Trenutno ste van mreže; čekamo da se ponovo povežete na internet

Popis použitia AMA v prípadoch interaktívne prihlásenie do systému Windows

DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.

Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 3101129
Súhrn
Tento článok popisuje používanie overovania mechanizmus zabezpečenia (AMA) v prípadoch interaktívne prihlásenie.
Úvod
AMA pridá označené správcu, univerzálny členstvo Prístupový token používateľa pri poverení používateľa sú overené počas prihlásenia metódou certifikátom prihlásenia. To umožňuje správcom siete prostriedkov na riadenie prístupu k prostriedkom, ako sú napríklad súbory, priečinky a tlačiarne. Prístup na základe či prihlásení pomocou metódu prihlásenia certifikátom a typ certifikátu, ktorý sa používa na prihlásenie.
V tomto článku
Tento článok sa zameriava na dva scenáre problém: prihlásenie a odhlásenie a odomknutie. Správanie AMA v týchto prípadoch je "návrh" a môžu byť zhrnuté takto:

  • AMA je určená na ochranu sieťových prostriedkov.
  • AMA, môžete určiť ani vynútenie typu interaktívne prihlásenie (smart card alebo používateľské meno a heslo) na lokálnom počítači. Dôvodom je skutočnosť, že prostriedky, ktoré sú prístupné po prihlásení používateľ nemôže byť spoľahlivo chránený AMA.
Príznaky

Problém scenár 1 (prihlásenie a odhlásenie)

Predstavte si nasledujúcu situáciu:
  • Správca chce vynútiť overenie prihlásenia Smart Card (DV), keď používateľ otvorí určité citlivé na zabezpečenie prostriedkov. Na správcu zavádza AMA podľa Overovanie mechanizmus zabezpečenia AD DS v systéme Windows Server 2008 R2 podrobný identifikátor objektu politiky vydávania, používa vo všetkých certifikátov kariet smart card.

    Poznámka: V tomto článku nájdete sme do novej skupiny priradené ako "smart card univerzálna skupina zabezpečenia."
  • "Interaktívne prihlásenie: vyžaduje karty smart card" politika nie je zapnuté na pracovných staniciach. Preto používateľov, môžete sa prihlásiť pomocou iných poverení, napríklad používateľského mena a hesla.
  • Lokálny sieťový prostriedok prístup vyžaduje karty smart card univerzálna skupina zabezpečenia.
V tomto prípade očakávate, že iba používateľ prihlási pomocou karty smart card prístup k lokálnej a sieťovým prostriedkom. Však pracovná stanica umožňuje prihlásenie optimalizované cache, cache overovanie sa používa pri prihlásení vytvoriť NT Prístupový token na pracovnú plochu. Preto skupiny zabezpečenia a nároky z predchádzajúceho prihlásenia používajú namiesto aktuálne.

Scenár príklady

Poznámka: V tomto článku sa získa členstvo v skupine relácie interaktívne prihlásenie pomocou "whoami/skupiny." Tento príkaz vyhľadá skupín a nároky z skúsenosti s prácou s počítačom Prístupový token.

  • Príklad 1

    Ak bol predchádzajúci prihlásenie pomocou karty smart card, Prístupový token na pracovnej ploche sa karta smart card univerzálna skupina zabezpečenia, poskytuje AMA. Nastane jedna z nasledujúcich výsledkov:

    • Prihlásení pomocou karty smart card: používateľa môžete naďalej citlivé zdroje lokálneho zabezpečenia. Používateľ sa pokúša získať prístup k sieťovým prostriedkom, ktorý vyžaduje kariet smart card univerzálna skupina zabezpečenia. Tieto pokusy úspešné.
    • Prihlásení pomocou používateľského mena a hesla: používateľa môžete naďalej citlivé zdroje lokálneho zabezpečenia. Tento výsledok nie je správne. Používateľ sa pokúša získať prístup k sieťovým prostriedkom, ktorý vyžaduje kariet smart card univerzálna skupina zabezpečenia. To nepodarí, ako sa očakáva.
  • Príklad 2

    Ak bol predchádzajúci prihlásiť pomocou hesla, Prístupový token na pracovnej ploche nemá karty smart card univerzálna skupina zabezpečenia, poskytuje AMA. Nastane jedna z nasledujúcich výsledkov:

    • Prihlásení pomocou používateľského mena a hesla: používateľ nemôže pristúpiť citlivé zdroje lokálneho zabezpečenia. Používateľ sa pokúša získať prístup k sieťovým prostriedkom, ktorý vyžaduje kariet smart card univerzálna skupina zabezpečenia. To nepodarí.
    • Prihlásení pomocou karty smart card: používateľ nemôže pristúpiť citlivé zdroje lokálneho zabezpečenia. Používateľ sa pokúša získať prístup k sieťovým prostriedkom. Tieto pokusy úspešné. Tento outcomeisn't očakáva zákazníkov. Preto spôsobuje prístup kontroly.

Problém scenár 2 (odomknutie)

Predstavte si nasledujúcu situáciu:

  • Správca chce vynútiť overenie prihlásenia Smart Card (DV), keď používateľ otvorí určité citlivé na zabezpečenie prostriedkov. Vykonáte to tak, správca nasadí AMA podľa Overovanie mechanizmus zabezpečenia AD DS v systéme Windows Server 2008 R2 podrobný identifikátor objektu politiky vydávania, používa vo všetkých certifikátov kariet smart card.
  • "Interaktívne prihlásenie: vyžaduje karty smart card" politika nie je zapnuté na pracovných staniciach. Preto používateľov, môžete sa prihlásiť pomocou iných poverení, napríklad používateľského mena a hesla.
  • Lokálny sieťový prostriedok prístup vyžaduje karty smart card univerzálna skupina zabezpečenia.
V tomto prípade očakávate, že iba používateľ, ktorý sa prihlási pomocou karty smart card môžete prístup k lokálnej a sieťovým prostriedkom. Pretože Prístupový token na plochu sa vytvorí počas prihlásenia, sa nezmení.

Scenár príklady

  • Príklad 1

    Ak Prístupový token na pracovnej ploche smart card univerzálna skupina zabezpečenia poskytuje AMA, nastane jedna z nasledujúcich výsledkov:

    • Používateľ sa otvára pomocou karty smart card: používateľa môžete naďalej citlivé zdroje lokálneho zabezpečenia. Používateľ sa pokúša získať prístup k sieťovým prostriedkom, ktorý vyžaduje kariet smart card univerzálna skupina zabezpečenia. Tieto pokusy úspešné.
    • Používateľ sa otvára pomocou mena používateľa a hesla: používateľa môžete naďalej citlivé zdroje lokálneho zabezpečenia. Tento outcomeisn't očakáva. Používateľ sa pokúša získať prístup k sieťovým prostriedkom, ktorý vyžaduje kariet smart card univerzálna skupina zabezpečenia. To nepodarí.
  • Príklad 2

    Ak Prístupový token na pracovnej ploche smart card univerzálna skupina zabezpečenia poskytuje AMA, nastane jedna z nasledujúcich výsledkov:

    • Používateľ sa otvára pomocou používateľského mena a hesla: používateľ nemôže pristúpiť citlivé zdroje lokálneho zabezpečenia. Používateľ sa pokúša sieťové prostriedky, ktoré sa vyžaduje karta smart card univerzálna skupina zabezpečenia. To nepodarí.
    • Používateľ sa otvára pomocou karty smart card: používateľ nemôže pristúpiť citlivé zdroje lokálneho zabezpečenia. Tento outcomeisn't očakáva. Používateľ sa pokúša získať prístup k sieťovým prostriedkom. Tieto pokusy úspešné, ako sa očakáva.
Ďalšie informácie
Z dôvodu AMA a podsystém zabezpečenia dizajnom, ktorý je popísaný v časti "Príznaky", používatelia vyskytnúť nasledujúce scenáre, kedy AMA nemožno spoľahlivo určiť typ interaktívne prihlásenie.

Prihlásenie a odhlásenie

Ak sa Rýchle prihlásenie optimalizácia lokálneho zabezpečenia podsystému (lsass) používa lokálnej vyrovnávacej pamäte vytvárať členstvo v skupine prihlasovacie tokenu. Pritom komunikáciu s radičom domény (DC) nie je potrebné. Preto je obmedzená prihlásení. Je to veľmi potrebné funkcie.

Však táto situácia spôsobuje nasledujúci problém: po SC prihlásenie a odhlásenie SC vyrovnávacej AMA skupiny je nesprávne, stále prítomné v tokenu po interaktívne prihlásenie používateľské meno a heslo používateľa.

Poznámky

  • Táto situácia sa vzťahuje len na interaktívne prihlásenie.
  • Skupina AMA vo vyrovnávacej pamäti rovnakým spôsobom a pomocou rovnakej logiky, ako ostatné skupiny.

V tejto situácii, ak sa používateľ pokúsi získať prístup k sieťovým prostriedkom, cache členstvo v prostriedku sideisn'tused a reláciou prihlásenia používateľa na strane zdrojov nebude obsahovať AMA skupiny.

Tento problém možno odstrániť vypnutím Rýchle prihlásenie optimalizácia ("konfigurácie > šablóny > systém > prihlásenie > vždy čakať na sieť pri spustení počítača a prihlásení").

Dôležité upozornenie: Toto správanie súvisí len v prípade interaktívne prihlásenie. Prístup k sieťovým prostriedkom bude fungovať podľa očakávania, pretože nie je potrebné na optimalizáciu prihlásenia. Preto cache skupiny membershipisn't používa. Vytvoriť nový záznam pomocou najčerstvejšie informácie členstvo skupiny AMA je kontaktovať radič domény.

Odomknutie

Predstavte si nasledujúcu situáciu:

  • Používateľ prihlási interaktívne pomocou karty smart card a potom otvorí AMA chránené sieťové prostriedky.

    Poznámka: AMA chránené sieťové prostriedky možno pristupovať iba používatelia, ktorí majú AMA skupiny ich prístupového tokenu.
  • Používateľ uzamkne počítač najskôr potrebné zatvoriť otvorili predtým AMA chránené sieťový prostriedok.
  • Používateľ otvára počítača pomocou mena používateľa a hesla rovnaké prihláseného používateľa predtým pomocou karty smart card).
V tomto prípade používateľovi naďalej prístup chránený AMA prostriedky v počítači je uvoľnený. Toto správanie je zámerné. Zadan˝ počítači je uvoľnený, systém Windows znovu nevytvorí všetkých otvorených reláciách, ktoré sieťovým prostriedkom. Windows tiež nie znova skontrolovať členstvo v skupine. Dôvodom je skutočnosť, že tieto činnosti spôsobí neprijateľné výkon sankcie.

Neexistuje out of box riešenie pre tento scenár. Riešenie by ste mali vytvoriť poskytovateľ poverení filter, ktorý filtruje poskytovateľ meno a heslo používateľa po prihlásení SC a lock kroky sa vyskytujú. Ďalšie informácie o poskytovateľ poverení, nájdete v nasledujúcich zdrojoch:

Poznámka: Nemôžeme potvrdiť či tohto niekedy úspešne implementovali.

Ďalšie informácie o AMA

AMA, môžete určiť ani vynútenie typu interaktívne prihlásenie (smart card oruser meno a heslo). Toto správanie je zámerné.

AMA je určený v situáciách, kedy vyžadujú sieťové prostriedky karty smart card. Nie je určená ako sa používa pre lokálny prístup.

Pokusy o vyriešenie tohto problému zavedením nových funkcií, napríklad možnosť používať dynamické členstvo alebo rukoväť AMA skupiny dynamického môže spôsobiť vážne problémy. Je to preto tokeny NT nepodporujú dynamického členstvo. Ak systém skupiny orezaný v reálnom, môže zabrániť používateľom interakcie skúsenosti s prácou s počítačom a aplikácií. Preto členstvo v skupine zavretý v čase, keď sa vytvorí relácia a zachovajú počas relácie.

Cache prihlásenia sú problematické. Ak je zapnuté optimalizované prihlásenia, lsass prvýkrát lokálnej vyrovnávacej pamäte, pred vyvolá siete celý let. Ak sa meno používateľa a heslo sú rovnaké ako lsass videli na predchádzajúce prihlásenie (to platí pre väčšinu prihlásenia), lsass vytvára token, ktorý má rovnakú členstvo v skupine, ktoré používateľ predtým.

Ak je vypnutá funkcia optimalizované prihlásenie, Sieť okružnú by bolo potrebné. Thiswould uistite sa, že členstvo v skupine, pri prihlasovaní fungovať podľa očakávania.

Do vyrovnávacej pamäte prihlásenie lsass stále jednu položku na používateľa. Táto položka zahŕňa predchádzajúcich užívateľa členstvo v skupine. Toto je chránený ako posledný passwordor karty smart card poverení ktoré lsass. Ako rozbaliť rovnaký kľúč tokenu a poverení. Ak používatelia na prihlásenie pomocou kódu zastarané poverení, by stratili DPAPI údajov EFS chráneného obsahu a podobne. Preto cache prihlásenia vždy vytvárať najnovšie miestne členstvo v skupine, bez ohľadu na mechanizmus, ktorý sa používa na prihlásenie.
Overovanie mechanizmus zabezpečenia AMA interaktívne prihlásenie

Upozornenie: Tento článok bol preložený automaticky.

Svojstva

ID članka: 3101129 - Poslednji pregled: 11/21/2015 16:51:00 - Verzija: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Enterprise, Windows 7 Professional

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMtsk
Povratne informacije