설명 창에서 대화형 로그온 시나리오 AMA 사용량

이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.

이 문서의 영문 버전 보기:3101129
요약
인증 메커니즘 보증 (AMA) 대화형 로그온 시나리오에서 사용 하는 방법을 설명 합니다.
소개
AMA는 인증서 기반 로그온 방법으로 로그온 할 때 사용자의 자격 증명이 인증 되 면 사용자의 액세스 토큰에는 관리자가 지정한 유니버설 그룹 구성원 자격을 추가 합니다. 그러면 네트워크 리소스 관리자는 파일과 폴더, 프린터 등의 리소스에 대 한 액세스를 제어할 수 있습니다. 이 액세스 기반으로 사용자 여부에 로그온 하는 데 사용 되는 인증서 종류와 인증서 기반 로그온 방법을 사용 하 여 로그온 합니다.
이 문서에서
이 문서에서는 두 가지 문제 시나리오: 로그온/로그 오프 하 고 잠금/잠금 해제 합니다. 이 경우 AMA 동작 "의도적" 이며 다음과 같이 요약할 수 있습니다.

  • AMA는 네트워크 리소스를 보호 하는 데 사용 됩니다.
  • AMA 식별 하거나 사용자의 로컬 컴퓨터에 대 한 대화형 로그온 종류 (스마트 카드 또는 사용자 이름/암호)을 적용할 수 없습니다. 즉, AMA를 사용 하 여 대화형 사용자가 로그온 한 후 액세스 되는 리소스를 안전 하 게 보호할 수 없습니다.
현상

문제가 시나리오 1 (로그온/로그 오프)

다음 시나리오를 고려하십시오.
  • 관리자는 사용자가 특정 보안 관련 리소스에 액세스 (SC) 스마트 카드 로그온 인증을 적용 하려고 합니다. 이렇게 하려면 관리자는 AMA에 따라 배포 된 AD DS에서 Windows Server 2008 r 2에 대 한 단계별 가이드에 대 한 인증 메커니즘 보증 발급 정책 개체 식별자에 대 한 모든 스마트 카드 인증서에서 사용 되는.

    참고: 이 문서에서는 라고이 새 매핑된 그룹 "스마트 카드 유니버설 보안 그룹입니다."
  • 해당 "대화형 로그온: 스마트 카드 필요" 정책을 워크스테이션에서 사용 되지 않습니다. 따라서 사용자가 사용자 이름 및 암호와 같은 다른 자격 증명을 사용 하 여 로그온 할 수 있습니다.
  • 로컬 네트워크 리소스 액세스가 필요한 스마트 카드 유니버설 보안 그룹입니다.
이 경우에만 스마트 카드를 사용 하 여 로그온 한 사용자를 로컬 액세스 네트워크 리소스 예상. 그러나 워크스테이션 로그온 캐시 최적화 되어 있으므로 확인자 캐시 된 로그온 하는 동안 사용자의 데스크톱에 대 한 NT 액세스 토큰을 만들 사용 됩니다. 따라서 보안 그룹 및 클레임 이전 로그온에서 현재 대신에 사용 됩니다.

시나리오 예제

참고: 여기서에서 그룹 구성원은 대화형 로그온 세션에 대 한 사용 하 여 검색 "whoami/그룹." 이 명령은 데스크탑의 액세스 토큰의 그룹 및 클레임을 가져옵니다.

  • 예제 1

    이전 로그온에 스마트 카드를 사용 하 여 수행 하는 경우 바탕 화면에 대 한 액세스 토큰이 AMA에 의해 제공 되는 스마트 카드 유니버설 보안 그룹을 있습니다. 다음 결과 중 하나가 발생합니다.

    • 사용자가 스마트 카드를 사용 하 여 로그온: 사용자 로컬 보안에 중요 한 리소스에 계속 액세스할 수 있습니다. 사용자의 스마트 카드 유니버설 보안 그룹을 필요로 하는 네트워크 리소스에 액세스 하려고 시도 합니다. 이러한 시도가 성공 합니다.
    • 사용자가 사용자 이름과 암호를 사용 하 여 로그온: 사용자 로컬 보안에 중요 한 리소스에 계속 액세스할 수 있습니다. 이 결과 예상 되지 않습니다. 사용자의 스마트 카드 유니버설 보안 그룹을 필요로 하는 네트워크 리소스에 액세스 하려고 시도 합니다. 이러한 시도 예상 대로 실패 합니다.
  • 예제 2

    이전 로그온 암호를 사용 하 여를 수행 하는 경우 바탕 화면에 대 한 액세스 토큰이 AMA에 의해 제공 되는 스마트 카드 유니버설 보안 그룹에 없는 경우 다음 결과 중 하나가 발생합니다.

    • 사용자가 사용자 이름과 암호를 사용 하 여 로그온: 사용자 로컬 보안에 중요 한 리소스에 액세스할 수 없습니다. 사용자의 스마트 카드 유니버설 보안 그룹을 필요로 하는 네트워크 리소스에 액세스 하려고 시도 합니다. 이 시도가 실패합니다.
    • 사용자가 스마트 카드를 사용 하 여 로그온: 사용자 로컬 보안에 중요 한 리소스에 액세스할 수 없습니다. 사용자가 네트워크 리소스에 액세스 하려고 합니다. 이러한 시도가 성공 합니다. 예상 고객 들이 outcomeisn't. 따라서 액세스 제어 문제 발생 합니다.

문제가 시나리오 2 (잠금/잠금 해제)

다음 시나리오를 고려하십시오.

  • 관리자는 사용자가 특정 보안 관련 리소스에 액세스 (SC) 스마트 카드 로그온 인증을 적용 하려고 합니다. 이렇게 하려면 관리자는 AMA에 따라 배포 AD DS에서 Windows Server 2008 r 2에 대 한 단계별 가이드에 대 한 인증 메커니즘 보증 발급 정책 개체 식별자에 대 한 모든 스마트 카드 인증서에서 사용 되는.
  • 해당 "대화형 로그온: 스마트 카드 필요" 정책을 워크스테이션에서 사용 되지 않습니다. 따라서 사용자가 사용자 이름 및 암호와 같은 다른 자격 증명을 사용 하 여 로그온 할 수 있습니다.
  • 로컬 네트워크 리소스 액세스가 필요한 스마트 카드 유니버설 보안 그룹입니다.
이 시나리오에서는 스마트 카드를 사용 하 여 로그온 한 사용자만 액세스할 로컬 및 네트워크 리소스 수를 예상 합니다. 그러나 액세스 토큰이 사용자의 데스크톱 로그온 중 만들어지므로 변경 되지 않습니다.

시나리오 예제

  • 예제 1

    바탕 화면에 대 한 액세스 토큰이 AMA에서 제공 하는 스마트 카드 유니버설 보안 그룹에 있는 경우 다음 결과 중 하나가 발생 합니다.

    • 사용자의 스마트 카드를 사용 하 여 잠금을 해제: 사용자 로컬 보안에 중요 한 리소스에 계속 액세스할 수 있습니다. 사용자의 스마트 카드 유니버설 보안 그룹을 필요로 하는 네트워크 리소스에 액세스 하려고 시도 합니다. 이러한 시도가 성공 합니다.
    • 사용자의 사용자 이름 및 암호를 사용 하 여 잠금을 해제: 사용자 로컬 보안에 중요 한 리소스에 계속 액세스할 수 있습니다. 예상이 outcomeisn't. 사용자의 스마트 카드 유니버설 보안 그룹을 필요로 하는 네트워크 리소스에 액세스 하려고 시도 합니다. 이 시도가 실패합니다.
  • 예제 2

    바탕 화면에 대 한 액세스 토큰에 AMA가 제공 하는 스마트 카드 유니버설 보안 그룹 다음 결과 중 하나가 발생 합니다.

    • 사용자의 사용자 이름 및 암호를 사용 하 여 잠금을 해제: 사용자 로컬 보안에 중요 한 리소스에 액세스할 수 없습니다. 사용자는 스마트 카드 유니버설 보안 그룹에 필요한 네트워크 리소스에 액세스 하려고 합니다. 이 시도가 실패합니다.
    • 사용자의 스마트 카드를 사용 하 여 잠금을 해제: 사용자 로컬 보안에 중요 한 리소스에 액세스할 수 없습니다. 예상이 outcomeisn't. 사용자가 네트워크 리소스에 액세스 하려고 합니다. 이러한 시도 예상 대로 성공 합니다.
추가 정보
"현상" 절에서 설명 하는 AMA와 보안 하위 시스템 디자인을 사용자가 AMA 대화형 로그온 유형을 식별할 안정적으로 수 없는 다음과 같은 시나리오를 발생 합니다.

로그온/로그 오프

빠른 로그온 최적화 활성화 되 면 로컬 보안 하위 시스템 (lsass) 로그온 토큰의 그룹 구성원을 생성 하 여 로컬 캐시를 사용 합니다. 이렇게 하면 도메인 컨트롤러 (DC)와 통신 필요 없습니다. 따라서 로그온 시간이 단축 됩니다. 이것은 매우 유용한 기능입니다.

하지만 이러한 상황으로 인해 다음과 같은 문제가: SC 로그 오프 후 SC 로그온을 로컬로 캐시 된 AMA 그룹은 받지를 올바르게 사용자 이름/암호 대화형 로그온 후 사용자 토큰에 여전히 존재 합니다.

메모

  • 이 경우는 대화형 로그온에만 적용 됩니다.
  • AMA 그룹에는 동일한 방식으로 하 고 다른 그룹으로 동일한 논리를 사용 하 여 캐시 됩니다.

이 경우 사용자는 네트워크 리소스에 액세스 하려고 하면 리소스 sideisn'tused에 캐시 된 그룹 등록 및 사용자의 로그온 세션이 리소스 쪽 포함 되지 않을 AMA 그룹은.

빠른 로그온 최적화를 해제 하 여이 문제를 해결할 수 있습니다 ("컴퓨터 구성 > 관리 템플릿 > 시스템 > 로그온 > 항상 컴퓨터 시작 및 로그온 시 네트워크 대기").

중요 이 동작은 대화식 로그온 시나리오에만 해당 합니다. 네트워크 리소스에 액세스할 수 로그온 최적화에 대 한 필요가 없습니다 있기 때문에 작동 합니다. 그러므로, 그룹 membershipisn't를 사용 하는 캐시. DC 최신 AMA 그룹 구성원 정보를 사용 하 여 새 티켓을 연결 합니다.

잠금/잠금 해제

다음 시나리오를 고려하십시오.

  • 사용자는 스마트 카드를 사용 하 여 대화형으로 로그온 한 다음 AMA 암호로 보호 된 네트워크 리소스를 엽니다.

    참고: AMA 그룹은 액세스 토큰에 권한이 있는 사용자만 액세스 하는 AMA 보호 된 네트워크 리소스를 수 있습니다.
  • 사용자는 이전에 열었던된 AMA 암호로 보호 된 네트워크 리소스를 먼저 닫지 않고 컴퓨터를 잠급니다.
  • 사용자 컴퓨터의 잠금을 해제 하면 사용자 이름 및 이전에 스마트 카드를 사용 하 여 로그온 되어 있는 사용자의 암호를 사용 하 여).
이 시나리오에서는 사용자 액세스할 수 AMA 보호 리소스 컴퓨터가 잠겨. 이 동작은 의도된 것입니다. 때 스레드에서 컴퓨터 잠금이 해제 되, Windows에서는 네트워크 리소스의 모든 열린 세션 다시 만들어지지 않습니다. Windows 또한 다시 확인 하지 않습니다 그룹 구성원입니다. 이러한 동작은 허용 되지 않는 성능 저하로 인해 때문입니다.

이 시나리오의 기본 솔루션이 있습니다. 해결 하는 한 자격 증명 공급자 SC 로그온 후 사용자 이름/암호 공급자를 필터링 하는 필터를 만드는 것과 잠금 단계가 발생 합니다. 자격 증명 공급자에 대 한 자세한 내용은 다음 리소스를 참조 합니다.

참고: 우리가 여부를이 이렇게도 성공적으로 구현 되었는지 확인할 수 없습니다.

AMA에 대 한 자세한 내용

AMA 수 없으며 확인 대화형 로그온 유형 (스마트 카드 oruser 이름/암호)을 적용 합니다. 이 동작은 의도된 것입니다.

AMA는 네트워크 리소스에 스마트 카드를 요구 하는 시나리오를 위한 것입니다. Usedfor 로컬 액세스를 수는 없습니다.

또는 핸들 AMA 그룹 동적 그룹 동적 그룹 멤버 자격을 사용 하는 기능 등 새로운 기능을 도입 하 여이 문제를 해결 하려고 많은 문제를 일으킬 수 있습니다. 이 때문에 NT 토큰 동적 그룹 멤버 자격을 지원 하지 않습니다. Real에서 잘라내야 할 그룹에 허용 하는 시스템 사용자가 자신의 바탕 화면 및 응용 프로그램과 상호 작용할 수 없게 수 있습니다. 따라서 그룹 구성원 세션이 만들어질 때 잠겨 있으며 세션 동안 유지 됩니다.

캐시 된 로그온 문제가 발생할 수 있습니다. 로그온 최적화 설정 되어 있으면 lsass 우선 로컬 캐시를 시도 라운드트립 네트워크 호출 합니다. 사용자 이름 및 암호 (이러한 현상은 일어나는가) 이전 로그온 본 될 lsass를 동일한 경우 lsass는 사용자가 이전에 있는 동일한 그룹 구성원 자격을 가진 토큰을 만듭니다.

로그온 최적화를 해제할 네트워크 왕복 해야 합니다. Thiswould 그룹 구성원이 로그온 할 때 예상 대로 작동 하는지 확인 하십시오.

캐시 된 로그온 lsass는 사용자 당 하나의 항목을 유지합니다. 이 항목에는 사용자의 이전 그룹 구성원을 포함 됩니다. 이 두 마지막 passwordor 스마트 카드 자격 증명 lsass 본 보호 됩니다. 둘 다 래핑을 동일한 자격 증명 및 토큰 키. 부실 자격 증명 키를 사용 하 여 로그온 하려고 사용자가을 DPAPI 데이터 EFS 보호와 등 손실 될 것입니다. 따라서 캐시 된 로그온 로그온 하는 데 사용 되는 메커니즘에 상관 없이 최신 로컬 그룹 구성원 자격을 생성 합니다.
인증 메커니즘 보증 AMA 대화형 로그온

경고: 이 문서는 자동으로 번역되었습니다.

속성

문서 ID: 3101129 - 마지막 검토: 11/21/2015 02:12:00 - 수정: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Enterprise, Windows 7 Professional

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMtko
피드백