Momentan sunteți offline, așteptați să vă reconectați la internet

Descrierea AMA de utilizare în scenarii de conecta interactiv în Windows

IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată și poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate și articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cunoștințe în mai multe limbi. Articolele traduse automat și post-editate pot conține greșeli de vocabular, sintaxă și/sau gramatică. Microsoft nu este responsabil de inexactitățile, erorile sau daunele cauzate de traducerea greșită a conținutului sau de utilizarea acestuia de către clienți. Găsiți mai multe informații despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 3101129
Rezumat
Acest articol descrie cum se utilizează autentificarea mecanism Assurance (dar) în scenarii de conecta interactiv.
Introducere
AMA adaugă un membru grup desemnat de administrator, universal simbol acces la un utilizator când acreditările de utilizator sunt autentificate în timpul conecta utilizând o metodă de autorizare bazată pe certificat. Acest lucru face posibile pentru administratorii de rețea de resurse pentru a controla acorda acces la resurse, cum ar fi fișierele, folderele și imprimante. Acest acces se bazează pe dacă utilizatorul face conecta utilizând o metodă de autorizare bazată pe certificat și tipul de certificat care este utilizat pentru a face conecta.
În acest articol
Acest articol se concentrează pe două scenarii problemă: conectare/log off şi blocare/deblocare. Comportamentul AMA în aceste scenarii este "proiectat" și pot fi rezumate după cum urmează:

  • AMA este destinat pentru a proteja resursele de rețea.
  • AMA poate identifica nici impune tipul de conecta interactiv (cartelă inteligentă sau nume de sign-in de utilizator/parolă) pentru computer local al utilizatorului. Aceasta se întâmplă deoarece resursele care sunt accesate după un conecta interactiv utilizator nu pot fi protejate constituie utilizând AMA.
Simptome

Problema scenariul 1 (conectare/log off)

Să luăm în considerare următorul scenariu:
  • Un administrator dorește să impune autentificarea conecta smart card (SC), atunci când utilizatorii accesează anumite resurse de securitate sensibile. Pentru aceasta, administratorul implementează AMA conform Asigurare de mecanism de autentificare pentru AD DS în Windows Server 2008 R2 ghid pas cu pas pentru identificatorul obiect politică de emitere care este utilizat în toate certificatele de cartele inteligente.

    Notă În acest articol, am se referă la acest Grup nou mapate ca "grupului de securitate universal smart card."
  • "Log on interactiv: necesită cartelă inteligentă" politică nu este activat pe stațiile de lucru. Prin urmare, utilizatorii pot face conecta utilizând alte acreditări, cum ar fi nume de sign-in de utilizator și parola.
  • Local și accesarea resurselor de rețea necesită grupului de securitate universal smart card.
În acest scenariu, vă așteptați acel utilizator numai care semne utilizând cartele inteligente pot accesa locale și resursele de rețea. Cu toate acestea, deoarece stația de lucru permite conecta optimizate/cached, verificatorul cache se utilizează în timpul conecta pentru a crea simbolul acces NT pentru utilizatorul pe desktop. De aceea, grupurile de securitate și cererile de logon anterioare sunt utilizate în loc de cea curentă.

Exemple de scenariu

Notă În acest articol, membru al grupului este regăsit pentru sesiuni de conecta interactiv utilizând "whoami/grupuri." Această comandă preia grupuri și cererile de simbol acces pe desktop.

  • Exemplu 1

    Dacă logon anterioare s-a efectuat utilizând o smart card, simbol acces pentru desktop a grupului de securitate universal smart card furnizat de AMA. Apare unul dintre următoarele rezultate:

    • Utilizatorul face conecta utilizând cartela inteligentă: utilizatorul poate accesa încă resurse sensibile de securitate locală. Utilizatorul încearcă să acceseze resursele de rețea care necesită grupului de securitate universal smart card. Aceste încercări va reuși.
    • Utilizatorul face conecta utilizând nume de sign-in de utilizator și parola: utilizator încă pot accesa resurse de securitate locală sensibile. Acest rezultat nu este așteptat. Utilizatorul încearcă să acceseze resursele de rețea care necesită grupului de securitate universal smart card. Aceste încercările nu așa cum vă așteptați.
  • Exemplu 2

    Dacă logon anterioare s-a efectuat utilizând o parolă, simbol acces pentru desktop nu are grupului de securitate universal smart card furnizat de AMA. Apare unul dintre următoarele rezultate:

    • Utilizatorul face conecta utilizând un nume de utilizator și parola: utilizatorul nu poate accesa resursele de securitate locală sensibile. Utilizatorul încearcă să acceseze resursele de rețea care necesită grupului de securitate universal smart card. Aceste încercările nu.
    • Utilizatorul face conecta utilizând cartela inteligentă: utilizatorul nu poate accesa resursele de securitate locală sensibile. Utilizatorul încearcă să acceseze resursele de rețea. Aceste încercări va reuși. Acest outcomeisn't aşteptat de clienți. De aceea, el determină access control probleme.

Problema scenariul 2 (blocare/deblocare)

Să luăm în considerare următorul scenariu:

  • Un administrator dorește să impune autentificarea conecta smart card (SC), atunci când utilizatorii accesează anumite resurse de securitate sensibile. Pentru aceasta, administratorul implementează AMA conform Asigurare de mecanism de autentificare pentru AD DS în Windows Server 2008 R2 ghid pas cu pas pentru identificatorul obiect politică de emitere care este utilizat în toate certificatele de cartele inteligente.
  • "Log on interactiv: necesită cartelă inteligentă" politică nu este activat pe stațiile de lucru. Prin urmare, utilizatorii pot face conecta utilizând alte acreditări, cum ar fi nume de sign-in de utilizator și parola.
  • Local și accesarea resurselor de rețea necesită grupului de securitate universal smart card.
În acest scenariu, vă așteptați că numai un utilizator care semne utilizând cartele inteligente pot accesa locale și resursele de rețea. Cu toate acestea, deoarece simbol acces pentru utilizatorul pe desktop este creat în timpul conecta, acesta nu este schimbat.

Exemple de scenariu

  • Exemplu 1

    Dacă simbol acces pentru desktop a grupului de securitate universal smart card furnizate de AMA, apare unul dintre următoarele rezultate:

    • Utilizatorul deschide utilizând cartela inteligentă: utilizatorul poate accesa încă resurse sensibile de securitate locală. Utilizatorul încearcă să acceseze resursele de rețea care necesită grupului de securitate universal smart card. Aceste încercări va reuși.
    • Utilizatorul deschide utilizând nume de sign-in de utilizator și parola: utilizator încă pot accesa resurse de securitate locală sensibile. Acest outcomeisn't cum vă așteptați. Utilizatorul încearcă să acceseze resursele de rețea care necesită grupului de securitate universal smart card. Aceste încercările nu.
  • Exemplu 2

    Dacă simbol acces pentru desktop nu are grupului de securitate universal smart card furnizate de AMA, apare unul dintre următoarele rezultate:

    • Utilizatorul deschide utilizând nume de sign-in de utilizator și parola: utilizatorul nu poate accesa resursele de securitate locală sensibile. Utilizatorul încearcă să acceseze resursele de rețea care necesită grupului de securitate universal smart card. Aceste încercările nu.
    • Utilizatorul deschide utilizând cartela inteligentă: utilizatorul nu poate accesa resursele de securitate locală sensibile. Acest outcomeisn't cum vă așteptați. Utilizatorul încearcă să acceseze resursele de rețea. Aceste încercări reuşi așa cum vă așteptați.
Informaţii suplimentare
Din cauza proiectare AMA și subsistemul de securitate care este descrisă în secțiunea "simptome", utilizatorii apară următoarele scenarii în care AMA fiabil nu poate identifica tipul de conecta interactiv.

Conectare/log off

Dacă optimizare rapidă conecta este activ, subsistemul de securitate locală (lsass) utilizează memorie cache locală pentru a genera de apartenență la grup în simbolul de conecta. Astfel, comunicarea cu controlerul de domeniu (DC) nu este necesar. De aceea, marcă de timp de conecta este redusă. Aceasta este o caracteristică dorit.

Cu toate acestea, această situație determină următoarea problemă: incorect, după conecta SC și SC Log off, grup local cache AMA este încă prezentă în simbolul de utilizator după utilizator nume/parola conecta interactiv.

Note

  • Această situație se aplică numai conectărilor interactive.
  • Un grup de AMA memorate în cache la fel și utilizând aceeaşi logică ca alte grupuri.

În această situație, dacă utilizatorul încearcă apoi pentru a accesa resursele de rețea, apartenenţa cache pe sideisn'tused de resurse și sesiune de conecta al utilizatorului în partea de resurse nu va conține un grup de AMA.

Această problemă poate fix dezactivând rapid optimizare conecta ("Computer Configuration > Administrative Templates > sistem > Logon > întotdeauna așteptați în rețea la pornirea computerului și log on").

Important Acest comportament este relevant numai în scenariul de conecta interactiv. Acces la resursele de rețea funcționează conform așteptărilor, deoarece nu este nevoie de optimizare de conecta. De aceea, în memoria cache grup membershipisn't utilizate. DC este contactat pentru a crea nou bilet utilizând informații mai recente oferte AMA grup membri.

Blocare/deblocare

Să luăm în considerare următorul scenariu:

  • Un utilizator face conecta interactiv utilizând cartela inteligentă și apoi se deschide resursele de rețea AMA protejate.

    Notă AMA protejate rețea resurse pot fi accesate numai utilizatorii care au un grup de AMA în lor simbol acces.
  • Utilizatorul blochează computerul fără a închide prima resursa anterior deschis AMA protejate prin rețea.
  • Utilizatorul deschide computerul utilizând nume de sign-in de utilizator și parola utilizatorului același care anterior conecta utilizând un card).
În acest scenariu, utilizatorul poate accesa tot resursele protejate AMA după ce computerul este deblocat. Acest comportament este proiectat. Whenthe computerul este deblocat, Windows nu creează din nou toate sesiuni deschise care a avut resursele de rețea. Windows, de asemenea, nu se verifică din nou membru al grupului. Aceasta se întâmplă deoarece aceste acțiuni ar provoca problemele performanță neacceptate.

Nu există nicio soluție out-of-box pentru acest scenariu. O soluţie ar fi pentru a crea un filtru Credential Provider care filtrează furnizorul nume/parola de utilizator după conecta SC şi blocare pași produce. Pentru a afla mai multe despre Credential Provider, consultați următoarele resurse:

Notă Noi nu poate confirma dacă această abordare vreodată a fost implementat cu succes.

Mai multe informații despre AMA

AMA poate identifica nici impune tipul de conecta interactiv (cartelă inteligentă oruser nume/parola). Acest comportament este proiectat.

AMA este destinată scenarii în care resursele de rețea cere o smart card. Nu este destinat să fie usedfor acces local.

Orice încercare de a remedia această problemă prin introducerea de caracteristici noi, cum ar fi capacitatea de a utiliza apartenență la grup dinamică sau handle AMA grupuri ca un grup dinamic, poate provoca probleme semnificative. De aceea, simboluri NT nu acceptă Apartenenţe la grup dinamic. Dacă sistemul este permisă grupuri pentru a fi împodobite în marcă de timp real, utilizatorii pot împiedica să interacționează cu propriul desktop și aplicațiile. De aceea, Apartenenţe la grup sunt blocate din momentul în care sesiunea se creează și se păstrează pe parcursul sesiunii.

Cache conectările sunt, de asemenea, problematică. Dacă este activată optimizate conecta, lsass încearcă mai întâi o memorie cache locală înainte de a se invocă o rețea dus-întors. Dacă nume de sign-in de utilizator și parola sunt identice cu ce lsass văzut pentru conecta anterioară (acest lucru este adevărat pentru majoritatea logon), lsass creează un simbol, care are același Apartenenţe la grup care utilizatorul a avut anterior.

Dacă optimizate conecta este dezactivată, o rețea de transport ar fi necesare. Thiswould asigurați-vă că membri de grup de lucru la conecta normal.

Într-un cache de conecta, lsass păstrează o intrare per utilizator. Această intrare include anterioare de apartenență la grup a utilizatorului. Acest lucru este protejat de ambele ultima passwordor smart card credential care lsass văzut. Ambele deschiderea aceeași cheie simbol și acreditări. Dacă utilizatorii au fost pentru a încerca să faceți conecta utilizând o cheie de acreditări învechite, pierd DPAPI date, EFS protejat și etc. De aceea, memoria cache conectările produce întotdeauna cele mai recente apartenențele grup local, indiferent de mecanismul care este utilizat pentru a face conecta.
Autentificare mecanism Assurance AMA conecta interactiv

Avertisment: acest articol a fost tradus automat

Proprietăți

ID articol: 3101129 - Ultima examinare: 11/21/2015 16:50:00 - Revizie: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Enterprise, Windows 7 Professional

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMtro
Feedback
getElementsByTagName("head")[0].appendChild(m);