Опис AMA сценарій виконання у сценарії на інтерактивний вхід в ОС Windows

ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.

Клацніть тут, щоб переглянути цю статтю англійською мовою: 3101129
Підсумки
У цій статті розглядається сценарій виконання Assurance механізм автентифікації (але) у сценарії на інтерактивний вхід.
Вступ
AMA додає місця для адміністратора, універсальні групах маркер доступу в користувача під Вільний час введення фінансові дані користувача, на автентифікацію під Вільний час входу до системи за допомогою методу входу до системи на основі сертифікатів. Це дає змогу адміністраторам мережі ресурсів контролювати доступ до ресурсів, зокрема файлів, папок і принтерів. Це доступ, залежить від того, чи користувача до системи, використовуючи метод входу до системи на основі сертифікатів а також тип сертифікат, який використовується для входу.
У цій статті
У статті розглянуто двох наступних ситуацій: вхід/вихід із системи та блокування/розблокування. Поведінка AMA у цих сценаріях передбачено "" і можуть бути зведені наступним чином:

  • AMA, призначений для захисту мережних ресурсів.
  • AMA можуть ідентифікувати ні застосування інтерактивний вхід тип (смарт-картка або ім'я користувача та пароль) на локальному комп'ютері. Це тому, що ресурси, які доступні після входу в систему до поточного користувача не є надійним способом захистити за допомогою Ама.
Ознаки

Проблема сценарій 1 (вхід/вихід із системи)

Розглянемо таку ситуацію:
  • Адміністратор хоче її застосування смарт-карток (SC) входу автентифікації, коли користувачі отримати доступ до певних ресурсів, чутливі до безпеки. Для цього, адміністратор розгортає AMA, відповідно до на Автентифікація механізм забезпечення AD DS у Windows Server 2008 R2 кроком ідентифікатор об'єкта політика видавання, використовується в усіх сертифікатів смарт-карток.

    Примітка. У цій статті будуть служити цього мережного групу "смарт-картка універсальної група безпеки."
  • На "інтерактивний вхід: потрібна смарт-картка" політика не ввімкнуто робочих станцій. Таким чином, користувачі матимуть можливість увійти за допомогою інших фінансові дані, наприклад, ім'я користувача та пароль.
  • Локальний доступ до ресурсу в мережі, потребує на смарт-картку універсальна група безпеки.
У цьому випадку слід лише цього користувача, який знаками за допомогою смарт-картка, можна отримати доступ до локальних та мережних ресурсів. Однак через те, що робочої станції, дозволяє оптимізувати кешування входу в систему, кешування перевірки використовується під Вільний час входу до системи для створення NT маркер доступу, на комп’ютер-зразок. Таким чином, до група безпеки та претензій від попереднього входу використовується замість поточного.

Сценарій приклади.

Примітка. У цій статті членства в групах завантажуються на інтерактивний вхід сеанси за допомогою "whoami/групи". Ця команда отримує групи, так і вимог, із маркер доступу в робочому столі.

  • Приклад 1

    Якщо попереднього входу, було виконано за допомогою смарт-картка, на робочому столі, маркер доступу, є на смарт-картку універсальна група безпеки, надану Ама. Один із таких результатів виникає.

    • Користувача до системи за допомогою смарт-картки: користувач досі доступ до локальної безпеки конфіденційні-ресурсів. Користувач намагається отримати доступ до мережних ресурсів, які потребують на смарт-картку універсальна група безпеки. Ці спроби успішної інсталяції без попередження.
    • Користувача до системи за допомогою імені користувача та пароля: користувач досі доступ до локальної безпеки конфіденційні-ресурсів. Цього не належним чином. Користувач намагається отримати доступ до мережних ресурсів, які потребують на смарт-картку універсальна група безпеки. Ці спроби, не належним чином.
  • Приклад 2

    Якщо попереднього входу, було виконано за допомогою пароля, маркер доступу, на робочому столі немає на смарт-картку універсальна група безпеки, надану Ама. Один із таких результатів виникає.

    • Користувача до системи, використовуючи ім'я користувача та пароль: користувач не може отримати доступ до локальної безпеки, конфіденційні ресурсів. Користувач намагається отримати доступ до мережних ресурсів, які потребують на смарт-картку універсальна група безпеки. Ці спроби не.
    • Користувача до системи за допомогою смарт-картки: користувач не може отримати доступ до локальної безпеки, конфіденційні ресурсів. Користувач намагається отримати доступ до мережних ресурсів. Ці спроби успішної інсталяції без попередження. Це outcomeisn't очікувані клієнтів. Таким чином, це викликає доступ до керування проблеми.

Проблема сценарій 2, (блокування/розблокування)

Розглянемо таку ситуацію:

  • Адміністратор хоче її застосування смарт-карток (SC) входу автентифікації, коли користувачі отримати доступ до певних ресурсів, чутливі до безпеки. Для цього, адміністратор розгортає AMA, відповідно до Автентифікація механізм забезпечення AD DS у Windows Server 2008 R2 кроком ідентифікатор об'єкта політика видавання, використовується в усіх сертифікатів смарт-карток.
  • На "інтерактивний вхід: потрібна смарт-картка" політика не ввімкнуто робочих станцій. Таким чином, користувачі матимуть можливість увійти за допомогою інших фінансові дані, наприклад, ім'я користувача та пароль.
  • Локальний доступ до ресурсу в мережі, потребує на смарт-картку універсальна група безпеки.
У цьому випадку слід лише за допомогою смарт-картка знаками користувач може отримати доступ до локальних та мережних ресурсів. Однак через те, що на комп’ютер-зразок, маркер доступу, створений під Вільний час увійти в систему, він не змінюється.

Сценарій приклади.

  • Приклад 1

    Якщо на робочому столі, маркер доступу до смарт-картка універсальна група безпеки надає AMA, виникає один із таких результатів:

    • Користувач відкриває, за допомогою смарт-картки: користувач досі доступ до локальної безпеки конфіденційні-ресурсів. Користувач намагається отримати доступ до мережних ресурсів, які потребують на смарт-картку універсальна група безпеки. Ці спроби успішної інсталяції без попередження.
    • Користувач відкриває, використовуючи ім'я користувача та пароль: користувач досі доступ до локальної безпеки конфіденційні-ресурсів. Це outcomeisn't належним чином. Користувач намагається отримати доступ до мережних ресурсів, які потребують на смарт-картку універсальна група безпеки. Ці спроби не.
  • Приклад 2

    Якщо на робочому столі, маркер доступу не на смарт-картку універсальна група безпеки надає AMA, один із таких результатів виникає:

    • Користувач відкриває, за допомогою імені користувача та пароля: користувач не може отримати доступ до локальної безпеки, конфіденційні ресурсів. Користувач намагається отримати доступ до мережних ресурсів, які потребують на смарт-картку універсальна група безпеки. Ці спроби не.
    • Користувач відкриває, за допомогою смарт-картки: користувач не може отримати доступ до локальної безпеки, конфіденційні ресурсів. Це outcomeisn't належним чином. Користувач намагається отримати доступ до мережних ресурсів. Ці спроби успіху, як очікувалося.
Додаткові відомості
Дизайн AMA та безпеки підсистема, описане в розділі "Ознаки", тому що користувачі, виникають такі сценарії, в яких AMA надійно не може визначити тип інтерактивний вхід.

Вхід/вихід із системи.

Якщо активовано оптимізації для швидкого входу до системи, локальної безпеки підсистема (lsass) використовує локального кеша для створення членства в групах маркер входу до системи. Таким чином, спілкування з контролера домену (DC) не є обов'язковим. Таким чином, зменшується Вільний час входу до системи. Це дуже бажано функція.

Проте така ситуація призводить до таких проблем: після входу в систему ПК та ПК, вихід із системи, локальна AMA вона, неправильно, ще присутні в маркера користувача після користувача ім'я та пароль, інтерактивний вхід.

Примітки

  • Ця ситуація стосується лише інтерактивний вхід.
  • На Ама групи кешуються, так само, як і за допомогою ж логіку, як інші групи.

У цьому випадку, якщо користувач намагається отримати доступ до мережних ресурсів, кешування членства в групах на sideisn'tused-ресурсів і користувача сеансу роботи з боку ресурсів не містять на Ама групи.

Ця проблема може виправлені вимкнення швидкого, входу до системи оптимізації ("Конфігурація комп'ютера > адміністративні шаблони > системи > входу до системи > завжди, зачекайте, поки мережі на запуск комп'ютера та входу до системи").

Увага! Ця поведінка є лише у випадку-інтерактивний вхід. Доступ до мережних ресурсів буде працювати, як очікувалося, у тому, що немає необхідності для оптимізації для входу до системи. Таким чином, кешування, Група membershipisn't, що використовується. контролер домену, зв'язатися з, створіть новий квиток за допомогою найсвіжіші відомостей про членство AMA групи.

Блокування/розблокування

Розглянемо таку ситуацію:

  • Користувач інтерактивної входу за допомогою смарт-картка і відкриється ресурси мережі, захищеного Ама.

    Примітка. AMA захищені мережі, ресурсів можна отримати доступ до лише ті користувачі, які мають на Ама групи у своїх маркер для доступу.
  • Користувач блокує комп’ютер-зразок, без першого закриття, раніше відкритих AMA захищеного мережний ресурс.
  • Користувач відкриває комп’ютер-зразок за допомогою імені користувача та пароля одного користувача, який раніше увійти до системи за допомогою смарт-картки).
У цьому випадку користувач залишається доступним AMA захищеного ресурсів після того, як комп’ютер-зразок заблоковано. Така поведінка передбачена. Whenthe комп’ютер-зразок заблоковано, Windows не регенерує відкрити сеанси, що мережних ресурсів. Windows також не перевірити членства в групах. Це тому, що ці інтерактивні елементи можуть призвести до неприйнятні продуктивність відповідальності.

Існує від постачальника рішення для цього сценарію. Один з рішенням було б створення постачальних фільтр, який фільтрує постачальник послуг оренди застосунків ім'я та пароль користувача, після входу до системи на ПК, і блокування інтерактивні елементи, відбуваються. Щоб дізнатися більше про постачальних, див. нижче ресурси:

Примітка. Ми не може підтвердити, чи цей підхід ніколи не було успішно реалізовано.

Щоб отримати додаткові відомості про AMA

AMA можуть ідентифікувати ні застосування інтерактивний вхід тип (смарт-картка oruser ім'я та пароль). Така поведінка передбачена.

AMA призначені для сценаріїв, в яких мережних ресурсів, потребують смарт-картка. Він має не призначений для безмедикаментозного, локальний доступ.

Спроба вирішити цю проблему, впровадити нові функції, наприклад можливість сценарій виконання динамічних членства в групах або маркер AMA груп, як динамічна Група, може спричинити серйозні проблеми. Саме тому на NT маркери не підтримують динамічні в групах. Якщо система групи, щоб бути скорочені в реальному, користувачі можуть запобігти взаємодіяти з робочого стола та програми. Таким чином, в групах заблоковано під Вільний час сеансу створюється та зберігається протягом сеансу.

Вхід до системи кешування, також спричиняє проблему. Якщо активовано оптимізований входу в систему, lsass спочатку намагається до локального кеша, перед тим, як це викликає мережі, обидва кінці. Якщо ім'я користувача та пароль однакові в тому, що бачили lsass для попереднього входу до системи (це так, для більшості вхід до системи), lsass створює, маркер із самого групах, що користувач раніше.

Оптимізований вхід вимкнуто, у вас мережі буде потрібно. Thiswould переконайтеся, що у групах працювати після входу до системи належним чином.

В кеші входу до системи, lsass зберігає один запис А кожного користувача. Цей параметр включає в себе користувача попередніх членства в групах. Це захищений як до останнього passwordor смарт-картка фінансові дані, побачили, lsass. Як деталізувати, у тому самому розділі маркер і фінансові дані. Якщо користувачі, щоб спробувати увійти за допомогою ключа застарілі облікових, їх буде втрачено DPAPI даних, захищеного EFS і так далі. Таким чином, кешування входи завжди отримання останнього членства локальна група домену, незалежно від того, механізм, який використовується для входу.
Автентифікація механізм, гарантії AMA інтерактивний вхід

Попередження. Цю статтю переведено автоматично

Властивості

Ідентифікатор статті: 3101129 – останній перегляд: 11/21/2015 16:53:00 – виправлення: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Enterprise, Windows 7 Professional

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMtuk
Зворотний зв’язок