В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Описание использования AMA в сценариях интерактивного входа в Windows

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 3101129
Аннотация
В данной статье описывается использование надежности механизма проверки подлинности (AMA) в сценариях интерактивный вход в систему.
Введение
AMA добавляет назначен администратор, универсальные группы членства маркер доступа пользователя, если подлинность учетных данных пользователя при входе в систему, используя метод входа на основе сертификата. Это позволяет сетевым администраторам ресурсов для управления доступом к ресурсам, таким как файлы, папки и принтеры. Этот доступ основан на ли пользователь входит в систему, используя метод входа на основе сертификата и тип сертификата, который используется для входа.
В этой статье
Эта статья посвящена две ситуации проблема: вход/выход из системы и блокировки. В этих случаях поведение AMA — «конструктор» и могут быть кратко изложены следующим образом:

  • AMA предназначен для защиты сетевых ресурсов.
  • AMA можно определить, ни применять тип интерактивного входа в систему (смарт-карта или имя пользователя и пароль) для локального компьютера. Это происходит потому, что ресурсы, которые доступны после входа в систему интерактивного пользователя не могут надежно защищен с помощью AMA.
Проблема

Проблема 1 сценарии (вход/выход)

Рассмотрим следующий сценарий:
  • Администратор для обеспечения проверки подлинности при входе со смарт-картой (SC) при доступе пользователя к определенным ресурсам конфиденциальные. Для этого администратор развертывает AMA в соответствии с Контроль механизма проверки подлинности для службы AD DS в пошаговое руководство по Windows Server 2008 R2 код объекта политики выдачи, выступает в все сертификаты смарт-карт.

    Примечание В этой статье мы называть эту новую группу сопоставленные «смарт-карт универсальную группу безопасности.»
  • "Интерактивный вход: требуется смарт-карта" политика не включена на рабочих станциях. Таким образом пользователи могут войти в систему с помощью других учетных данных, например имя пользователя и пароль.
  • Локальные и доступа к ресурсам сети требуется смарт-карта универсальной группы безопасности.
В этом сценарии предполагается, что только пользователя, который подписывается с помощью смарт-карт доступ локальных и сетевых ресурсов. Тем не менее поскольку рабочая станция позволяет оптимизации кэширования входа, кэшированного проверяющий используется при входе в систему для создания маркера доступа NT для рабочего стола пользователя. Таким образом группы безопасности и заявок от предыдущего входа используются вместо текущего.

Примеры сценариев

Примечание В этой статье членство в группах извлекаются для сеансов интерактивный вход в систему с помощью «whoami/группы». Эта команда извлекает группы и утверждения из маркера доступа на рабочем столе.

  • Пример 1.

    Если предыдущего входа выполняется с помощью смарт-карты, маркер доступа для настольных ПК имеет смарт-карты универсальной группы безопасности, предоставляемые AMA. Произойдет одно из следующих результатов:

    • Пользователь входит в систему с помощью смарт-карты: пользователь получить доступ к конфиденциальным ресурсам локальной безопасности. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется смарт-карта универсальной группы безопасности. Эти попытки успешно.
    • Пользователь входит в систему, используя имя пользователя и пароль: пользователь получить доступ к конфиденциальным ресурсам локальной безопасности. Этот результат не ожидается. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется смарт-карта универсальной группы безопасности. Эти попытки окончились неудачей, как ожидалось.
  • Пример 2

    Если предыдущего входа было выполнено с помощью пароля, маркер доступа для настольных ПК имеет смарт-карты универсальной группы безопасности, предоставляемые AMA. Произойдет одно из следующих результатов:

    • Пользователь входит в систему, используя имя пользователя и пароль: пользователь получит доступ к конфиденциальным ресурсам локальной безопасности. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется смарт-карта универсальной группы безопасности. Эти попытки окончились неудачей.
    • Пользователь входит в систему с помощью смарт-карты: пользователь получит доступ к конфиденциальным ресурсам локальной безопасности. Пользователь пытается получить доступ к сетевым ресурсам. Эти попытки успешно. Это outcomeisn't с клиентами. Таким образом вызывает доступ проблемы управления.

Проблема 2 сценарий (блокировки)

Рассмотрим следующий сценарий:

  • Администратор для обеспечения проверки подлинности при входе со смарт-картой (SC) при доступе пользователя к определенным ресурсам конфиденциальные. Для этого администратор развертывает AMA в соответствии с Контроль механизма проверки подлинности для службы AD DS в пошаговое руководство по Windows Server 2008 R2 код объекта политики выдачи, выступает в все сертификаты смарт-карт.
  • "Интерактивный вход: требуется смарт-карта" политика не включена на рабочих станциях. Таким образом пользователи могут войти в систему с помощью других учетных данных, например имя пользователя и пароль.
  • Локальные и доступа к ресурсам сети требуется смарт-карта универсальной группы безопасности.
В этом сценарии предполагается, что только пользователь подписывает с помощью смарт-карт доступа к локальной и сетевых ресурсов. Тем не менее маркер доступа для пользователя настольного компьютера создается во время входа в систему, поэтому оно не изменяется.

Примеры сценариев

  • Пример 1.

    Если маркер доступа для настольных ПК имеет смарт-карт универсальную группу безопасности предоставляемые AMA, возникнет одна из следующих результатов:

    • Снимает блокировку пользователя с помощью смарт-карты: пользователь получить доступ к конфиденциальным ресурсам локальной безопасности. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется смарт-карта универсальной группы безопасности. Эти попытки успешно.
    • Снимает блокировку пользователя, используя имя пользователя и пароль: пользователь получить доступ к конфиденциальным ресурсам локальной безопасности. Outcomeisn't это ожидалось. Пользователь пытается получить доступ к сетевым ресурсам, которым требуется смарт-карта универсальной группы безопасности. Эти попытки окончились неудачей.
  • Пример 2

    Если маркер доступа для настольных ПК не поддерживает смарт-карты универсальной группы безопасности предоставляемые AMA, возникнет одна из следующих результатов:

    • Снимает блокировку пользователя, используя имя пользователя и пароль: пользователь получит доступ к конфиденциальным ресурсам локальной безопасности. Пользователь пытается получить доступ к сетевым ресурсам требуется смарт-карта универсальной группы безопасности. Эти попытки окончились неудачей.
    • Снимает блокировку пользователя с помощью смарт-карты: пользователь получит доступ к конфиденциальным ресурсам локальной безопасности. Outcomeisn't это ожидалось. Пользователь пытается получить доступ к сетевым ресурсам. Эти попытки успешно выполняться должным образом.
Дополнительная информация
Из-за конструкции AMA и подсистему безопасности, описанное в разделе «Проблема» пользователей следующие сценарии, в которых AMA не может идентифицировать надежно тип интерактивный вход в систему.

Вход/выход

Если активно оптимизации быстрого входа в систему, подсистема локальной безопасности (lsass) использует локальный кэш для создания членства в группе в маркеры входа в систему. При этом связь с контроллером домена (DC) не требуется. Следовательно уменьшается время входа в систему. Эта функция крайне желательной.

Однако в результате следующая проблема: после SC входа и выхода SC, локально кэшированных группы AMA — неправильно, все еще присутствует в маркере пользователя после интерактивного входа пользователя имя и пароль.

Заметки

  • Эта ситуация применяется только для интерактивного входа в систему.
  • Группу AMA кэшируются так же и, используя ту же логику в качестве других групп.

В этом случае, если пользователь пытается получить доступ к сетевым ресурсам, кэшированные группах на ресурс sideisn'tused и сеанс входа в систему пользователя на стороне ресурсов не будет содержать группу AMA.

Проблемы могут быть исправлены путем отключения оптимизации быстрого входа в систему («Конфигурация компьютера настроек административных шаблонов настроек системы настроек входа настроек всегда ожидать инициализации сети при загрузке и входе в систему»).

Важно! Это имеет смысл только в случае интерактивный вход в систему. Доступ к сетевым ресурсам будет работать, как ожидается, поскольку нет необходимости для оптимизации входа в систему. Таким образом кэш используется membershipisn't группы. Установить связь с контроллером домена создать новый билет с помощью новыми версиями данные об участниках группы AMA.

Заблокировать/разблокировать

Рассмотрим следующий сценарий:

  • Пользователь интерактивного входа с помощью смарт-карты, а затем открывает AMA защищенные сетевые ресурсы.

    Примечание AMA защищенные сетевые ресурсы могут быть доступны только пользователи, имеющие группу AMA в их маркер доступа.
  • Пользователь блокирует компьютер, закрывая ранее открытые сети, защищенной AMA ресурсов.
  • Пользователь разблокирует компьютер, используя имя пользователя и пароль для одного пользователя, ранее войти в систему с помощью смарт-карты).
В этом сценарии пользователь обращаться к AMA-защищенные ресурсы после разблокирования компьютера. Данное поведение является особенностью. Разблокирован выполнявшегося компьютера, Windows не создается повторно открытых сеансов с сетевым ресурсам. Windows также не повторная проверка членства в группах. Это происходит потому, что эти действия вызовет снижение производительности санкции.

Нет никакого решения out-of-box для этого сценария. Одним из решений является создание поставщика учетных данных фильтр, который фильтрует поставщика имя и пароль пользователя после входа SC и выполняются действия блокировки. Для получения дополнительных сведений о поставщике учетных данных, обратитесь к следующим ресурсам:

Примечание Мы не подтвердил ли этот подход всегда был успешно реализован.

Дополнительные сведения о AMA

AMA можно определить, ни применять тип интерактивного входа в систему (смарт-карты, oruser, имя и пароль). Данное поведение является особенностью.

AMA предназначен для сценариев, в которых сетевым ресурсам требовать смарт-карту. Он не имеет предназначены для локального доступа usedfor.

Любая попытка решить эту проблему путем введения новых возможностей, например, возможность использовать членство в группах динамическое или дескриптор группы AMA как динамическую группу, может вызвать значительные проблемы. Вот почему маркеры NT не поддерживают динамическое членство в группах. Если система разрешенные группы для усечения в реальном, пользователи могут могут взаимодействовать с их рабочего стола и приложений. Таким образом членство в группах заблокирован во время создания сеанса и сохраняются на протяжении всего сеанса.

Кэшированные входов в систему, также проблематичным. При включении входа оптимизированного lsass сначала будет предпринята попытка локального кэша перед вызовом сети обращение. Если имя пользователя и пароль, идентичные видели lsass для предыдущего входа (это касается большинства входов) lsass создает маркер, который имеет же принадлежность к группам, которые пользователь должен был ранее.

При отключенном оптимизированного входа двунаправленное сети не требуются. Thiswould убедитесь, что работает членство в группах при входе в систему должным образом.

В кэшированного входа lsass сохраняет одну запись для каждого пользователя. Эта запись включает предыдущие членство в группе пользователей. Защищен, как последний passwordor смарт-карты учетные данные, видели lsass. Как развернуть тот же ключ маркера и учетных данных. Если попытаться войти в систему с помощью ключа устаревшие учетные данные пользователей, они будут потеряны DPAPI данных EFS защищенного содержимого и т. д. Таким образом кэшированного входа всегда производят последних членов локальных групп, независимо от того, механизм, который используется для входа.
Интерактивный вход Software Assurance AMA механизм проверки подлинности

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 3101129 — последний просмотр: 11/21/2015 16:51:00 — редакция: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Корпоративная, Windows 7 Профессиональная

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMtru
Отзывы и предложения