Beskrivning av AMA användning i scenarier med interaktiv inloggning i Windows

VIKTIGT: Denna artikel har översatts av Microsofts programvara för maskin-översättning och möjligen efterredigerats via CTF-teknologi av Microsofts community istället för av en professionell mänsklig översättare. För att du på ditt eget språk skall få tillgång till samtliga Knowledge Base-artiklar erbjuder Microsoft både mänskligt översatta såväl som maskinöversatta artiklar samt artiklar som efterredigerats av en community. En maskinöversatt artikel likväl som en artikel som blivit efterredigerad av en community är dock inte alltid helt perfekt, då de kan innehålla misstag i ordförrådet, syntax- och grammatikfel. Microsoft är inte ansvarigt för några felaktigheter, misstag eller skador orsakade av felöversättningar eller för våra kunders bruk av innehållet. Microsoft uppdaterar ofta sin programvara för maskinöversättning samt de verktyg som förbättrar den maskinöversatta efterredigeringen.

Den engelska versionen av artikeln är följande: 3101129
Sammanfattning
Den här artikeln beskrivs hur du använder autentisering mekanism kvalitetssäkring (AMA) i scenarier för interaktiv inloggning.
Introduktion
AMA lägger till en utsedd administratör, universella gruppmedlemskap användarens åtkomsttoken när användarens autentiseringsuppgifter autentiseras under inloggning med hjälp av en certifikatbaserad inloggningsmetod. Detta gör det möjligt för resursen för nätverksadministratörer att kontrollera åtkomst till resurser, t ex filer, mappar och skrivare. Denna åtkomst utifrån om användaren loggar in med hjälp av en certifikatbaserad inloggningsmetod och vilken typ av certifikat som används för att logga in.
I den här artikeln
Den här artikeln fokuserar på två scenarier för problemet: inloggning och utloggning och lås/Lås upp. AMA beteende i scenarierna är "avsiktligt" och kan sammanfattas på följande sätt:

  • AMA är avsedd att skydda nätverksresurser.
  • AMA kan inte identifiera eller tvinga interaktiv inloggningstyp (smartkort eller användarnamn/lösenord) för användarens lokala dator. Detta beror på att resurser som är tillgängliga efter en interaktiv inloggning inte kan skyddas på ett tillförlitligt sätt med hjälp av AMA.
Symptom

Problem Scenario 1 (in-/ utloggning)

Föreställ dig följande:
  • En administratör vill framtvinga inloggning med smartkort (SC) autentisering när användare åtkomst till vissa känsliga resurser. Om du vill göra detta måste administratören distribuerar AMA enligt den Autentiseringsmekanismskontroll för AD DS i Windows Server 2008 R2 steg för steg-Guide för den utgivningsprincips som används i alla smartkortscertifikat.

    Obs! I denna artikel kallar vi den nya mappade gruppen "smart card universella gruppen."
  • Den "interaktiv inloggning: Kräv smartkort" principen är inte aktiverad på arbetsstationer. Därför kan användare logga in med hjälp av andra identitetsuppgifter som användarnamn och lösenord.
  • Lokala och nätverksåtkomst för resursen kräver smartkort universella gruppen.
I det här scenariot förväntas den enda användaren som registrerar på med hjälp av smartkort kan komma åt lokala och nätverksresurser. Men eftersom arbetsstationen kan optimerad/cachelagrad inloggning används cachelagrade kontrollören under inloggning för att skapa NT-åtkomsttoken för användarens skrivbord. Därför används säkerhetsgrupper och fordringar från den föregående inloggningen i stället för den aktuella.

Scenarioexempel

Obs! I den här artikeln hämtas gruppmedlemskap för interaktiv inloggningssessioner med hjälp av "whoami/grupper". Detta kommando hämtar grupper och fordringar från åtkomsttoken på skrivbordet.

  • Exempel 1

    Om den föregående inloggningen har utförts med hjälp av ett smartkort har åtkomst-token för skrivbordet smartkort universella gruppen som tillhandahålls av AMA. Händer något av följande resultat:

    • Användaren loggar in med hjälp av smartkortet: användaren kan fortfarande komma åt känsliga resurser för lokala säkerhetskonton. Användaren försöker komma åt nätverksresurser som kräver smartkort universella gruppen. Dessa försök lyckas.
    • Användaren loggar in med användarnamn och lösenord: användaren kan fortfarande komma åt känsliga resurser för lokala säkerhetskonton. Det här resultatet förväntades inte. Användaren försöker komma åt nätverksresurser som kräver smartkort universella gruppen. Dessa försök inte fungerar som förväntat.
  • Exempel 2

    Om den föregående inloggningen utfördes med ett lösenord, har inte åtkomst-token för skrivbordet smartkort universella gruppen som tillhandahålls av AMA. Händer något av följande resultat:

    • Användaren loggar in med ett användarnamn och lösenord: användaren kan inte komma åt känsliga resurser för lokala säkerhetskonton. Användaren försöker komma åt nätverksresurser som kräver smartkort universella gruppen. Dessa försök misslyckas.
    • Användaren loggar in med hjälp av smartkortet: användaren kan inte komma åt känsliga resurser för lokala säkerhetskonton. Användaren försöker komma åt nätverksresurser. Dessa försök lyckas. Den här outcomeisn't av kunder. Därför medför access control problem.

Problem Scenario 2 (Lås/Lås upp)

Föreställ dig följande:

  • En administratör vill framtvinga inloggning med smartkort (SC) autentisering när användare åtkomst till vissa känsliga resurser. Om du vill göra detta måste distribuerar administratören AMA enligt Autentiseringsmekanismskontroll för AD DS i Windows Server 2008 R2 steg för steg-Guide för den utgivningsprincips som används i alla smartkortscertifikat.
  • Den "interaktiv inloggning: Kräv smartkort" principen är inte aktiverad på arbetsstationer. Därför kan användare logga in med hjälp av andra identitetsuppgifter som användarnamn och lösenord.
  • Lokala och nätverksåtkomst för resursen kräver smartkort universella gruppen.
I det här scenariot tror du att en användare som registrerar på med hjälp av smartkort kan komma åt lokala och nätverksresurser. Men eftersom åtkomst-token för användarens skrivbord skapas vid inloggningen, ändras inte.

Scenarioexempel

  • Exempel 1

    Om åtkomst-token för skrivbordet har smartkort universella gruppen som tillhandahålls av AMA, händer något av följande resultat:

    • Användaren låser upp med hjälp av smartkortet: användaren kan fortfarande komma åt känsliga resurser för lokala säkerhetskonton. Användaren försöker komma åt nätverksresurser som kräver smartkort universella gruppen. Dessa försök lyckas.
    • Användaren låser upp med hjälp av användarnamn och lösenord: användaren kan fortfarande komma åt känsliga resurser för lokala säkerhetskonton. Den här outcomeisn't som förväntat. Användaren försöker komma åt nätverksresurser som kräver smartkort universella gruppen. Dessa försök misslyckas.
  • Exempel 2

    Om åtkomst-token för skrivbordet saknar smartkort universella gruppen från AMA händer något av följande resultat:

    • Användaren låser upp med hjälp av användarnamn och lösenord: användaren kan inte komma åt känsliga resurser för lokala säkerhetskonton. Användaren försöker komma åt nätverksresurser som kräver smartkort universella gruppen. Dessa försök misslyckas.
    • Användaren låser upp med hjälp av smartkortet: användaren kan inte komma åt känsliga resurser för lokala säkerhetskonton. Den här outcomeisn't som förväntat. Användaren försöker komma åt nätverksresurser. Dessa försök lyckas som förväntat.
Mer Information
AMA och säkerhetsundersystemet konstruerat som beskrivs i avsnittet "Symptom", drabbas användare av följande scenarier där AMA på ett tillförlitligt sätt inte kan identifiera typ av interaktiv inloggning.

Inloggning/utloggning

Om snabb inloggningsoptimering är aktiv använder lokala säkerhetsundersystemet (lsass) lokala cache-minnet för att generera medlemskap i inloggningstoken. Genom att göra detta inte kommunikationen med domänkontrollanten (DC) krävs. Inloggningen minskas. Detta är mycket önskvärda funktion.

Men detta orsakar följande problem: när SC-inloggning och utloggning SC gruppen lokalt cachelagrade AMA är felaktigt, fortfarande finns i användar-token efter interaktiv inloggning och lösenord.

Kommentarer

  • Detta gäller bara för interaktiva inloggningar.
  • En grupp AMA cachelagras på samma sätt och med samma logik som andra grupper.

I det här fallet om användaren försöker komma åt nätverksresurser, cachade medlemskap på resurs-sideisn'tused och användarens inloggningssession på resurssidan innehålla inte en AMA grupp.

Det här problemet kan åtgärdas genom att stänga av funktionen för optimering av snabb inloggning ("Datorkonfiguration > Administrationsmallar > System > inloggning > Vänta alltid på nätverket när datorn startas och vid inloggning").

Viktigt Detta är endast relevant scenario för interaktiv inloggning. Åtkomst till nätverksresurser fungerar som förväntat, eftersom det behövs inga inloggningsoptimering. Därför cachelagrade grupp membershipisn't används. Domänkontrollanten kontakta om du vill skapa nya biljett med hjälp av det nyaste AMA medlemsinformation.

Låsa/låsa upp

Föreställ dig följande:

  • En användare loggar in interaktivt genom att använda smartkortet och öppnar AMA-skyddade nätverksresurser.

    Obs! AMA skyddat nätverk resurser kan vara åt användare som har en AMA grupp i deras åtkomst-token.
  • Användaren låser datorn utan att först stänga tidigare öppnad AMA-skyddade nätverksresursen.
  • Användaren låser upp datorn med hjälp av användarnamn och lösenord för samma användare som har loggat in med hjälp av ett smartkort).
I det här fallet kan användaren ändå använda AMA-skyddade resurser när datorn är låst. Detta är avsiktligt. Bidragsbeloppetfrån datorn låses, Windows återskapas inte alla öppna sessioner som hade nätverksresurser. Windows Kontrollera också inte medlemskap. Detta beror på att dessa åtgärder skulle kunna orsaka oacceptabel prestanda påverkas negativt.

Det finns ingen lösning för out-of-box för det här scenariot. En lösning är att skapa ett Credential Provider filter som filtrerar bort providern för användare och lösenord efter inloggning för SC och lås utförs. Mer information om providern för autentiseringsuppgifter finns i följande resurser:

Obs! Vi kan bekräfta om detta tillvägagångssätt någonsin har genomförts.

Mer information om AMA

AMA kan inte identifiera eller tvinga interaktiv inloggningstyp (smartkort oruser namn och lösenord). Detta är avsiktligt.

AMA är avsedd för scenarier där nätverksresurser kräver ett smartkort. Det har inte avsett att vara usedfor lokal åtkomst.

Om du försöker åtgärda problemet genom att införa nya funktioner, till exempel möjlighet att använda dynamiska medlemskap eller hantera AMA grupper som en dynamisk grupp kan orsaka betydande problem. Det är därför NT token inte stöder dynamiska gruppmedlemskap. Om systemet tillåter grupper ska trimmas i real, förhindras användare att samverka med skrivbordet och program. Därför gruppmedlemskap är låst när sessionen skapas och underhålls under hela sessionen.

Cachelagrade inloggningar är också problematiskt. Om optimerad inloggning är aktiverad försöker en lokal cache först lsass innan du startar ett nätverk åtgärd. Om användarnamnet och lösenordet är identiska med lsass såg för tidigare inloggning (Detta gäller för de flesta inloggningar), skapas en token som har samma gruppmedlemskap som användaren tidigare haft lsass.

En rundtur i nätverket skulle krävas om optimerad logon är avstängd. Thiswould Kontrollera att gruppmedlemskap vid inloggning fungerar som förväntat.

I en cachelagrad inloggning håller lsass en post per användare. Den här posten innehåller användarens tidigare medlemskap. Detta är skyddat av både den sista passwordor smartkort autentiseringsuppgift lsass såg. Både packa upp samma nyckel för token och autentiseringsuppgifter. Om användare försöker logga in med hjälp av inaktuella referensnyckel, skulle de förlora DPAPI data, EFS-skyddat innehåll och så vidare. Cachelagrade inloggningar ger därför alltid de senaste lokala gruppmedlemskap, oavsett den mekanism som används för att logga in.
Autentisering mekanism Assurance AMA interaktiv inloggning

Varning: Den här artikeln har automatöversatts

Egenskaper

Artikel-id: 3101129 – senaste granskning 11/21/2015 16:52:00 – revision: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Enterprise, Windows 7 Professional

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMtsv
Feedback