Table of contents
TOC
Inhaltsverzeichnis reduzieren
Inhaltsverzeichnis erweitern

Konfigurieren von geschützten Konten

Corey Plett|Zuletzt aktualisiert: 13.01.2017
|
1 Mitwirkender

Gilt für: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Durch Pass-the-Hash (PtH)-Angriffe kann ein Angreifer auf einem Remoteserver oder Dienst authentifizieren, mithilfe des zugrunde liegenden NTLM-Hashs des Kennworts eines Benutzers (oder andere Anmeldeinformationen ableitungen). Microsoft hat zuvor veröffentlicht Richtlinien werden Pass-the-Hash-Angriffe. Windows Server 2012 R2 enthält neue Features, die bei derartigen Angriffen weiter zu verringern. Weitere Informationen zu anderen Sicherheitsfeatures, die gegen den Diebstahl von Anmeldeinformationen schützen, finden Sie unter Schutz von Anmeldeinformationen und Verwaltung. In diesem Thema wird erläutert, wie Sie die folgenden neuen Features konfigurieren:

Es gibt noch weitere risikominderungen integriert Windows 8.1 und Windows Server 2012 R2 zum Schutz gegen den Diebstahl von Anmeldeinformationen, die in den folgenden Themen behandelt werden:

Geschützte Benutzer

Geschützte Benutzer ist eine neue globale Sicherheitsgruppe, die Sie neue oder vorhandene Benutzer hinzufügen können. Windows 8.1-Geräte und Windows Server 2012 R2-Server weisen ein besonderes Verhalten mit Mitglieder dieser Gruppe besseren Schutz gegen den Diebstahl von Anmeldeinformationen bereitstellen. Für ein Mitglied der Gruppe ist ein Windows 8.1-Gerät oder ein Windows Server 2012 R2-Host nicht Anmeldeinformationen zwischenspeichern, die für Benutzer geschützt nicht unterstützt werden. Mitglieder dieser Gruppe haben kein zusätzlichen Schutz, wenn sie auf einem Gerät angemeldet sind, die eine Windows-Version vor Windows 8.1 ausgeführt wird.

Mitglieder der geschützten Gruppe, die signiert-mit Windows 8.1-Geräten auf sind und Windows Server 2012 R2-Server können nicht mehr verwenden:

  • Delegierung der Anmeldeinformationen (CredSSP) - Standard Nur-Text-Anmeldeinformationen werden nicht zwischengespeichert, auch wenn die können Standardanmeldeinformationen Delegieren Richtlinie aktiviert ist

  • Windows-Digest - Nur-Text, die Anmeldeinformationen nicht zwischengespeichert, sogar, wenn sie aktiviert sind

  • NTLM - NTOWF wird nicht zwischengespeichert.

  • Langfristig Kerberos-Schlüssel - Kerberos-Ticket-granting Ticket (TGT) wird bei der Anmeldung erworben und kann nicht erneut erworben werden automatisch

  • Einmaliges Anmelden ist offline - Überprüfung zwischengespeicherten Anmeldung nicht erstellt

Wenn die Domänenfunktionsebene Windows Server 2012 R2 ist, können nicht mehr Mitglied der Gruppe:

  • Mithilfe der NTLM-Authentifizierung authentifizieren

  • Verwenden Sie die Daten DES (Encryption Standard) oder RC4-Verschlüsselungssammlungen in vor dem Kerberos-Authentifizierung

  • Mithilfe von uneingeschränkte oder eingeschränkten Delegierung delegiert werden

  • Verlängern Sie Benutzertickets (TGTs) über die ersten 4 Stunden hinaus

Um die Gruppe, die Benutzer hinzugefügt haben, können Sie UI-Tools wie Active Directory Administrative Center (ADAC) oder Active Directory-Benutzer und -Computer oder ein Befehlszeilentool, z. B. Dsmod Group, oder die Windows PowerShellAdd-ADGroupMember Cmdlet. Konten für Dienste und Computer sollte nicht Mitglieder der Gruppe Benutzer geschützt sein. Mitgliedschaft in diesen Konten bietet keine lokalen Schutz, da das Kennwort oder Zertifikat immer auf dem Host verfügbar ist.

Warnung

Die Authentifizierung Einschränkungen haben kein Problem zu umgehen, was bedeutet, dass Mitglieder privilegierter Gruppen wie der Gruppe "Organisations-Admins" oder der Gruppe "Domänen-Admins" gelten die gleichen Einschränkungen als andere Mitglieder der Gruppe Benutzer geschützt sind. Wenn der geschützte Benutzergruppe alle Mitglieder dieser Gruppen hinzugefügt werden, ist es möglich, für alle diese Konten gesperrt wird. Sie sollten nie alle privilegierte Konten der geschützten Benutzergruppe hinzufügen, bis Sie mögliche Auswirkungen gründlich getestet haben.

Mitglieder der Gruppe Benutzer geschützt muss mithilfe von Kerberos mit Standards AES (Advanced Encryption) authentifizieren. Diese Methode erfordert AES-Schlüssel für das Konto in Active Directory. Das integrierte Administratorkonto besitzt keine AES-Schlüssel, es sei denn, das Kennwort wurde auf einem Domänencontroller, der Windows Server 2008 ausgeführt wird, geändert oder höher. Jedes Konto, das ein Kennwort, die auf einem Domänencontroller geändert wurde, die eine frühere Version von Windows Server ausgeführt wird verfügt, wird darüber hinaus gesperrt. Aus diesem Grund, führen Sie diese bewährten Methoden:

  • Testen Sie, sofern nicht in Domänen alle Domänencontroller Ausführen von Windows Server 2008 oder höher.

  • Kennwort ändern für alle Domänenkonten, die erstellt wurden vor die Domäne wurde erstellt. Andernfalls können nicht diesen Konten authentifiziert werden.

  • Kennwort ändern für jeden Benutzer vor dem Hinzufügen des Kontos für den Benutzer geschützt gruppieren, oder stellen Sie sicher, dass das Kennwort wurde vor kurzem auf einem Domänencontroller, der Windows Server 2008 ausgeführt wird, geändert oder höher.

Anforderungen für die Verwendung von geschützter Konten

Geschützte Konten haben die folgenden bereitstellungsanforderungen:

  • Zum Bereitstellen von clientseitigen Einschränkungen für geschützte Benutzer müssen Hosts Windows 8.1 oder Windows Server 2012 R2 ausführen. Ein Benutzer muss nur mit einem Konto anmelden, das Mitglied einer Gruppe von Benutzern geschützt ist. In diesem Fall kann die geschützten Benutzergruppe erstellt werden, durch übertragen des primären Domänencontrollers (PDC)-Emulators mit einem Domänencontroller, der Windows Server 2012 R2 ausgeführt wird. Nachdem die Gruppenobjekt auf andere Domänencontroller repliziert wird, kann die PDC-Emulation auf einem Domänencontroller gehostet werden, die eine frühere Version von Windows Server ausgeführt wird.

  • Um Domain Controller-Seite Einschränkungen für geschützte Benutzer, die zum Einschränken der Verwendung der NTLM-Authentifizierung ist, und andere Einschränkungen bereitzustellen, muss die Domänenfunktionsebene Windows Server 2012 R2. Weitere Informationen zu Funktionsebenen finden Sie unter [Funktionsebenen Understanding Active Directory-Domäne Services (AD DS)] (http://technet.microsoft.com/library/understanding-active-directory-functional-levels(v=WS.10.aspx.

Behandeln von Ereignissen, die im Zusammenhang mit Benutzern geschützt

Dieser Abschnitt enthält neue Protokolle, um Ereignisse zu beheben, die für Benutzer geschützt und Auswirkungen Änderungen entweder Ticket-granting Tickets (TGT) Ablauf oder Delegierung der Problembehandlung durch Benutzer geschützt verknüpft sind.

Neue Protokolle für Benutzer geschützt

Zwei neue administrative Betriebsprotokolle zur Problembehandlung bei Ereignissen, die Benutzer geschützt im Zusammenhang stehen: Benutzer geschützt??? Client-Protokoll und geschützte User-Fehler??? Domäne-Controller-Protokoll. Diese neue Protokolle befinden sich in der Ereignisanzeige und sind standardmäßig deaktiviert. Um ein Protokoll zu aktivieren, klicken Sie auf Anwendungs- und Dienstprotokolle, klicken Sie auf Microsoft, klicken Sie auf Windows, klicken Sie auf Authentifizierung, und klicken Sie auf den Namen des Protokolls, und klicken Sie auf Aktion (oder mit der rechten Maustaste in des Protokolls), und klicken Sie auf Protokoll aktivieren.

Weitere Informationen über Ereignisse in dieser Protokolle finden Sie unter Authentifizierungsrichtlinien und Authentifizierung Richtlinie Silos.

Problembehandlung bei TGT Ablauf

Normalerweise legt der Domänencontroller die TGT Lebensdauer und die Verlängerung basierend auf der Domänenrichtlinie wie im folgenden Gruppenrichtlinienverwaltungs-Editor-Fenster dargestellt.

Bildschirmfoto des Fensters Gruppenrichtlinienverwaltungs-Editor angezeigt, wie der Domänencontroller die TGT Lebensdauer und die Verlängerung basierend auf der Richtlinie festgelegt

Für Benutzer geschützt, die folgenden Einstellungen festgelegt sind:

  • Max. Gültigkeitsdauer des Benutzertickets: 240 Minuten

  • Max. Gültigkeitsdauer des Benutzerticket erneuert werden kann: 240 Minuten

Problembehandlung bei der Delegierung

Zuvor, wenn eine Technologie, die Kerberos-Delegierung verwendet, nicht wurde, das Clientkonto wurde überprüft, um festzustellen, ob Konto ist vertraulich und kann nicht delegiert werden festgelegt wurde. Allerdings ist das Konto ein Mitglied Benutzer geschützt, sie verfügen nicht über diese Einstellung in Active Directory Administrative Center (ADAC) konfiguriert ist. Überprüfen Sie daher die Einstellung und die Mitgliedschaft in Benutzergruppen bei Delegierung Problembehandlung.

Bildschirmfoto zeigt, wo Sie prüfen ** Konto ist vertraulich und kann nicht delegiert werden ** UI-Element

Authentifizierungsversuche überwachen

Authentifizierungsversuche explizit für die Member der Überwachungsmodus das Benutzer geschützt Gruppe, können Sie weiterhin Ereignisse im Sicherheitsprotokoll überwachen erfassen oder Sammeln von Daten in die neue administrative Betriebsprotokolle. Weitere Informationen zu diesen Ereignissen finden Sie unter Authentifizierungsrichtlinien und Authentifizierung Richtlinie Silos

Bereitstellen von DC clientseitigen Schutz für Dienste und Computer

Konten für Dienste und Computer nicht Mitglied Benutzer geschützt. In diesem Abschnitt wird erläutert, welche Domain Controller-basierten Schutz für diese Konten angeboten werden können:

  • Ablehnen NTLM-Authentifizierung: nur über konfigurierbar NTLM-Block-Richtlinien

  • Ablehnen DES Data Encryption Standard () vor dem Kerberos-Authentifizierung: Windows Server 2012 R2-Domänencontrollern nicht akzeptiert DES für die Computerkonten, es sei denn, sie für DES konfiguriert werden, da jede Version von Windows mit Kerberos auch RC4 unterstützt.

  • Vor dem Kerberos-Authentifizierung RC4 ablehnen: nicht konfiguriert.

    Hinweis

    Es ist zwar möglich, ändern Sie die Konfiguration der unterstützten Verschlüsselungstypen, es wird nicht empfohlen, diese Einstellungen für die Computerkonten zu ändern, ohne Sie in der Ziel-Umgebung zu testen.

  • Beschränken Sie Benutzertickets (TGTs) auf die Lebensdauer einer anfänglichen 4 Stunden: Authentifizierungsrichtlinien verwenden.

  • "Verweigern" Delegierung mit uneingeschränkte oder eingeschränkten Delegierung: um ein Konto zu beschränken, Active Directory Administrative Center (ADAC) zu öffnen, und wählen Sie die Konto ist vertraulich und kann nicht delegiert werden Kontrollkästchen.

    Bildschirmfoto zeigt, wo Sie ein Konto zu beschränken.

Authentifizierungsrichtlinien

Authentifizierungsrichtlinien ist eine neue Container in AD DS, die Authentifizierung von Gruppenrichtlinienobjekten enthält. Authentifizierungsrichtlinien können Einstellungen angeben, mit deren Hilfe zu den Diebstahl von Anmeldeinformationen, z. B. TGT Lebensdauer für Konten beschränken oder weitere Ansprüche-bezogene Optionen hinzufügen zu verringern.

In Windows Server 2012 eingeführt dynamische Zugriffssteuerung eine Active Directory-Gesamtstruktur-Bereich Objektklasse mit dem Namen zentralen Zugriffsrichtlinie, um eine einfache Möglichkeit zum Konfigurieren von Dateiservern in einer Organisation bereitzustellen. In Windows Server 2012 R2 kann eine neue Objektklasse Authentifizierungsrichtlinie (Objektklasse MsDS-AuthNPolicies) bezeichnet zum Anwenden von Konfiguration Konto Klassen in Windows Server 2012 R2-Domänen verwendet werden. Active Directory-Konto Klassen sind:

  • Benutzer

  • Computer

  • Dienstkonto verwaltet und Gruppenrichtlinien verwaltet Dienstkonto (GMSA)

Kerberos-aufzufrischen

Das Kerberos-Authentifizierungsprotokoll besteht aus drei Arten von Austausch, auch bekannt als Unterprotokolle:

Bildschirmfoto, die mit der drei Arten von Kerberos-Authentifizierung Protokollaustausch, auch bekannt als Unterprotokolle

  • Exchange-Dienst (AS) Authentifizierung (KRB_AS_ *)

  • Die Ticket-Granting Service (TGS) Exchange (KRB_TGS_ *)

  • Der Exchange-Client/Server (WAP) (KRB_AP_ *)

WIE Exchange ist, in dem der Client Kennwort des Kontos oder der private Schlüssel verwendet, um eine vor dem Authentifikator ein Ticket-granting Ticket (TGT) anfordern zu erstellen. In diesem Fall an Benutzer anmelden, oder beim ersten, die ein Dienstticket benötigt wird.

Die TGS Exchange ist, wo das Konto TGT verwendet wird, erstellen Sie einen Authentifikator ein Dienstticket anzufordern. Dies geschieht, wenn eine authentifizierte Verbindung benötigt wird.

Den Zugriffspunkt tritt auf, wie in der Regel als Daten innerhalb des Anwendungsprotokolls und wird nicht durch Authentifizierungsrichtlinien beeinträchtigt.

Weitere Informationen finden Sie unter [Kerberos Version 5 Authentication-Protokoll Funktionsweise des] (http://technet.microsoft.com/library/cc772815(v=WS.10.aspx.

(Übersicht)

Durch die Möglichkeit zum Anwenden von konfigurierbarer Einschränkungen Konten und durch die Bereitstellung von Einschränkungen für Konten für Dienste und Computer zu ergänzen Authentifizierungsrichtlinien Benutzer geschützt. Authentifizierung erzwungen werden während der wie Exchange oder der TGS Exchange.

Sie können die erste Authentifizierung oder die als Exchange durch die Konfiguration einschränken:

  • Ein TGT-Lebensdauer

  • Zugriffssteuerungsbedingungen, Benutzer anmelden, beschränken, die von Geräten erfüllt werden muss, von dem die wie Exchange stammt

Bildschirmfoto zeigt, wie zum Einschränken der anfänglichen Authentifizierung durch die Konfiguration einer TGT Lebensdauer und Zugriff Steuerelement Bedingungen zum Einschränken der Benutzer anmelden

Sie können über ein Ticket-granting Service (TGS) Exchange-ticketserviceanfragen beschränken, durch die Konfiguration:

  • Zugriffssteuerungsbedingungen fest, die vom Client ("Benutzer", "Dienst", "Computer") erfüllen müssen oder ein Gerät, von dem die TGS Exchange, ist verfügbar.

Anforderungen für die Verwendung von Authentifizierungsrichtlinien

RichtlinieAnforderungen
Bereitstellen von benutzerdefinierten TGT LebensdauerWindows Server 2012 R2-Domänen funktionieren Ebene Konto
Beschränken Sie Benutzer anmelden– Windows Server 2012 R2 funktionsfähig Ebene Kontodomänen mit Unterstützung für dynamische Zugriffssteuerung
– Support Windows 8, Windows 8.1, Windows Server 2012 oder Windows Server 2012 R2-Geräte mit dynamische Zugriffssteuerung
Beschränken Sie Service-Ticket-Ausgabe, die auf dem Konto und Sicherheit Benutzergruppen basiertWindows Server 2012 R2-Domänen funktionieren Ressourcenverzeichnis
Basierend auf den Benutzer- oder Gerätekonto, Sicherheitsgruppen oder Ansprüche Service-Ticket-Ausgabe einschränkenWindows Server 2012 R2 funktionsfähig Ressourcenverzeichnis Domänen mit Unterstützung für dynamische Zugriffssteuerung

Ein Benutzerkonto auf bestimmten Geräten und Hosts einschränken

Eine hochwertige Benutzerkonto mit Administratorrechten sollte ein Mitglied der Benutzer geschützt Gruppe. Keine Konten sind Mitglieder der Benutzer geschützt Gruppe. Bevor Sie die Gruppe Konten hinzufügen, Domain Controller-Unterstützung zu konfigurieren und Erstellen einer Überwachungsrichtlinie, um sicherzustellen, dass keine blockierende Probleme vorliegen.

Konfigurieren der Domäne-Controller-Unterstützung

Kontodomäne des Benutzers muss auf Windows Server 2012 R2 als Domänenfunktionsebene (DFL) werden. Sicherzustellen, dass alle Domänencontroller sind Windows Server 2012 R2, und verwenden Sie Active Directory-Domänen und -Vertrauensstellungen auf Auslösen der DFL für Windows Server 2012 R2.

Konfigurieren der Unterstützung für die dynamische Zugriffssteuerung

  1. Klicken Sie in die Standardwert für Domänencontroller, auf aktiviert aktivieren Schlüsselverteilungscenter (KDC)-Client-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz ermöglicht in Computerkonfiguration | Administrative Vorlagen | System | KDC.

    Klicken Sie in die Standardwert für Domänencontroller, auf ** aktiviert ** aktivieren ** Schlüsselverteilungscenter (KDC)-Client-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz ermöglicht ** Computerkonfiguration | Administrative Vorlagen | System | KDC

  2. Klicken Sie unter Optionen, wählen Sie im Dropdown-Listenfeld, immer bieten Ansprüche.

    Hinweis

    Unterstützt kann auch so konfiguriert werden, aber da es sich bei Windows Server 2012 R2 DFL, müssen immer die Domänencontrollern die Domäne ist bieten Ansprüche können Benutzer anspruchsbasierte Zugriff überprüft auftreten, wenn nicht Ansprüche bekannt sind und zur Verbindung mit Ansprüche Dienste hostet.

    Unter ** Optionen **, klicken Sie im Dropdown-Liste Wählen ** immer bieten Ansprüche

    Warnung

    Konfigurieren von unarmored authentifizierungsanforderungen fehl führt dies zu Fehlern bei der Authentifizierung von einem Betriebssystem das Kerberos-Schutz ermöglicht, z. B. Windows 7 und früheren Betriebssystemen nicht unterstützt oder Betriebssystemen ab Windows 8, die nicht explizit konfiguriert wurden zur Unterstützung.

Erstellen Sie ein Konto für die Authentifizierungsrichtlinie Überwachungsrichtlinie mit ADAC

  1. Öffnen Sie Active Directory-Verwaltungscenter (ADAC).

    Bildschirmfoto mit Active Directory-Verwaltungscenter

    Hinweis

    Das ausgewählte Authentifizierung Knoten für die unter Windows Server 2012 R2 DFL sind sichtbar ist. Wenn der Knoten nicht angezeigt wird, versuchen Sie es dann erneut ein Domänenadministratorkonto von einer Domäne, die unter Windows Server 2012 R2 DFL ist mit.

  2. Klicken Sie auf Authentifizierungsrichtlinien, und klicken Sie dann auf neu um eine neue Richtlinie zu erstellen.

    Authentifizierungsrichtlinien

    Authentifizierungen Richtlinien müssen einen Anzeigenamen ein und werden standardmäßig erzwungen.

  3. Klicken Sie zum Erstellen einer Richtlinie nur überwachen auf nur überwachen Grundsatz.

    Grundsatz nur überwachen

    Authentifizierungsrichtlinien werden basierend auf dem Typ des Active Directory-Konto angewendet. Eine Richtlinie kann alle drei Arten von Konten zuweisen, durch die Konfiguration von Einstellungen für jeden Typ. Kontotypen sind:

    • Benutzer

    • Computer

    • Verwaltete Dienstkonto und Gruppenrichtlinien verwaltet Dienstkonto

    Wenn Sie das Schema mit neuen Sicherheitsprinzipale erweitert haben, die durch die Schlüsselverteilungscenter (KDC) verwendet werden kann, wird der Kontotyp des neuen aus dem am nächsten abgeleiteten Kontotyp klassifiziert.

  4. Um ein TGT für Benutzerkonten konfigurieren, wählen Sie die Geben Sie eine Ticket-Granting Ticket-Lebensdauer für Benutzerkonten Kontrollkästchen, und geben Sie die Zeit in Minuten.

    Geben Sie eine Ticket-Granting Ticket-Lebensdauer für Benutzerkonten

    Geben Sie beispielsweise, wenn Sie eine maximale TGT Lebensdauer von 10 Stunden möchten, 600 wie dargestellt. Wenn keine TGT Lebensdauer, dann konfiguriert ist ist das Konto ein Mitglied der Benutzer geschützt gruppieren, die Lebensdauer TGT und Verlängerung beträgt 4 Stunden. Andernfalls TGT Lebensdauer und Verlängerung der Domänenrichtlinie basieren auf wie im folgenden Gruppenrichtlinienverwaltungs-Editor-Fenster für eine Domäne mit den Standardeinstellungen.

    Gruppenrichtlinienverwaltungs-Editor-Fenster für eine Domäne mit den Standardeinstellungen

  5. Wenn das Benutzerkonto, um Geräte auszuwählen einschränken möchten, klicken Sie auf bearbeiten definieren Sie die Bedingungen, die für das Gerät erforderlich sind.

    Wenn das Benutzerkonto, um Geräte auszuwählen einschränken möchten, klicken Sie auf ** Bearbeiten **

  6. In der Zugriffssteuerungsbedingungen bearbeiten Fenster, klicken Sie auf eine Bedingung hinzufügen,.

    Zugriffssteuerungsbedingungen bearbeiten

Hinzufügen von PC-Konto oder eine Gruppe Bedingungen
  1. Konfigurieren Sie Computerkonten und Gruppen, in der Dropdown-Liste Wählen Sie im Dropdown-Listenfeld Mitglied von allen und ändern Sie in Mitglied einer.

    Konfigurieren von Computerkonten oder Gruppen

    Hinweis

    Diese Zugriffssteuerung definiert die Bedingungen des Geräts oder der Host, aus denen der Benutzer anmeldet, auf. Im Steuerelement Terminologie, ist das Computerkonto für das Gerät oder den Host der Benutzer, weshalb Benutzer ist die einzige Option.

  2. Klicken Sie auf fügen Sie Elemente.

    Hinzufügen von Elementen

  3. Um Objekttypen zu ändern, klicken Sie auf Objekttypen.

    Objekttypen

  4. Computerobjekte in Active Directory zu aktivieren, klicken Sie auf Computer, und klicken Sie dann auf OK.

    Computer

  5. Geben Sie den Namen der Computer für Benutzer, und klicken Sie auf Namen überprüfen.

    Klicken Sie auf Namen überprüfen

  6. Klicken Sie auf OK, und erstellen Sie alle sonstigen Bedingungen für das Computerkonto.

    Klicken Sie auf OK, und erstellen Sie alle sonstigen Bedingungen für das Computerkonto

  7. Wenn Sie fertig sind, klicken Sie dann auf OK und die definierten Bedingungen für das Computerkonto angezeigt werden.

    Klicken Sie anschließend ** OK **

Fügen Sie Computer Anspruch Bedingungen
  1. Um Computer Ansprüche zu konfigurieren, Dropdown-Gruppe, um den Anspruch auszuwählen.

    Um Ansprüche Computer zu konfigurieren, Dropdown-Gruppe, um den Anspruch auszuwählen.

    Ansprüche sind nur verfügbar, wenn sie bereits in der Gesamtstruktur bereitgestellt werden.

  2. Geben Sie den Namen der Organisationseinheit, das Benutzerkonto sollte auf Anmelden beschränkt werden.

    Geben Sie den Namen der Organisationseinheit, das Benutzerkonto sollte auf Anmelden beschränkt werden.

  3. Wenn fertig, klicken Sie auf OK und zeigt das die Zustände definiert.

    Klicken Sie anschließend auf OK

Problembehandlung bei fehlenden Computer Ansprüche

Wenn der Anspruch verfügt, aber es nicht verfügbar ist, es kann nur für konfiguriert werden Computer Klassen.

Angenommen Sie Authentifizierung auf Grundlage der Organisationseinheit (OE) beschränken möchten, des Computers, der bereits konfiguriert wurde, jedoch nur für Computer Klassen.

Bildschirmfoto von Beiträgen, um die Authentifizierung auf Grundlage der Organisationseinheit (OU) des Computers beschränken

Für den Anspruch zur Verfügung, dass Benutzer anmelden auf dem Gerät zu beschränken, wählen Sie die Benutzer Kontrollkästchen.

Bildschirmfoto zeigt, wie Benutzer auf dem Gerät anmelden Supported auswählen ** Benutzer ** Kontrollkästchen.

Bereitstellen Sie ein Benutzerkonto mit einer Authentifizierungsrichtlinie mit ADAC

  1. Von der Benutzer Konto ein, klicken Sie auf Richtlinie.

    Von der ** Benutzer ** Konto, klicken Sie auf ** Richtlinie **

  2. Wählen Sie die weisen eine Authentifizierungsrichtlinie für dieses Konto Kontrollkästchen.

    Wählen Sie die ** weisen eine Authentifizierungsrichtlinie für dieses Konto ** Kontrollkästchen

  3. Wählen Sie dann die Authentifizierungsrichtlinie für den Benutzer angewendet.

    Wählen Sie die Authentifizierungsrichtlinie für den Benutzer angewendet.

Konfigurieren von Unterstützung für dynamische Zugriffssteuerung auf Geräten und Hosts

Sie können TGT Lebensdauer konfigurieren, ohne die dynamische Zugriffssteuerung (DAC) konfigurieren. DAC ist nur für die Überprüfung der AllowedToAuthenticateFrom und AllowedToAuthenticateTo erforderlich.

Aktivieren Sie mithilfe der Gruppenrichtlinie oder Editor für lokale Gruppenrichtlinien Unterstützung des Kerberos-Clients für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz ermöglicht in Computerkonfiguration | Administrative Vorlagen | System | Kerberos:

Bildschirmfoto zeigt, wie mithilfe von Gruppenrichtlinien oder Editor für lokale Gruppenrichtlinien aktiviert ** Unterstützung des Kerberos-Clients für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz ermöglicht **

Beheben von Authentifizierungsrichtlinien

Bestimmen Sie die Konten, die direkt eine Authentifizierungsrichtlinie zugeordnet sind

Im Abschnitt "Konten" in die Authentifizierungsrichtlinie zeigt die Konten, die direkt die Richtlinie angewendet haben.

Bildschirmfoto des Abschnitts Konten in Authentifizierungsrichtlinie mit Konten, die direkt die Richtlinie angewendet.

Verwenden Sie die Richtlinie Authentifizierungsfehler??? Administrative Domain Controller-Protokoll

Ein neues Richtlinie Authentifizierungsfehler??? Domänencontroller administrative Protokoll unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > Authentifizierung erstellt wurden, um das Erkennen von Fehlern aufgrund von Authentifizierungsrichtlinien zu vereinfachen. Das Protokoll ist standardmäßig deaktiviert. Um es zu aktivieren, mit der rechten Maustaste in des Protokollnamens, und klicken Sie auf Protokoll aktivieren. Die neuen Ereignisse sind sehr ähnlich im Inhalt die vorhandenen Kerberos-TGT und Diensttickets überwachen. Weitere Informationen zu diesen Ereignissen finden Sie unter Authentifizierungsrichtlinien und Authentifizierung Richtlinie Silos.

Verwalten von Authentifizierungsrichtlinien mit Windows PowerShell

Dieser Befehl erstellt eine Authentifizierungsrichtlinie mit dem Namen TestAuthenticationPolicy. Die UserAllowedToAuthenticateFrom -Parameter gibt an, aus denen Benutzer, indem eine SDDL-Zeichenfolge in der Datei mit dem Namen someFile.txt authentifizieren können, Geräte.

PS C:\> New-ADAuthenticationPolicy testAuthenticationPolicy -UserAllowedToAuthenticateFrom (Get-Acl .\someFile.txt).sddl  

Dieser Befehl ruft alle Authentifizierungsrichtlinien, die die Filterkriterien entsprechen, die die Filter -Parameter gibt an.

PS C:\> Get-ADAuthenticationPolicy -Filter "Name -like 'testADAuthenticationPolicy*'" -Server Server02.Contoso.com  

Dieser Befehl ändert die Beschreibung und der UserTGTLifetimeMins Eigenschaften der angegebenen Authentifizierungsrichtlinie.

PS C:\> Set-ADAuthenticationPolicy -Identity ADAuthenticationPolicy1 -Description "Description" -UserTGTLifetimeMins 45  

Dieser Befehl entfernt die Authentifizierungsrichtlinie, die die Identität -Parameter gibt an.

PS C:\> Remove-ADAuthenticationPolicy -Identity ADAuthenticationPolicy1  

Dieser Befehl verwendet die Get-ADAuthenticationPolicy Cmdlet mit der Filter Parameter, um alle Authentifizierungsrichtlinien abzurufen, die nicht erzwungen werden. Resultset geleitet die Remove-ADAuthenticationPolicy Cmdlet.

PS C:\> Get-ADAuthenticationPolicy -Filter 'Enforce -eq $false' | Remove-ADAuthenticationPolicy  

Authentifizierung Richtlinie silos

Authentifizierung Richtlinie Silos ist ein neuer Container (Objektklasse MsDS-AuthNPolicySilos) für Benutzer, Computer und Dienstkonten in AD DS. Sie schützen hochwertige Konten möchten. Während Mitglieder der Gruppen Organisations-Admins "," Domänen-Admins "und" Schema-Admins zu schützen, da diese Konten durch einen Angreifer verwendet werden konnte, alle Elemente in der Gesamtstruktur den Zugriff auf alle Organisationen müssen, können andere Konten auch Schutz benötigen.

Einige Organisationen isolieren Arbeitslasten von Konten, die speziell für sie erstellen und Anwenden von Gruppenrichtlinien zum lokalen und interaktive Anmeldung und Administratorrechte beschränken. Authentifizierung Richtlinie Silos ergänzen diese Arbeit eine Möglichkeit zum Definieren einer Beziehung zwischen dem Benutzer, Computer und verwalteten Dienstkonten erstellen. Konten können nur zu einem Silo gehören. Sie können für jede Art von Konto Authentifizierungsrichtlinie konfigurieren, um zu steuern:

  1. Nicht verlängert TGT Lebensdauer

  2. Zugriff auf Steuerelement Bedingungen für die Rückgabe TGT (Hinweis: kann nicht auf Systemen angewendet, da Kerberos-Schutz ermöglicht erforderlich ist)

  3. Zugriffssteuerungsbedingungen für die Rückgabe des Diensttickets

Außerdem können E-Mail-Konten in einer Authentifizierung Richtlinie Silo einen Anspruch Silo, die zur Steuerung des Zugriffs von Ansprüche unterstützende Ressourcen wie z. B. Dateiserver verwendet werden können.

Eine neue Sicherheitsbeschreibung kann so konfiguriert werden, um zu steuern, die ausstellende Dienstticket basierend auf:

  • Benutzer, Sicherheitsgruppen des Benutzers und/oder Ansprüche des Benutzers

  • Geräte, des Geräts Sicherheitsgruppe und/oder Ansprüche des Geräts

Diese Informationen für die Ressource Domänencontroller erfordert die dynamische Zugriffssteuerung:

  • Benutzeransprüche:

    • Windows 8 und höher unterstützt die dynamische Zugriffssteuerung Clients

    • Kontodomäne unterstützt die dynamische Zugriffssteuerung und Ansprüche

  • Gerät bzw. Gerät-Sicherheitsgruppe:

    • Windows 8 und höher unterstützt die dynamische Zugriffssteuerung Clients

    • Ressourcen für die Verbundauthentifizierung konfiguriert

  • Geräteansprüche:

    • Windows 8 und höher unterstützt die dynamische Zugriffssteuerung Clients

    • Gerät Domäne unterstützt die dynamische Zugriffssteuerung und Ansprüche

    • Ressourcen für die Verbundauthentifizierung konfiguriert

Authentifizierungsrichtlinien für alle Mitglieder der eine Authentifizierung Richtlinie Silo statt auf die einzelnen Konten angewendet werden können, oder separate Authentifizierungsrichtlinien können auf verschiedene Arten von Konten in einem Silo angewendet werden. Z. B. eine Authentifizierungsrichtlinie privilegierter Benutzerkonten angewendet werden kann, und eine andere Richtlinie kann auf Dienstkonten angewendet werden. Mindestens eine Authentifizierungsrichtlinie muss erstellt werden, bevor eine Authentifizierung Richtlinie Silo erstellt werden kann.

Hinweis

Eine Authentifizierungsrichtlinie kann Mitglieder der eine Authentifizierung Richtlinie Silo angewendet werden, oder kann unabhängig von der Silos zum Einschränken der bestimmten Kontos Bereich angewendet werden. Beispielsweise kann um ein Konto oder eine kleine Gruppe von Konten zu schützen, eine Richtlinie auf diesen Konten festgelegt werden, ohne eine Silo Konten hinzu.

Sie können eine Authentifizierung Richtlinie Silo mithilfe von Active Directory-Verwaltungscenter oder Windows PowerShell erstellen. Wird standardmäßig eine Authentifizierung Richtlinie Silo nur überwacht Silo Richtlinien äquivalent mit der Angabe der WhatIf Parameter in Windows PowerShell-Cmdlets. In diesem Fall Richtlinie Silo Einschränkungen gelten nicht, aber überwacht werden generiert, um anzugeben, ob Fehler auftreten, wenn die Einschränkungen angewendet werden.

Um eine Authentifizierung Richtlinie Silo mithilfe von Active Directory-Verwaltungscenter erstellen

  1. Öffnen Active Directory-Verwaltungscenter, klicken Sie auf Authentifizierung, mit der rechten Maustaste Authentifizierung Richtlinie Silos, klicken Sie auf neu, und klicken Sie dann auf Authentifizierung Richtlinie Silo.

    Öffnen ** Active Directory Administrative Center **, klicken Sie auf ** Authentifizierung **, mit der rechten Maustaste ** Authentifizierung Richtlinie Silos **, klicken Sie auf ** ** neu, und klicken Sie dann auf ** Authentifizierung Richtlinie Silo **

  2. In Anzeigename, geben Sie einen Namen für die Silo. In Konten zulässig, klicken Sie auf hinzufügen, geben Sie die Namen der Konten, und klicken Sie dann auf OK. Sie können Benutzern, Computern und Dienstkonten angeben. Geben Sie dann, ob Sie eine Richtlinie für alle Hauptbenutzer oder eine separate Richtlinie für jeden Typ des Prinzipals, sowie den Namen der Richtlinie oder Richtlinien zu verwenden.

    In **Anzeigename**, geben Sie einen Namen für die Silo. In ** zulässig Konten **, klicken Sie auf ** Hinzufügen **, geben Sie die Namen der Konten, und klicken Sie dann auf ** OK **

Verwalten Sie Authentifizierung Richtlinie Silos mithilfe von Windows PowerShell.

Dieser Befehl erstellt eine Authentifizierung Silo Gruppenrichtlinienobjekt und erzwungen.

PS C:\>New-ADAuthenticationPolicySilo -Name newSilo ???Enforce  

Dieser Befehl ruft alle Authentifizierung Silos Richtlinie, die die Filterkriterien, die vom angegebenen entsprechen der Filter Parameter. Die Ausgabe übergeben, die Format-Tabelle Cmdlet, um den Namen der Richtlinie und der Wert für anzeigen erzwingen zu den einzelnen Richtlinien.

PS C:\>Get-ADAuthenticationPolicySilo -Filter 'Name -like "*silo*"' | Format-Table Name, Enforce ???AutoSize  

Name  Enforce  
--  ----  
silo     True  
silos   False  

Dieser Befehl verwendet die Get-ADAuthenticationPolicySilo Cmdlet mit der Filter Parameter erhalten alle Authentifizierung Richtlinie Silos, die nicht erzwungen werden und Pipe das Ergebnis des Filters an die Remove-ADAuthenticationPolicySilo Cmdlet.

PS C:\>Get-ADAuthenticationPolicySilo -Filter 'Enforce -eq $False' | Remove-ADAuthenticationPolicySilo  

Dieser Befehl gewährt Zugriff auf die Authentifizierung Richtlinie Silo mit dem Namen Silo dem Benutzerkonto mit dem Namen User01.

PS C:\>Grant-ADAuthenticationPolicySiloAccess -Identity Silo -Account User01  

Dieser Befehl hebt den Zugriff auf die Authentifizierung Richtlinie Silo mit dem Namen Silo für das Benutzerkonto mit der Bezeichnung User01. Da die bestätigen -Parameters $False, kein Bestätigungsdialogfeld angezeigt wird.

PS C:\>Revoke-ADAuthenticationPolicySiloAccess ???Identity Silo ???Account User01 ???Confirm:$False  

In diesem Beispiel wird zunächst die Get-ADComputer -Cmdlet zum Abrufen von Konten für alle Computer, die die Filterkriterien entsprechen, die die Filter -Parameter gibt an. Die Ausgabe dieses Befehls wird übergeben, um Set-ADAccountAuthenticatinPolicySilo Zuweisen der Authentifizierung Richtlinie Silo mit dem Namen Silo und die Authentifizierungsrichtlinie mit dem Namen AuthenticationPolicy02 werden.

PS C:\>Get-ADComputer ???Filter 'Name ???like "newComputer*"' | Set-ADAccountAuthenticationPolicySilo ???AuthenticationPolicySilo Silo ???AuthenticationPolicy AuthenticationPolicy02  
© 2017 Microsoft