Table of contents
TOC
Sbalit obsah
Rozbalit obsah

Jak konfigurovat chráněné účty

Bill Mathers|Poslední aktualizace: 10.03.2017
|
1 Přispěvatel

Platí pro: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Prostřednictvím útoků Pass-the-hash (PtH) útočník lze ověřit na vzdálený server nebo služby pomocí základní ověřování NTLM hash hesla uživatele (nebo jiné deriváty pověření). Microsoft byl dříve publikován návod ke zmírnění pass-the-hash útoky. Windows Server 2012 R2 obsahuje nové funkce, pomoci zmírnit tyto další útoky. Další informace o dalších funkcích zabezpečení, které pomáhá chránit před krádežemi pověření, naleznete v pověření ochrany a správy. Toto téma vysvětluje, jak konfigurovat následující nové funkce:

Existují další skutečnosti snižující závažnost rizika součástí Windows 8.1 a Windows Server 2012 R2 k ochraně proti krádeži pověření, které jsou zahrnuty v následujících tématech:

Chráněných uživatelů

Chráněných uživatelů je nová globální zabezpečené skupiny, do které můžete přidat nové nebo existující uživatele. Zařízení Windows 8.1 a Windows Server 2012 R2 hostitelé mají zvláštní chování s členy této skupiny poskytují lepší ochranu proti krádeži pověření. Pro člena skupiny zařízení systému Windows 8.1 nebo Windows Server 2012 R2 hostitele neukládá do mezipaměti pověření, které nejsou podporovány pro uživatele chráněno. Členové této skupiny mají žádnou dodatečnou ochranu, pokud jsou přihlášeni do zařízení se systémem verze systému Windows starší než Windows 8.1.

Uživatelé chráněné členy skupiny kdo jsou podepsána na zařízení Windows 8.1 a Windows Server 2012 R2 hostitele lze již použití:

  • Výchozí pověření delegování CredSSP (Credential) - nejsou ukládány do mezipaměti pověření ve formátu prostého textu, i když povolit delegování výchozích pověření je povolena

  • Windows Digest - ve formátu prostého textu, které nejsou pověření v mezipaměti, i když jsou povoleny

  • Protokol NTLM – NTOWF není uložena v mezipaměti.

  • Dlouhodobé klíče Kerberos - Kerberos ticket-granting lístku (TGT) vzniká při přihlášení a nelze znovu získat automaticky

  • Přihlášení v režimu offline - přihlášení z mezipaměti ověřovače nevytvoří

Je-li úroveň funkčnosti domény Windows Server 2012 R2, členové skupiny nebudou moci:

  • Ověření pomocí ověřování NTLM

  • Data Encryption (Standard DES) nebo RC4 šifrovací sada použít předběžné ověřování Kerberos

  • Při použití bez omezení nebo omezené delegování delegovat

  • Obnovit uživatelské lístky TGT (Ticket) po počáteční dobu 4 hodin

Chcete-li přidat uživatele do skupiny, můžete použít uživatelského Rozhraní nástroje jako správní centrum Active Directory (ADAC) nebo Active Directory uživatelé a počítače nebo nástroj příkazového řádku, jako Dsmod group, nebo prostředí Windows PowerShellpřidat-ADGroupMember rutiny. Účty služeb a počítačů by být členy skupiny Protected Users. Členství pro tyto účty poskytuje žádnou místní ochranu, protože heslo nebo certifikát je vždy k dispozici v hostitelském počítači.

Upozornění

Omezení ověřování mít žádné řešení, což znamená, že členové skupiny Enterprise Admins nebo Domain Admins skupiny vysoce privilegované skupiny se vztahují stejná omezení jako ostatní členové skupiny Protected Users. Pokud všichni členové těchto skupin jsou přidány do skupiny Protected Users, je možné pro všechny tyto účty bude uzamčen. Měli byste nikdy přidat všechny vysoce privilegované účty do skupiny Protected Users dokud jste důkladně otestovali potenciální dopad.

Členové skupiny Protected Users musí mít možnost provést ověřování pomocí protokolu Kerberos s normami AES (Advanced Encryption). Tato metoda vyžaduje AES klíče pro účet v adresáři služby Active Directory. Vestavěný správce nemá s klíčem standardu AES, pokud bylo heslo změnit v řadiči domény se systémem Windows Server 2008 nebo novější. Kromě toho je jakýkoli účet, který má heslo, které bylo změněno na řadiči domény, který běží starší verze systému Windows Server, uzamčen. Proto dodržujte tyto doporučené postupy:

  • Pokud není test v doménách všechny řadiče domény používají systém Windows Server 2008 nebo novější.

  • Změnit heslo pro všechny účty domény, které byly vytvořeny před byl vytvořen k doméně. V opačném případě se tyto účty nelze ověřit.

  • Změnit heslo pro každého uživatele před přidáním účtu uživatele chráněné skupiny nebo zajistit, že heslo bylo změněné naposledy na řadiči domény se systémem Windows Server 2008 nebo novější.

Požadavky na používání chráněných účtů

Chráněných účtů mají následující požadavky na nasazení:

  • Zajistit omezení klienta pro uživatele chráněných hostitelů spuštěním Windows 8.1 nebo Windows Server 2012 R2. Uživatel má pouze k přihlášení pomocí účtu, který je členem skupiny Protected Users. V tomto případě lze vytvořit skupiny Protected Users ve přenosu roli primárního řadiče domény (PDC) emulátor na řadič domény se systémem Windows Server 2012 R2. Poté, co tento objekt skupiny je replikována do ostatních řadičů domény, role emulátoru primárního řadiče DOMÉNY může být hostitelem řadiče domény, který běží starší verze systému Windows Server.

  • Stanovit další omezení a omezení straně řadič domény pro uživatele chráněné, která má omezit použití ověřování NTLM, musí být úroveň funkčnosti domény Windows Server 2012 R2. Další informace o funkčních úrovních naleznete v tématu funkční úrovně porozumění služba Active Directory Domain Services (služba AD DS).

Poradce při potížích s událostí týkajících se chráněných uživatelů

Tato část zahrnuje nové protokoly k řešení události týkající se chráněných uživatelů a vliv změny problémů buď udělování lístků: lístky (TGT TICKET) vypršení nebo delegování Protected Users.

Nové protokoly pro chráněné uživatele

Dva nové operační protokoly pro správu jsou k dispozici k řešení události týkající se chráněných uživatelů: uživatel chráněné - klient protokolu a chráněné uživatelské chyby - protokolu řadiče domény. Tyto nové protokoly jsou umístěny v prohlížeči událostí a jsou ve výchozím nastavení zakázána. Povolit protokol, klepněte na tlačítko protokoly aplikací a služeb, klepněte na tlačítko Microsoft, klepněte na tlačítko Windows, klepněte na tlačítko ověřovánía pak klepněte na název protokolu a klepněte na akce (nebo klepněte pravým tlačítkem myši na protokol) a klepněte na tlačítko povolit protokol.

Další informace o událostech v těchto protokolech naleznete v tématu zásady ověřování a sila zásad ověřování.

Poradce při potížích s vypršení platnosti lístku TGT

Řadiče domény obvykle nastaví životnost lístku TGT a obnovení na základě zásad domény, jak je znázorněno v následujícím okně Editor správy Zásady skupiny.

Chráněných účtů

Pro chráněné uživatelům, pevně jsou následující nastavení:

  • Maximální doba života lístku uživatele: 240minut $2

  • Maximální doba života pro obnovení lístku uživatele: 240minut $2

Řešení problémů delegování

Dříve, pokud byla neúspěšně technologie, která využívá delegování s protokolem Kerberos, účet klienta bylo zkontrolováno Pokud účet je citlivý a nelze jej delegovat byl nastaven. Nicméně pokud je účet členem chráněné uživatelům, nemá toto nastavení nakonfigurováno v Active Directory administrativní centrum (ADAC). Výsledkem je zkontrolujte nastavení a členství ve skupině při odstraňování potíží s delegováním.

Chráněných účtů

Auditování pokusů o ověření

Auditování pokusů o ověření výslovně pro členy Protected Users skupiny, můžete i nadále shromažďovat události auditu zabezpečení protokolu nebo na sběr dat v nových operačních protokolů pro správu. Další informace o těchto událostech naleznete v tématu zásady ověřování a sila zásad ověřování

DC-boční ochrana poskytují služby a počítače

Účty služeb a počítačů nemohou být členy chráněné uživatele. Tato část vysvětluje, které ochrana založené na řadič domény je možné nabídnout pro tyto účty:

  • Odmítnout ověřování NTLM: konfigurovat pouze pomocí zásady blokování NTLM

  • Data Encryption (Standard DES) odmítnout předběžné ověřování Kerberos: řadiče domény systému Windows Server 2012 R2 nepřijímají DES u účtů počítačů, pokud jsou konfigurovány pro DES pouze, protože každá verze systému Windows pomocí protokolu Kerberos podporuje také RC4.

  • V předběžné ověření protokolem Kerberos odmítnout RC4: není konfigurovatelné.

    Poznámka

    Ačkoli je možné změnit konfiguraci šifrování podporované typy, není doporučeno změnit toto nastavení pro účty počítačů bez zkoušení v cílovém prostředí.

  • Omezit uživatele lístky TGT (Ticket) počáteční 4 hodin Životnost: použití zásad ověřování.

  • Zakázat delegování s bez omezení nebo omezené delegování: omezení účtu, otevřete správní centrum Active Directory (ADAC) a vyberte účet je citlivý a nelze jej delegovat políčko.

    Chráněných účtů

Zásady ověřování

Zásady ověřování je nový kontejner v služba AD DS, který obsahuje objekty zásad ověřování. Zásady ověřování můžete zadat nastavení, která pomáhají snížit expozici krádeže pověření, například omezení doby platnosti lístku TGT účty nebo přidat další podmínky týkající se nároků.

Dynamické řízení přístupu v systému Windows Server 2012, zavedla třída objektu oboru doménové struktury služby Active Directory nazvanou centrální zásady přístupu k poskytují snadný způsob, jak konfigurovat souborové servery v rámci celé organizace. V systému Windows Server 2012 R2 nový objekt třídy s názvem zásady ověřování (objectClass msDS-AuthNPolicies) lze použít konfiguraci ověřování účtu třídy v doménách systému Windows Server 2012 R2. Třídy účtů služby Active Directory jsou:

  • Uživatel

  • Počítač

  • Účet spravované služby a skupiny účet spravované služby (GMSA)

Rychlé osvěžení znalostí pomocí protokolu Kerberos

Ověřovací protokol Kerberos se skládá ze tří typů výměn, známé také jako subprotocols:

Chráněných účtů

  • Ověřovací služby (AS) výměna (KRB_AS_ *)

  • Výměna lístek služby (TGS) (KRB_TGS_ *)

  • (AP) Klienta a serveru Exchange (KRB_AP_ *)

JAKO exchange je, pokud klient používá heslo nebo soukromý klíč na účet vytvořit před ověřovatelem požadovat vydání lístku (TGT). Tato situace nastane při přihlášení uživatele nebo první lístek služby je nutné.

Výměna TGS je kde TGT účtu se používá k vytvoření ověřovatel požádat o lístek služby. Tato situace nastane, je potřeba ověřované připojení.

Přístupový bod výměny dochází jako obvykle data do protokolu aplikace a není ovlivněn zásadami ověřování.

Podrobnější informace naleznete v tématu jak protokolu Kerberos verze 5 ověřování protokol funguje.

Přehled

Zásady ověřování doplňují chráněných uživatelů tím, že poskytuje způsob, jak konfigurovat omezení pro účty a tím, že omezení pro účty služeb a počítačů. Při výměně AS nebo TGS jsou vynuceny zásady ověřování serveru exchange.

Počáteční ověření nebo jako výměnu lze omezit konfigurací:

  • Doba platnosti lístku TGT

  • Podmínky řízení přístupu omezení uživatelského přihlášení, které musí být splněny tak, že zařízení, ze kterých přichází jako exchange

Chráněných účtů

Žádosti o lístek služby výměnou lístek služby (TGS) můžete omezit nastavením:

  • Přístup řízení podmínek, které musí být splněny klientem (uživatel, služby, počítače) nebo zařízení, ze kterého přichází výměna TGS

Požadavky pro použití zásad ověřování

ZásadyPožadavky
Poskytnout vlastní životnost lístku TGTDomény účet funkční úrovně domény systému Windows Server 2012 R2
Omezení přihlášení uživatele-Domény účet funkční úrovně domény Windows Server 2012 R2 s podporou dynamického řízení přístupu
-Podpora Windows 8, Windows 8.1, Windows Server 2012 nebo Windows Server 2012 R2 zařízení s dynamické řízení přístupu
Omezení vystavení lístku služby, založený na uživatelský účet a zabezpečení skupinyWindows Server 2012 R2 domény prostředků funkční úrovně domény
Omezení vystavení lístku služby založené na nároky uživatele nebo zařízení účtu, skupiny zabezpečení nebo nárokyDomény funkční úroveň prostředků domény systému Windows Server 2012 R2 s podporou dynamického řízení přístupu

Omezení uživatelského účtu pro konkrétní zařízení a hostitelů

Vysoké hodnoty účet s oprávněním správce by měl být členem Protected Users skupiny. Ve výchozím nastavení, žádné účty jsou členy Protected Users skupiny. Před přidáním účtů do skupiny nakonfigurovat podporu řadiče domény a vytvoření zásad auditu k zajištění, že neexistují žádné blokující problémy.

Nakonfigurujte podporu řadiče domény

Doména účtu uživatele musí být funkční úroveň domény systému Windows Server 2012 R2 (DFL). Zajistit všechny řadiče domény Windows Server 2012 R2 jsou a pak použít Active Directory Domains and Trusts na zvýšit DFL systému Windows Server 2012 R2.

Konfigurace podpory pro dynamické řízení přístupu

  1. V výchozí zásady řadičů domény, klepněte na tlačítko povoleno aby podpora klientů centra distribuce klíčů (KDC) pro nároky, složené ověřování a Kerberos armoring ve složce Konfigurace počítače | Šablony pro správu | Systém | SLUŽBA KDC.

    Chráněných účtů

  2. Podle možností, vyberte v poli rozevíracího seznamu vždy poskytnout nároky.

    Poznámka

    Podporované lze také nakonfigurovat, ale vzhledem k tomu, že doména je v systému Windows Server 2012 R2 DFL, budou řadiče domény mají vždy poskytnout nároky umožní uživateli přístup na základě deklarací zkontroluje, dochází při použití jiných nároků vědomi zařízení a připojení k deklaracemi služby je hostitelem.

    Chráněných účtů

    Upozornění

    Konfigurace požadavky unarmored ověření nezdaří bude mít za následek selhání ověřování z libovolného operačního systému, který nepodporuje protokol Kerberos armoring, jako jsou Windows 7 a předchozí operační systémy nebo operačních systémech, počínaje Windows 8, které nejsou explicitně nakonfigurován pro podporu.

Vytvoření auditu pro účet uživatele, pro zásady ověřování s ADAC

  1. Otevřete Centrum správy služby Active Directory (ADAC).

    Chráněných účtů

    Poznámka

    Vybrané ověřování uzel je viditelná pro domény, které jsou v systému Windows Server 2012 R2 DFL. Pokud uzel se nezobrazí, zkuste znovu pomocí účtu správce domény z domény, který je v systému Windows Server 2012 R2 DFL.

  2. Klepněte na tlačítko zásad ověřovánía potom klepněte na tlačítko nové Chcete-li vytvořit novou zásadu.

    Chráněných účtů

    Zásady ověřování musí mít zobrazovaný název a jsou ve výchozím stavu vynuceno.

  3. Vytvoření zásady pouze auditování, klepněte na tlačítko omezení zásad auditovat pouze.

    Chráněných účtů

    Zásady ověřování se aplikují v závislosti na typu účtu služby Active Directory. Jednu zásadu lze použít pro všechny tři typy účtů nakonfigurováním nastavení pro každý typ. Typy účtu jsou:

    • Uživatel

    • Počítač

    • Účet spravované služby a skupiny spravovat účet služby

    Pokud extended schématu pomocí nových objektů, které lze použít pomocí centra distribuce klíčů (KDC) je zařazen nový typ účtu z nejbližší typ odvozené účtu.

  4. Chcete-li nastavit dobu platnosti lístku TGT pro uživatelské účty, vyberte určení doby platnosti lístek uživatelské účty zaškrtněte políčko a zadejte čas v minutách.

    Chráněných účtů

    Například, pokud chcete maximální životnost lístku TGT 10 hodin, zadejte 600 jak je znázorněno. Pokud žádná doba platnosti lístku TGT je nakonfigurován, pak je-li účet členem Protected Users skupiny, doba platnosti lístku TGT a obnovení je 4 hodiny. Jinak životnost lístku TGT a obnovení jsou založeny na zásady domény v okně Editor správy Zásady skupiny následující domény s výchozím nastavením.

    Chráněných účtů

  5. Omezení uživatelského účtu, vyberte zařízení, klepněte na tlačítko úprava k definování podmínek, které jsou požadovány pro dané zařízení.

    Chráněných účtů

  6. V upravit podmínky řízení přístupu okno, klepněte na tlačítko přidat podmínku.

    Chráněných účtů

Přidat účet nebo skupinu podmínek počítače
  1. Konfigurovat účty počítače nebo skupiny, v rozevíracím seznamu, vyberte pole rozevíracího seznamu každý člen a změnit na žádný člen.

    Chráněných účtů

    Poznámka

    Toto řízení přístupu definující podmínky zařízení nebo hostitele, ze kterého se uživatel zapíše na. V terminologii řízení přístupu, je účet počítače pro zařízení nebo hostitele uživatele, což je důvod, proč uživatel je jedinou možností.

  2. Klepněte na tlačítko přidat položky.

    Chráněných účtů

  3. Chcete-li změnit typy objektů, klepněte na typy objektů.

    Chráněných účtů

  4. Výběr objektů počítače ve službě Active Directory, klepněte na tlačítko počítačea potom klepněte na tlačítko OK.

    Chráněných účtů

  5. Zadejte název počítače Chcete-li omezit uživatele a potom klepněte na tlačítko Kontrola jmen.

    Chráněných účtů

  6. Klepněte na tlačítko OK a vytvořte další podmínky pro účet počítače.

    Chráněných účtů

  7. Po dokončení klepněte na tlačítko OK a se zobrazí definované podmínky pro účet počítače.

    Chráněných účtů

Přidat počítač podmínky nároku
  1. Chcete-li nakonfigurovat počítač nároky, rozevírací seznam vyberte deklaraci skupiny.

    Chráněných účtů

    Deklarace jsou pouze k dispozici, pokud jsou již vytvořena v doménové struktuře.

  2. Zadejte název organizační Jednotky, uživatelský účet by mělo být omezeno na přihlášení.

    Chráněných účtů

  3. Po dokončení klepněte na tlačítko OK a zobrazí pole definované podmínky.

    Chráněných účtů

Poradce při potížích s chybějící nároky na počítač

Pokud pohledávka byla zajištěna, ale není k dispozici, je pravděpodobně nakonfigurován pouze pro počítače třídy.

Řekněme, že jste chtěli omezit ověřování založené na organizační jednotku (OU) počítače, který již byl nakonfigurován, ale pouze pro počítače třídy.

Chráněných účtů

Deklarace je k dispozici pro omezení přihlášení uživatele na zařízení, vyberte uživatel políčko.

Chráněných účtů

Zřízení uživatelského účtu, zásadami ověřování s ADAC

  1. Z uživatel účet, klepněte na tlačítko zásad.

    Chráněných účtů

  2. Vyberte k tomuto účtu přiřadit zásadu ověřování políčko.

    Chráněných účtů

  3. Vyberte zásadu ověřování pro uživatele.

    Chráněných účtů

Konfigurace podpory pro dynamické řízení přístupu na zařízení a hostitelé

Doba platnosti lístku TGT je možné nakonfigurovat bez konfigurace dynamické přístup ovládacího prvku (DAC). Výbor pro rozvojovou POMOC je nezbytná pouze pro kontrolu AllowedToAuthenticateFrom a AllowedToAuthenticateTo.

Pomocí Zásady skupiny nebo Editoru místních Zásady skupiny, povolte podpora klientů protokolu Kerberos pro nároky, složené ověřování a Kerberos armoring ve složce Konfigurace počítače | Šablony pro správu | Systém | Protokol Kerberos:

Chráněných účtů

Poradce při potížích s zásady ověřování

Určit účty, které jsou přímo přiřazené zásady ověřování

V části účty v zásadách ověřování zobrazuje účty, které přímo použity zásady.

Chráněných účtů

Použití zásady selhání ověřování - protokol pro správu řadiče domény

Nový chyby zásad ověřování – řadič domény pro správu protokolu pod protokoly aplikací a služeb > Microsoft > Windows > ověřování byla vytvořena a usnadnit zjištění selhání z důvodu zásad ověřování. Ve výchozím nastavení je zakázán protokol. Chcete-li ji povolit, klepněte pravým tlačítkem myši na název protokolu a klepněte na povolit protokol. Nové události jsou velmi podobné v obsahu existující lístku TGT protokolu Kerberos a lístek služby auditování událostí. Další informace o těchto událostech naleznete v tématu zásady ověřování a sila zásad ověřování.

Spravovat zásady ověřování pomocí prostředí Windows PowerShell

Tento příkaz vytvoří zásadu ověřování s názvem TestAuthenticationPolicy. UserAllowedToAuthenticateFrom parametr určuje zařízení, ze kterých uživatelé ověřit pomocí řetězce jazyka SDDL v souboru s názvem someFile.txt.

PS C:\> New-ADAuthenticationPolicy testAuthenticationPolicy -UserAllowedToAuthenticateFrom (Get-Acl .\someFile.txt).sddl

Tento příkaz načte všechny zásady ověřování, které by odpovídaly filtru, filtr parametr určuje.

PS C:\> Get-ADAuthenticationPolicy -Filter "Name -like 'testADAuthenticationPolicy*'" -Server Server02.Contoso.com

Tento příkaz upravuje popis a UserTGTLifetimeMins vlastností ověřování zadané zásady.

PS C:\> Set-ADAuthenticationPolicy -Identity ADAuthenticationPolicy1 -Description "Description" -UserTGTLifetimeMins 45

Tento příkaz odebere zásady ověřování, Identity parametr určuje.

PS C:\> Remove-ADAuthenticationPolicy -Identity ADAuthenticationPolicy1

Tento příkaz se používá Get-ADAuthenticationPolicy rutiny s filtr parametr, chcete-li získat všechny zásady ověřování, které nejsou vynucena. Sada výsledků je přesměrovat na ADAuthenticationPolicy odebrat rutiny.

PS C:\> Get-ADAuthenticationPolicy -Filter 'Enforce -eq $false' | Remove-ADAuthenticationPolicy

Sila zásad ověřování

Sila zásad ověřování je nový kontejner (objectClass msDS-AuthNPolicySilos) v služba AD DS pro uživatele, počítače a účty služeb. Pomáhají chránit účty vysoké hodnoty. Zatímco všechny organizace potřebují chránit členy skupin Enterprise Admins, Domain Admins a Schema Admins, protože tyto účty může útočník přístup k cokoli v doménové struktuře, ostatní účty také potřebovat ochranu.

Některé organizace izolovat pracovní vytížení vytvořením účtů, které jsou pro ně jedinečné a použití nastavení Zásady skupiny omezit místní a vzdálené interaktivní přihlášení a oprávnění správce. Sila zásad ověřování doplňují tuto práci vytvořením způsob, jak definovat vztah mezi uživateli, počítači a spravované účty služeb. Obchodní vztahy lze přiřadit pouze jeden silu. Pro ovládací prvek můžete nakonfigurovat zásady ověřování pro každý typ účtu:

  1. Non obnovitelné životnost lístku TGT

  2. Přístup k řízení podmínky pro vrácení lístku TGT (Poznámka: nelze použít pro systémy, protože armoring pomocí protokolu Kerberos je vyžadován)

  3. Podmínky řízení přístupu pro vrácení lístku služby

Navíc účty silu zásad ověřování mít nárok silu deklaracemi prostředky, jako jsou souborové servery lze použít k řízení přístupu.

Nový popisovač zabezpečení může být nakonfigurován k vystavení lístku služby založené na ovládací prvek:

  • Uživatele, skupiny zabezpečení uživatele a/nebo nároky uživatele

  • Zařízení, skupiny zabezpečení zařízení a zařízení nároky

Získávání těchto informací řadiče domény zdroje vyžaduje dynamické řízení přístupu:

  • Nároky na uživatele:

    • Windows 8 a novější klientů podporuje dynamické řízení přístupu

    • Účet domény podporuje dynamické řízení přístupu a deklarace

  • Zařízení a/nebo skupiny zabezpečení zařízení:

    • Windows 8 a novější klientů podporuje dynamické řízení přístupu

    • Zdroj nakonfigurován pro složené ověřování

  • Nároky na zařízení:

    • Windows 8 a novější klientů podporuje dynamické řízení přístupu

    • Doména zařízení podporuje dynamické řízení přístupu a deklarace

    • Zdroj nakonfigurován pro složené ověřování

Zásady ověřování lze použít na všechny členy ověření silu zásad namísto na jednotlivé účty nebo samostatné ověřování zásady lze použít na různé typy účtů v rámci silu. Například jednu zásadu ověřování lze použít vysoce privilegovaném uživatelské účty a účty služby lze použít různé zásady. Zásady ověřování alespoň jeden musí být vytvořena před vytvořením silu zásad ověřování.

Poznámka

Zásady ověřování lze použít pro členy silu zásad ověřování nebo mohou být použity nezávisle na silech omezit rozsah konkrétní účet. Například k ochraně jeden účet nebo malou sadu účtů, zásady lze nastavit na těchto účtech bez přidání účtů sila.

Silu zásad ověřování můžete vytvořit pomocí Centra správy služby Active Directory nebo prostředí Windows PowerShell. Ve výchozím nastavení, silu zásad ověřování pouze auditování zásady sila, což odpovídá zadání WhatIf parametr v rutiny prostředí Windows PowerShell. V tomto případě se nevztahují omezení zásady sila, ale jsou položky auditování generovány označte, zda selhání dojít, pokud jsou použity omezení.

Chcete-li vytvořit silu zásad ověřování pomocí Centra správy služby Active Directory

  1. Otevřít Centra správy služby Active Directory, klepněte na tlačítko ověřování, klepněte pravým tlačítkem myši sila zásad ověřování, klepněte na tlačítko novýa potom klepněte na tlačítko silu zásad ověřování.

    Chráněných účtů

  2. V zobrazovaný název, zadejte název pro silu. V účty povoleny, klepněte na tlačítko přidat, zadejte názvy účtů a potom klepněte na tlačítko OK. Můžete určit uživatele, počítače nebo účty služby. Zadejte, zda chcete použít pro všechny objekty nebo samostatné zásady pro každý typ objektu zabezpečení a název zásady nebo zásady jednotné politiky.

    Chráněných účtů

Sila zásad ověřování spravovat pomocí prostředí Windows PowerShell

Tento příkaz vytvoří objekt sila zásad ověřování a je vynutí.

PS C:\>New-ADAuthenticationPolicySilo -Name newSilo -Enforce

Tento příkaz načte všechny ověřování silech zásad, které by odpovídaly filtru, který je určen filtr parametr. Výstup je pak předána formát tabulky rutiny a zobrazí název zásady a hodnoty vynutit na jednotlivých zásad.

PS C:\>Get-ADAuthenticationPolicySilo -Filter 'Name -like "*silo*"' | Format-Table Name, Enforce -AutoSize

Name  Enforce
----  -------
silo     True
silos   False

Tento příkaz se používá Get-ADAuthenticationPolicySilo rutiny s filtr parametr, chcete-li získat výsledek filtru všechny silech zásad ověřování, které nejsou vynucena a potrubí ADAuthenticationPolicySilo odebrat rutiny.

PS C:\>Get-ADAuthenticationPolicySilo -Filter 'Enforce -eq $False' | Remove-ADAuthenticationPolicySilo

Tento příkaz uděluje přístup k silu zásad ověřování s názvem silu uživatelský účet s názvem uživatel01.

PS C:\>Grant-ADAuthenticationPolicySiloAccess -Identity Silo -Account User01

Tento příkaz odebere přístup k silu zásad ověřování s názvem silu uživatelský účet s názvem uživatel01. Protože potvrzení parametr nastaven na $False, zobrazí se hlášení s potvrzením.

PS C:\>Revoke-ADAuthenticationPolicySiloAccess -Identity Silo -Account User01 -Confirm:$False

V tomto prvním příkladu Get-ADComputer rutiny získat všechny účty počítačů, které by odpovídaly filtru, filtr parametr určuje. Výstup tohoto příkazu je předán Set ADAccountAuthenticatinPolicySilo přiřadit sila zásad ověřování s názvem silu a zásady ověřování s názvem AuthenticationPolicy02 k nim.

PS C:\>Get-ADComputer -Filter 'Name -like "newComputer*"' | Set-ADAccountAuthenticationPolicySilo -AuthenticationPolicySilo Silo -AuthenticationPolicy AuthenticationPolicy02
© 2017 Microsoft