摘要
本文將告訴您如何使用 [互動式登入案例中的 [驗證機制保證 」 (AMA)。
簡介
使用者的認證會驗證登入期間,使用以憑證為主的登入方法時,AMA 會將系統管理員指定、 萬用群組成員資格使用者的存取權杖加入。這可讓網路資源的系統管理員來控制存取資源,例如檔案、 資料夾和印表機。這項存取權根據是否在使用者登入時使用的憑證為基礎的登入方法和用來登入的憑證類型。
本文中
本文重點放在兩個問題的案例︰ 登入/登出和鎖定/解除鎖定。AMA 的行為,在這些情況下是 「 依設計 」,而且可以摘要如下︰
-
AMA 被要保護網路資源。
-
AMA 無法識別也強制使用者的本機電腦的互動式登入類型 (智慧卡或使用者名稱/密碼)。這是因為互動式登入後可以存取的資源無法使用 AMA 可靠地保護。
狀況
問題的案例 1 (登入/登出)
請考慮下列情況:
-
系統管理員想要強制執行智慧卡 (SC) 登入驗證,當使用者存取某些安全性顧慮的資源。若要這麼做,系統管理員部署根據Windows Server 2008 R2 逐步指南 》 中的 AD DS 的驗證機制保證,用於所有的智慧卡憑證的發行原則物件識別項的 AMA。
注意本篇文章中,我們會將這個新的對應群組為 「 智慧卡的通用安全群組 」。 -
「 互動式登入︰ 要求智慧卡 」 在工作站上未啟用的原則。因此,使用者可以使用其他認證,例如使用者名稱和密碼登入。
-
本機和網路資源存取需要智慧卡萬用安全性群組。
在這個案例中,您可以預期該登入使用智慧卡的唯一使用者可以存取本機和網路資源。不過,因為工作站允許最佳化/快取的登入,快取檢查器用在登入期間來建立使用者的桌面的 NT 存取語彙基元。因此,從之前的登入的宣告與安全性群組用而不是目前。
案例範例
注意本篇文章中,群組成員資格不會擷取互動式登入工作階段使用"whoami/群組]。這個命令從桌面的存取權杖中擷取的群組和宣告。
-
範例 1
如果之前的登入已透過智慧卡來執行,桌面的存取語彙基元就會有智慧卡萬用安全性群組所提供的 AMA。會發生下列結果其中一項︰-
在使用者登入時,使用智慧卡︰ 使用者仍然可以存取本機安全性敏感的資源。使用者嘗試存取網路資源需要智慧卡萬用安全性群組。這些嘗試成功。
-
使用使用者名稱和密碼登入的使用者︰ 使用者仍然可以存取本機安全性敏感的資源。此結果不被預期的。使用者嘗試存取網路資源需要智慧卡萬用安全性群組。這些嘗試失敗,如預期般運作。
-
-
範例 2
如果之前的登入已使用密碼來執行,桌面的存取權杖中沒有智慧卡萬用安全性群組所提供的 AMA。會發生下列結果其中一項︰-
使用使用者名稱和密碼登入的使用者︰ 使用者無法存取本機安全性敏感的資源。使用者嘗試存取網路資源需要智慧卡萬用安全性群組。這些嘗試失敗。
-
在使用者登入時,使用智慧卡︰ 使用者無法存取本機安全性敏感的資源。使用者嘗試存取網路資源。這些嘗試成功。此結果不是由客戶所預期的。因此,造成存取控制問題。
-
問題的案例 2 (鎖定/解除鎖定)
請考慮下列情況:
-
系統管理員想要強制執行智慧卡 (SC) 登入驗證,當使用者存取某些安全性顧慮的資源。若要這麼做,系統管理員會部署根據Windows Server 2008 R2 逐步指南 》 中的 AD DS 的驗證機制保證的 AMA,用於所有的智慧卡憑證的發行原則物件識別項。
-
「 互動式登入︰ 要求智慧卡 」 在工作站上未啟用的原則。因此,使用者可以使用其他認證,例如使用者名稱和密碼登入。
-
本機和網路資源存取需要智慧卡萬用安全性群組。
在這個案例中,您可以預期只有使用智慧卡來登入的使用者才可以存取本機和網路資源。不過,因為使用者的桌面的存取語彙基元來建立登入期間,它不會變更。
案例範例
-
範例 1
如果桌面的存取語彙基元有智慧卡萬用安全性群組所提供的 AMA,則會發生下列結果其中一項︰-
使用智慧卡解除鎖定的使用者︰ 使用者仍然可以存取本機安全性敏感的資源。使用者嘗試存取網路資源需要智慧卡萬用安全性群組。這些嘗試成功。
-
使用使用者名稱和密碼來解除鎖定的使用者︰ 使用者仍然可以存取本機安全性敏感的資源。此結果不被預期的。使用者嘗試存取網路資源需要智慧卡萬用安全性群組。這些嘗試失敗。
-
-
範例 2
如果桌面的存取語彙基元沒有智慧卡萬用安全性群組所提供的 AMA,則會發生下列結果其中一項︰-
使用使用者名稱和密碼來解除鎖定的使用者︰ 使用者無法存取本機安全性敏感的資源。使用者嘗試存取網路資源需要智慧卡萬用安全性群組。這些嘗試失敗。
-
使用智慧卡解除鎖定的使用者︰ 使用者無法存取本機安全性敏感的資源。此結果不被預期的。使用者嘗試存取網路資源。這些嘗試成功如預期般運作。
-
更多的資訊
由於 AMA 與安全性子系統設計,< 徵狀=""> 一節所述,使用者會遇到下列情況中 AMA 無法可靠地識別互動式登入的型別。
Logon/logoff
如果快速登入最佳化已啟用,本機安全性子系統 (lsass) 就會使用本機快取來產生登入權杖中的 [群組成員資格。透過這種方式,與網域控制站 (DC) 通訊並不一定。因此,登入時間會降低。這是非常理想的功能。
不過,這種情況會造成下列問題︰ 之後 SC 登入和登出 SC,本機快取的 AMA 群組是的不正確,仍然會出現在 [使用者名稱/密碼互動式登入後的使用者語彙基元。
注意事項
-
這種情況下只適用於互動式登入。
-
在相同的方式,並為其他群組使用相同的邏輯,會快取 AMA 群組。
在此情況下,如果使用者嘗試存取網路資源,不能用在資源端上的快取的群組成員資格,並在資源端上的使用者的登入工作階段也不會包含 AMA 群組。
藉由關閉快速登入最佳化,可以解決此問題 (「 電腦設定 > 系統管理範本 > 系統 > 登入 > 入時要等待的網路電腦啟動及登入 」)。
重要這是僅適用於互動式登入案例。存取網路資源能夠如預期般運作,因為不需要登入最佳化。因此,不使用快取的群組成員資格。DC 連線若要建立新的票證,藉由流行的 AMA 群組成員資格資訊。
Lock/unlock
請考慮下列情況:
-
使用者利用智慧卡以互動方式登入,並開啟 AMA 受保護的網路資源。
注意資源可以是 AMA 受保護的網路存取僅有在其存取權杖中的 AMA 群組的使用者。 -
使用者鎖定電腦,不先關閉先前開啟的 AMA 受保護的網路資源。
-
使用者解除鎖定電腦使用的使用者名稱和密碼的相同先前使用智慧卡,以登入的使用者)。
在這個案例中,使用者仍然可以存取 AMA 保護資源後解除鎖定電腦。此行為是系統設計的一部份。解除鎖定電腦時,Windows 不會重新建立所有開啟的工作階段擁有網路資源。Windows 也不會不重新檢查群組成員資格。這是因為這些動作會造成無法接受的效能損失。
沒有針對這個案例的現成解決方案。一個解決方法是建立在 SC 登入後會篩選掉的使用者名稱/密碼提供者的認證提供者篩選,會發生鎖定的步驟。若要深入瞭解認證提供者,請參閱下列資源︰
ICredentialProviderFilter 介面
Windows Vista 認證提供者範例注意我們無法確認是否這個方法會執行成功後。
AMA 的詳細資訊
AMA 無法識別也無法強制執行的互動式登入類型 (智慧卡或使用者名稱/密碼)。此行為是系統設計的一部份。
AMA 被供網路資源用來要求智慧卡的案例。它有不適用於本機存取。
若要修正這個問題,引入新的功能,例如,能夠使用動態的群組成員資格或控制代碼 AMA 群組,為動態的群組,任何嘗試可能會造成重大的問題。這就是為什麼 NT 權杖不支援動態的群組成員資格。如果系統允許的群組,以修剪現實中,使用者可能無法與它們自己的桌面和應用程式互動。因此,群組成員資格會鎖定在建立工作階段的時間,而且會保留整個工作階段。
快取的登入也是一個難題。如果已啟用最佳化的登入,lsass 會先嘗試本機快取之前,它會叫用的網路往返。如果相同 lsass 看到 (這是大部分的登入,則為 true 的) 之前的登入的使用者名稱和密碼,則 lsass 就會建立具有相同的群組成員資格使用者之前已擁有的語彙基元。
如果最佳化的登入已關閉,就必須使用網路往返。這可確保如預期般在登入時正常運作的群組成員資格。
在快取的登入,lsass 會保持每位使用者的一個項目。這個項目都包含前一個使用者的群組成員資格。這是由最後一個密碼或智慧卡認證 lsass 中看到的保護。同時解除包裝的相同的語彙基元和認證索引鍵。如果使用者嘗試使用索引鍵過期的認證登入,他們就會遺失 DPAPI 資料,EFS 保護的內容,以及等等。因此,快取的登入一定會產生最新的本機群組成員資格,不論用來登入的機制。