Windows での対話型ログオン シナリオで、AMA の使用方法の説明

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:3101129
概要
この資料では、対話型ログオン シナリオで認証メカニズム保証 (AMA) を使用する方法について説明します。
はじめに
AMA では、証明書ベースのログオン方法を使用してログオン時にユーザーの資格情報が認証されたときにユーザーのアクセス トークンに、管理者が指定のユニバーサル グループ メンバーシップを追加します。これによりネットワーク リソース管理者は、ファイル、フォルダー、およびプリンターなどのリソースへのアクセスを制御できます。このアクセスは、ユーザーが証明書ベースのログオン方法およびログオンに使用される証明書の種類を使用してログオンするかどうかに基づいています。
この資料に記載されて
この資料で問題の 2 つのシナリオについて説明します。 ログオン/ログオフおよびロックとロック解除します。AMA のこれらのシナリオでの動作は"仕様"で、次のように要約することができます。

  • AMA は、ネットワーク リソースを保護するものです。
  • AMA の識別もユーザーのローカル コンピューターの対話型ログオンの種類 (スマート カードまたはユーザー名とパスワード) を適用します。AMA を使用してが、対話ユーザーがログオンした後にアクセスするリソースを確実に保護することはできないためにです。
現象

問題シナリオ 1 (ログオン/ログオフ)

次のような状況を考えます。
  • ユーザーが特定のセキュリティ上重要なリソースにアクセスするときに、スマート カード (SC) のログオン認証を強制するための手段です。管理者はこれを行うには、に従って AMA を展開します ステップ バイ ステップ ガイドの Windows Server 2008 R2 で AD DS 用の認証メカニズム保証 発行ポリシーのオブジェクト識別子のすべてのスマート カード証明書で使用されます。

    注: <b>この記事で私たちを参照してくださいこの新しいマップされたグループ」、スマート カード ユニバーサル セキュリティ グループとします"
  • "対話型ログオン: スマート カードを必要とする"ポリシーは、ワークステーションで有効になっていません。したがって、ユーザーは、ユーザー名やパスワードなど、他の資格情報を使用してにログオンできます。
  • ローカル ネットワーク リソースへのアクセスは、スマート カードのユニバーサル セキュリティ グループを必要とします。
このシナリオでは、そのだけに署名するユーザー スマート カードを使用してはローカルにアクセスでき、ネットワーク リソースを期待します。ただし、ワークステーションでは、最適化されたキャッシュされたログオンを許可しているため、キャッシュされた検証方法を使用ログオン時にユーザーのデスクトップの NT アクセス トークンを作成します。したがって、現在ではなく、セキュリティ グループと以前のログオンからのクレームを使用します。

シナリオの例

注: <b>この記事では、対話型ログオン セッションのグループ メンバーシップを取得「whoami/グループ」を使用して、このコマンドは、デスクトップのアクセス トークンのグループとのクレームを取得します。

  • 例 1

    スマート カードを使用して、以前のログオンが実行された場合は、AMA によって提供されているスマート カードのユニバーサル セキュリティ グループには、デスクトップのアクセス トークン。結果は次のいずれかが発生します。

    • ユーザーがスマート カードを使用してログオン: ユーザーが、ローカル セキュリティの機密性の高いリソースにアクセスできます。ユーザーがスマート カードのユニバーサル セキュリティ グループを必要とするネットワーク リソースにアクセスしようとするとします。これらの試行は成功します。
    • ユーザーがログオンしたユーザー名とパスワードを使用して: ユーザーが、ローカル セキュリティの機密性の高いリソースにアクセスできます。この結果は予想されていません。ユーザーがスマート カードのユニバーサル セキュリティ グループを必要とするネットワーク リソースにアクセスしようとするとします。期待どおりに失敗しました。
  • 例 2

    以前のログオン パスワードを使用して実行された場合、デスクトップのアクセス トークンには AMA によって提供されているスマート カードのユニバーサル セキュリティ グループはありません。結果は次のいずれかが発生します。

    • ユーザーがログオンしたユーザー名とパスワードを使用して: ユーザーがローカルのセキュリティの機密性の高いリソースにアクセスできません。ユーザーがスマート カードのユニバーサル セキュリティ グループを必要とするネットワーク リソースにアクセスしようとするとします。これらの試行が失敗します。
    • ユーザーがスマート カードを使用してログオン: ユーザーがローカルのセキュリティの機密性の高いリソースにアクセスできません。ユーザーがネットワーク リソースにアクセスしようとするとします。これらの試行は成功します。この outcomeisn't は、お客様の期待どおりします。したがって、すると、アクセス制御の問題。

(ロック/ロック解除)、問題のシナリオ 2

次のような状況を考えます。

  • ユーザーが特定のセキュリティ上重要なリソースにアクセスするときに、スマート カード (SC) のログオン認証を強制するための手段です。これを行うには、管理者は、配置に応じた AMA ステップ バイ ステップ ガイドの Windows Server 2008 R2 で AD DS 用の認証メカニズム保証 発行ポリシーのオブジェクト識別子のすべてのスマート カード証明書で使用されます。
  • "対話型ログオン: スマート カードを必要とする"ポリシーは、ワークステーションで有効になっていません。したがって、ユーザーは、ユーザー名やパスワードなど、他の資格情報を使用してにログオンできます。
  • ローカル ネットワーク リソースへのアクセスは、スマート カードのユニバーサル セキュリティ グループを必要とします。
このシナリオでは、スマート カードを使用して署名するユーザーのみがローカルにアクセスし、ネットワーク リソースを期待します。ただし、ログオン時にユーザーのデスクトップのアクセス トークンを作成するために変更されません。

シナリオの例

  • 例 1

    デスクトップのアクセス トークンに AMA によって提供されているスマート カードのユニバーサル セキュリティ グループがある場合、結果は次のいずれかが発生します。

    • ユーザーのスマート カードを使用してロックを解除: ユーザーが、ローカル セキュリティの機密性の高いリソースにアクセスできます。ユーザーがスマート カードのユニバーサル セキュリティ グループを必要とするネットワーク リソースにアクセスしようとするとします。これらの試行は成功します。
    • ユーザーのユーザー名とパスワードを使用してロックを解除: ユーザーが、ローカル セキュリティの機密性の高いリソースにアクセスできます。この outcomeisn't を期待するとします。ユーザーがスマート カードのユニバーサル セキュリティ グループを必要とするネットワーク リソースにアクセスしようとするとします。これらの試行が失敗します。
  • 例 2

    デスクトップのアクセス トークンが AMA で提供されているスマート カードのユニバーサル セキュリティ グループ、結果は次のいずれかが発生します。

    • ユーザーのユーザー名とパスワードを使用してロックを解除します。 ユーザーがローカルのセキュリティの機密性の高いリソースにアクセスできません。ユーザーがスマート カードのユニバーサル セキュリティ グループを必要とするネットワーク リソースにアクセスしようとするとします。これらの試行が失敗します。
    • ユーザーのスマート カードを使用してロックを解除します。 ユーザーがローカルのセキュリティの機密性の高いリソースにアクセスできません。この outcomeisn't を期待するとします。ユーザーがネットワーク リソースにアクセスしようとするとします。これらの試行が成功するは、期待どおりにします。
詳細
設計のため、AMA、セキュリティ サブシステムの「現象」に記載されている AMA に識別できないの対話型ログオンの種類信頼性の高い次シナリオが発生します。

ログオン/ログオフ

高速ログオンの最適化が有効な場合は、ローカル セキュリティ サブシステム (lsass) は、ログオン トークンのグループ メンバーシップを生成するローカル キャッシュを使用します。これを行うには、ドメイン コント ローラー (DC) との通信は必要ありません。したがって、ログオン時間が短縮します。これは、非常に重要な機能です。

ただし、このような状況は、次の問題: 後 SC のログオンとログオフの SC、ローカルにキャッシュされた AMA グループではない、正しく、ユーザーのトークンのユーザー名とパスワードの対話型ログオンの後にまだ存在しています。

注:

  • このような場合は、対話型ログオンにのみ適用されます。
  • AMA グループは、同様に、他のグループと同じロジックを使用してキャッシュされます。

この状況で、ユーザーはネットワーク リソースへのアクセスをしようとするとリソースの sideisn'tused、上のキャッシュされたグループ メンバーシップ、リソース側でユーザーのログオン セッションはありませんが含まれている、AMA のグループ。

高速ログオン最適化をオフにすることによってこの問題を解決できます ("コンピューターの構成 > 管理用テンプレート > システム > ログオン > 常にコンピューターの起動およびログオンでネットワークを待つ」)。

重要: この動作は、対話型ログオン シナリオにのみ該当します。ネットワーク リソースへのアクセスが期待どおりにログオンの最適化の必要性がないためです。したがって、使用されるグループの membershipisn't がキャッシュされます。ドメイン コント ローラーを接続して、最新の AMA のグループ メンバーシップ情報を使用して新しいチケットを作成します。

ロック/ロック解除

次のような状況を考えます。

  • ユーザーは、スマート カードを使用して対話的にログオンし、AMA で保護されたネットワーク リソースを開きます。

    注: <b>AMA の保護されたネットワーク リソースは、ユーザーのアクセス トークンに、AMA のグループを持つユーザーのみをアクセスします。
  • ユーザーは、既に開かれている AMA で保護されたネットワーク リソースを閉じる前に、コンピューターをロックします。
  • ユーザーのロックを解除、コンピューター、ユーザー名と同じスマート カードを使用して以前にログオンしたユーザーのパスワードを使用して)。
このシナリオでは、ユーザーもリソースにアクセスできます、AMA で保護された後、コンピューターのロックが解除されています。この動作は仕様です。ときコンピューターのロックが解除されている、Windows がネットワーク リソースを持っていなかったすべての開いているセッションを再作成できません。Windows は、グループのメンバーシップを再確認はありません。これらの操作を許容できないパフォーマンスの低下となるためにです。

このシナリオでは、標準のソリューションはありません。SC のログオン後、ユーザー名とパスワードのプロバイダーがフィルタ リングされる資格情報プロバイダーのフィルターを作成する 1 つのソリューションになるし、ロック処理が行われます。資格情報プロバイダーの詳細については、次のリソースを参照してください。

注: <b>このアプローチが今まで正常に実装されているかどうかは確認できません。

AMA の詳細については

AMA の識別も対話型ログオンの種類 (スマート カード oruser 名とパスワード) を適用します。この動作は仕様です。

AMA は、ネットワーク リソースがスマート カードを要求するシナリオです。使われるローカルのアクセスをすることはありません。

ハンドル AMA のグループを動的グループとして、動的グループのメンバーシップを使用する機能などの新機能を導入することによってこの問題を解決しようとすると、原因の重大な問題があります。NT トークンは、動的グループのメンバーシップをサポートしないためにです。システムには、実際にトリミングするグループが許可されている場合ユーザーできないことがありますが自分のデスクトップとアプリケーションとの対話します。したがって、グループのメンバーシップは、セッションが作成されたときにロックされているし、セッション全体で保持されます。

キャッシュされたログオンの問題が発生してもあります。最適化されたログオンが有効な場合、lsass は、まずローカル キャッシュ ラウンド トリップ ネットワークを呼び出す前にします。ユーザー名とパスワードは、lsass がいた (これは、ほとんどにアクセスする場合は true です) 以前のログオンと同じです、lsass は、ユーザーが以前にあった同じグループのメンバーシップを持つトークンを作成します。

ログオンの最適化をオフにすると、ネットワークのラウンドト リップが必要になります。Thiswould 期待どおりにログオン時のグループ メンバーシップが動作することを確認します。

キャッシュされたログオンの場合、lsass は、ユーザーごとの 1 つのエントリを保持します。このエントリには、ユーザーの以前のグループのメンバーシップが含まれています。これは、両方の最後 passwordor スマート カード資格情報が lsass で保護されています。両方とも同じトークン、資格情報キーのラップを解除します。ユーザーに古い資格情報キーを使用してログオンしようとする場合は、DPAPI データ、EFS で保護されたコンテンツ、およびように、失われます。したがって、キャッシュされたログオンでは、常にログオンするために使用されるメカニズムに関係なく、最新のローカル グループ メンバーシップを生成します。
認証メカニズム保証 AMA の対話型ログオン

警告: この記事は自動翻訳されています

プロパティ

文書番号:3101129 - 最終更新日: 11/21/2015 02:11:00 - リビジョン: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Enterprise, Windows 7 Professional

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMtja
フィードバック