Mô tả hoặc sử dụng trong các trường hợp kí nhập tương tác trong Windows

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 3101129
Tóm tắt
Bài viết này thảo luận về cách sử dụng xác thực cơ chế đảm bảo (nhưng) trong trường hợp kí nhập tương tác.
Giới thiệu
HOẶC thêm một thành viên của nhóm quản trị viên chỉ định, phổ biến cho người dùng truy cập mã thông báo khi Uỷ nhiệm của người dùng được xác thực trong quá trình kí nhập bằng cách sử dụng một phương pháp dựa trên chứng chỉ kí nhập. Điều này làm cho quản trị viên tài nguyên mạng để kiểm soát truy cập vào tài nguyên, chẳng hạn như tệp, mục tin thư thoại và máy in. Truy cập này được dựa trên việc người dùng kí nhập bằng cách sử dụng phương pháp dựa trên chứng chỉ kí nhập và loại chứng chỉ được sử dụng để kí nhập.
Trong bài viết này
Bài viết này tập trung vào các trường hợp hai vấn đề: đăng nhập/đăng xuất và khóa/mở khóa. Chế độ hoặc trong trường hợp này là "thiết kế" và có thể được tóm tắt như sau:

  • HOẶC được thiết kế để bảo vệ tài nguyên mạng.
  • HOẶC có thể không xác định và thực thi các loại kí nhập tương tác (thẻ hoặc tên người dùng/mật khẩu) cho người dùng máy tính cục bộ. Điều này là do tài nguyên được truy cập sau khi một tương tác người dùng kí nhập không được bảo vệ đáng tin cậy bằng cách sử dụng hoặc.
Triệu chứng

Vấn đề tình huống 1 (đăng nhập/đăng xuất)

Xem xét tình huống sau:
  • Quản trị viên muốn thực hiện xác thực kí nhập thẻ thông minh (SC) khi người dùng truy cập vào các tài nguyên bảo mật nhạy cảm. Để thực hiện việc này, quản trị viên triển khai hoặc theo các Xác thực cơ chế đảm bảo AD DS trong Windows Server 2008 R2 hướng dẫn từng bước để nhận dạng đối tượng chính sách cấp được sử dụng trong tất cả các chứng chỉ thẻ.

    Lưu ý: Trong bài viết này, chúng tôi nhóm tham chiếu mới được ánh xạ này là "thẻ phổ biến nhóm bảo mật."
  • Các "đăng nhập tương tác: yêu cầu thẻ" chính sách không được kích hoạt trên trạm làm việc. Do đó, người dùng có thể kí nhập bằng uỷ nhiệm khác, chẳng hạn như tên người dùng và mật khẩu.
  • Địa phương và yêu cầu phép truy nhập tài nguyên mạng nhóm bảo mật phổ quát thẻ.
Trong trường hợp này, bạn mong muốn rằng chỉ dùng đăng bằng cách sử dụng thẻ thông minh có thể truy cập Cục bộ và mạng tài nguyên. Tuy nhiên, bởi vì trạm làm việc cho phép tối ưu hóa/lưu trữ kí nhập, xác minh lưu trữ được sử dụng trong quá trình kí nhập để tạo NT truy cập mã thông báo cho người dùng máy tính. Do đó, nhóm bảo mật và tuyên bố từ kí nhập trước đó được sử dụng thay vì hiện thời.

Ví dụ kịch bản

Lưu ý: Trong bài viết này, nhóm thành viên được lấy cho phiên kí nhập tương tác bằng cách sử dụng "whoami nhóm." Lệnh này lấy nhóm và yêu cầu từ máy tính truy cập mã thông báo.

  • Ví dụ 1

    Nếu kí nhập trước đó được thực hiện bằng cách sử dụng thẻ thông minh, mã thông báo truy cập cho máy tính có nhóm bảo mật phổ quát thẻ thông minh được cung cấp bởi hoặc. Một trong các kết quả sau xảy ra:

    • Người dùng kí nhập bằng cách sử dụng thẻ thông minh: người dùng vẫn có thể truy cập tài nguyên chữ bảo mật cục bộ. Người dùng cố gắng truy nhập tài nguyên mạng yêu cầu nhóm bảo mật phổ quát thẻ. Những nỗ lực thành công.
    • Người dùng kí nhập bằng tên người dùng và mật khẩu: người dùng vẫn có thể truy cập tài nguyên chữ bảo mật cục bộ. Kết quả không mong đợi. Người dùng cố gắng truy nhập tài nguyên mạng yêu cầu nhóm bảo mật phổ quát thẻ. Những nỗ lực không như mong đợi.
  • Ví dụ 2

    Nếu kí nhập trước đó được thực hiện bằng cách sử dụng mật khẩu, mã thông báo truy cập cho máy tính không có nhóm bảo mật phổ quát thẻ thông minh được cung cấp bởi hoặc. Một trong các kết quả sau xảy ra:

    • Người dùng kí nhập bằng tên người dùng và mật khẩu: người dùng không thể truy cập tài nguyên chữ bảo mật cục bộ. Người dùng cố gắng truy nhập tài nguyên mạng yêu cầu nhóm bảo mật phổ quát thẻ. Những nỗ lực không thành công.
    • Người dùng kí nhập bằng cách sử dụng thẻ thông minh: người dùng không thể truy cập tài nguyên chữ bảo mật cục bộ. Người dùng cố gắng truy nhập tài nguyên mạng. Những nỗ lực thành công. Outcomeisn't này mong muốn của khách hàng. Do đó, nó gây ra truy cập điều khiển.

Vấn đề tình huống 2 (khóa/mở khóa)

Xem xét tình huống sau:

  • Quản trị viên muốn thực hiện xác thực kí nhập thẻ thông minh (SC) khi người dùng truy cập vào các tài nguyên bảo mật nhạy cảm. Để thực hiện việc này, quản trị viên triển khai hoặc theo Xác thực cơ chế đảm bảo AD DS trong Windows Server 2008 R2 hướng dẫn từng bước để nhận dạng đối tượng chính sách cấp được sử dụng trong tất cả các chứng chỉ thẻ.
  • Các "đăng nhập tương tác: yêu cầu thẻ" chính sách không được kích hoạt trên trạm làm việc. Do đó, người dùng có thể kí nhập bằng uỷ nhiệm khác, chẳng hạn như tên người dùng và mật khẩu.
  • Địa phương và yêu cầu phép truy nhập tài nguyên mạng nhóm bảo mật phổ quát thẻ.
Trong trường hợp này, bạn sẽ chỉ người dùng đăng bằng cách sử dụng thẻ thông minh có thể truy cập Cục bộ và mạng tài nguyên. Tuy nhiên, vì mã thông báo truy cập cho người dùng máy tính được tạo ra trong quá trình kí nhập, nó không được thay đổi.

Ví dụ kịch bản

  • Ví dụ 1

    Nếu mã thông báo truy cập cho máy tính có nhóm bảo mật phổ quát thẻ thông minh được cung cấp bởi hoặc, một trong các kết quả sau xảy ra:

    • Người dùng mở bằng cách sử dụng thẻ thông minh: người dùng vẫn có thể truy cập tài nguyên chữ bảo mật cục bộ. Người dùng cố gắng truy nhập tài nguyên mạng yêu cầu nhóm bảo mật phổ quát thẻ. Những nỗ lực thành công.
    • Người dùng mở bằng cách sử dụng tên người dùng và mật khẩu: người dùng vẫn có thể truy cập tài nguyên chữ bảo mật cục bộ. Này outcomeisn't mong muốn. Người dùng cố gắng truy nhập tài nguyên mạng yêu cầu nhóm bảo mật phổ quát thẻ. Những nỗ lực không thành công.
  • Ví dụ 2

    Nếu mã thông báo truy cập cho máy tính không có nhóm bảo mật phổ quát thẻ thông minh được cung cấp bởi hoặc, một trong các kết quả sau xảy ra:

    • Người dùng mở bằng cách sử dụng tên người dùng và mật khẩu: người dùng không thể truy cập tài nguyên chữ bảo mật cục bộ. Người dùng cố gắng truy nhập tài nguyên mạng yêu cầu nhóm bảo mật phổ quát thẻ. Những nỗ lực không thành công.
    • Người dùng mở bằng cách sử dụng thẻ thông minh: người dùng không thể truy cập tài nguyên chữ bảo mật cục bộ. Này outcomeisn't mong muốn. Người dùng cố gắng truy nhập tài nguyên mạng. Những nỗ lực thành công như mong đợi.
Thông tin thêm
Vì hoặc và bảo mật hệ thống thiết kế được mô tả trong phần "Triệu chứng", người dùng kinh nghiệm các tình huống sau đây trong đó hoặc đáng tin cậy không thể xác định loại kí nhập tương tác.

Đăng nhập/đăng xuất

Nếu kí nhập nhanh tối ưu hóa đang hoạt động, con bảo mật cục bộ (lsass) sử dụng bộ đệm ẩn cục bộ để tạo nhóm thành viên trong mã thông báo kí nhập. Bằng cách này, liên lạc với bộ bộ kiểm soát miền (DC) không phải là bắt buộc. Do đó, giảm thời gian kí nhập. Đây là tính năng rất mong muốn.

Tuy nhiên, trường hợp này gây ra sự cố sau: sau khi SC kí nhập và kí xuất SC, hoặc nhóm cục bộ nhớ cache là, không chính xác vẫn xuất hiện trong mã thông báo người dùng sau khi tên kí nhập và mật khẩu người dùng tương tác.

Lưu ý:

  • Trường hợp này chỉ áp dụng cho kí nhập tương tác.
  • Một nhóm hoặc được lưu trữ trong cùng một cách và bằng cách sử dụng cùng một logic khác.

Trong trường hợp này, nếu người dùng sau đó cố gắng truy nhập tài nguyên mạng, nhóm thành viên lưu trữ trên sideisn'tused tài nguyên và phiên kí nhập của người dùng bên tài nguyên không chứa một nhóm hoặc.

Sự cố này có thể khắc phục bằng cách tắt nhanh kí nhập tối ưu hóa ("cấu hình máy tính > khuôn mẫu quản trị > hệ thống > kí nhập > luôn đợi mạng khởi động máy tính và đăng nhập").

Quan trọng Hiện tượng này có liên quan chỉ trong trường hợp kí nhập tương tác. Truy cập vào tài nguyên mạng sẽ hoạt động như mong đợi vì không cần thiết để tối ưu hóa kí nhập. Do đó, lưu trữ nhóm membershipisn't sử dụng. DC được liên hệ để tạo vé mới bằng cách sử dụng hoặc tươi thông tin nhóm thành viên.

Khóa/mở khóa

Xem xét tình huống sau:

  • Người dùng kí nhập tương tác bằng cách sử dụng thẻ thông minh và sau đó mở tài nguyên bảo vệ hoặc mạng.

    Lưu ý: Mạng hoặc được bảo vệ tài nguyên có thể truy cập người dùng chỉ có một nhóm hoặc trong mã thông báo truy cập.
  • Người dùng khóa máy tính mà không cần đầu tiên đóng tài nguyên đã mở bảo vệ hoặc mạng.
  • Người dùng mở máy tính bằng cách sử dụng tên người dùng và mật khẩu của cùng một người dùng đã kí nhập bằng cách sử dụng thẻ thông minh).
Trong trường hợp này, người dùng vẫn có thể truy cập các tài nguyên bảo vệ hoặc sau khi máy tính bị khóa. Hoạt động này là theo thiết kế. Whenthe máy tính bị khóa, Windows không tái tạo tất cả các phiên mở có tài nguyên mạng. Windows cũng không kiểm xuất nhóm thành viên. Điều này là do các hành động nào gây ra hình phạt hiệu suất không được chấp nhận.

Không có giải pháp out of box cho tình huống này. Một giải pháp sẽ tạo bộ lọc nhà cung cấp khả năng lọc ra các nhà cung cấp tên và mật khẩu người dùng sau khi kí nhập SC và khóa bước xảy ra. Để tìm hiểu thêm về các nhà cung cấp thông tin kí nhập, hãy xem các tài nguyên sau:

Lưu ý: Chúng tôi không thể xác nhận xem phương pháp này đã không được thực hiện thành công.

Thông tin thêm về hoặc

HOẶC có thể không xác định và thực thi các loại kí nhập tương tác (thẻ oruser tên/mật khẩu). Hoạt động này là theo thiết kế.

HOẶC dành cho tình huống trong đó tài nguyên mạng yêu cầu thẻ thông minh. Nó đã không dùng là usedfor truy nhập cục bộ.

Bất kỳ nỗ lực để khắc phục sự cố này bằng cách tính năng mới, chẳng hạn như khả năng sử dụng động nhóm thành viên hoặc xử lý hoặc nhóm với động, có thể gây ra vấn đề quan trọng. Đó là lý do tại sao NT thẻ không hỗ trợ động nhóm thành viên. Nếu hệ thống nhóm được tỉa thực, người dùng có thể ngăn cản tương tác với máy tính để bàn và ứng dụng. Do đó, nhóm thành viên khóa lúc phiên được tạo ra và được duy trì trong suốt phiên.

kí nhập lưu trữ được vấn đề. Nếu kí nhập tối ưu hóa được bật, lsass đầu tiên cố bộ đệm ẩn cục bộ trước khi nó invokes mạng chuyến đi vòng. Nếu tên người dùng và mật khẩu giống với lsass thấy kí nhập trước đó (đây là đúng đối với hầu hết đăng nhập), lsass tạo ra một mã thông báo có các nhóm thành viên cùng một người dùng đã có trước đó.

Tối ưu hóa kí nhập tắt, khứ hồi mạng sẽ yêu cầu. Thiswould đảm bảo rằng các nhóm thành viên làm việc kí nhập dưới tên mong đợi.

kí nhập lưu trữ, lsass tiếp tục một mục nhập cho mỗi người dùng. Mục này bao gồm các nhóm thành viên của người dùng trước đó. Điều này được bảo vệ cả phần cuối passwordor thẻ chứng lsass thấy. Cả hai unwrap phím mã thông báo và khả năng tương tự. Nếu người dùng cố gắng kí nhập bằng cách sử dụng một khóa các khả năng, họ sẽ mất DPAPI dữ liệu, nội dung bảo vệ EFS, v.v.. Do đó, lưu trữ kí nhập luôn tạo ra nhóm thành viên cục bộ mới nhất, bất kể cơ chế được sử dụng để kí nhập.
Xác thực cơ chế đảm bảo hoặc kí nhập tương tác

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 3101129 - Xem lại Lần cuối: 11/21/2015 17:07:00 - Bản sửa đổi: 1.0

Windows Server 2012 R2 Standard, Windows Server 2012 R2 Datacenter, Windows 8.1 Pro, Windows 8.1 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows 7 Enterprise, Windows 7 Professional

  • kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3101129 KbMtvi
Phản hồi