδί πιστοποίησης παλιά, αυτά θα χάσει DPAPI δεδομένων, περιεχομένου που προστατεύεται από το σύστημα EFS και ούτω καθεξής. Επομένως, οι προσωρινά αποθηκευμένες συνδέσεις παρήγαγε πάντα τα πιο πρόσφατα μέλη τοπικής ομάδας, ανεξάρτητα από το μηχανισμό που χρησιμοποιείται για να συνδεθείτε.
Σύνδεση αλληλεπίδρασης διασφάλιση AMA μηχανισμό ελέγχου ταυτότητας

Προειδοποίηση: Αυτό το άρθρο έχει μεταφραστεί αυτόματα

Ιδιότητες

Αναγνωριστικό άρθρου: 3101129 - Τελευταία αναθεώρηση: 11/21/2015 02:08:00 - Αναθεώρηση: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Enterprise, Windows 7 Professional

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMtel
Σχόλια