概要
この資料では、対話型ログオン シナリオで認証メカニズム保証 (AMA) を使用する方法について説明します。
概要
AMA では、証明書ベースのログオン方法を使用してログオン時にユーザーの資格情報が認証されたときにユーザーのアクセス トークンに、管理者が指定のユニバーサル グループ メンバーシップを追加します。これによりネットワーク リソース管理者は、ファイル、フォルダー、およびプリンターなどのリソースへのアクセスを制御できます。このアクセスは、ユーザーが証明書ベースのログオン方法およびログオンに使用される証明書の種類を使用してログオンするかどうかに基づいています。
この資料に記載されて
この資料で問題の 2 つのシナリオについて説明します。 ログオン/ログオフおよびロックとロック解除します。AMA のこれらのシナリオでの動作は仕様、次のように要約することができます。
-
AMA は、ネットワーク リソースを保護するものです。
-
AMA の識別もユーザーのローカル コンピューターの対話型ログオンの種類 (スマート カードまたはユーザー名とパスワード) を適用します。AMA を使用してが、対話ユーザーがログオンした後にアクセスするリソースを確実に保護することはできないためにです。
現象
問題シナリオ 1 (ログオン/ログオフ)
次のような状況を考えます。
-
ユーザーが特定のセキュリティ上重要なリソースにアクセスするときに、スマート カード (SC) のログオン認証を強制するための手段です。これを行うには、管理者は、すべてのスマート カード証明書で使用される発行ポリシーのオブジェクト識別子のWindows Server 2008 R2 の「ステップ バイ ステップ ガイド 』 の AD DS 用の認証メカニズム保証によって AMA を配置します。
-
この記事で私たちを参照してくださいこの新しいマップされたグループ」、スマート カード ユニバーサル セキュリティ グループとします"
-
"対話型ログオン: スマート カードを必要とする"ポリシーは、ワークステーションで有効になっていません。したがって、ユーザーは、ユーザー名やパスワードなど、他の資格情報を使用してにログオンできます。
-
ローカル ネットワーク リソースへのアクセスは、スマート カードのユニバーサル セキュリティ グループを必要とします。