Duale Registrierung
In diesem Artikel werden Windows Hello for Business Funktionen oder Szenarien beschrieben, die für Folgendes gelten:
- Bereitstellungstyp: lokal , für Organisationen, die
- Vertrauenstyp:.
- Jointyp:die Domäne anmelden. Microsoft Entra Hybrideinbindung
Wichtig
Die duale Registrierung ersetzt oder bietet nicht die gleiche Sicherheit wie die Privileged Access Workstations-Funktion. Microsoft empfiehlt Organisationen, die Arbeitsstationen mit privilegiertem Zugriff für ihre privilegierten Anmeldeinformationen zu verwenden. Organisationen können Windows Hello for Business doppelte Registrierung in Situationen in Betracht ziehen, in denen das Feature für privilegierten Zugriff nicht verwendet werden kann. Weitere Informationen finden Sie unter Arbeitsstationen mit privilegiertem Zugriff.
Mit der dualen Registrierung können Administratoren administrative Funktionen mit erhöhten Rechten ausführen, indem sie sowohl ihre nicht privilegierten als auch ihre privilegierten Anmeldeinformationen auf ihrem Gerät registrieren.
Standardmäßig listet Windows nicht alle Windows Hello for Business Benutzer aus der Sitzung eines Benutzers auf. Mithilfe der Gruppenrichtlinieneinstellung Enumeration emulierter smarter Karte für alle Benutzer zulassen können Sie ein Gerät so konfigurieren, dass alle registrierten Windows Hello for Business Anmeldeinformationen auf ausgewählten Geräten aufgelistet werden.
Mit dieser Einstellung können sich Administratoren mit ihren nicht privilegierten Windows Hello Anmeldeinformationen für einen normalen Workflow wie E-Mail bei Windows anmelden, aber sie können Microsoft Management Consoles (MMCs), Remotedesktopdienste-Clients und andere Anwendungen starten, indem Sie Als anderer Benutzer ausführen oder Als Administrator ausführen auswählen, das privilegierte Benutzerkonto auswählen und ihre PIN angeben. Administratoren können dieses Feature auch bei Befehlszeilenanwendungen nutzen, indem sie in Kombination mit dem /smartcard
Argument verwendenrunas.exe
. Dadurch können Administratoren ihre täglichen Vorgänge ausführen, ohne sich an- und abmelden zu müssen, oder einen schnellen Benutzerwechsel zu verwenden, wenn sie zwischen privilegierten und nicht privilegierten Workloads wechseln.
Wichtig
Sie müssen einen Windows-Computer für Windows Hello for Business duale Registrierung konfigurieren, bevor Benutzer (privilegierte oder nicht privilegierte) Windows Hello for Business. Die duale Registrierung ist eine spezielle Einstellung, die während der Erstellung für den container Windows Hello konfiguriert wird.
Konfigurieren Windows Hello for Business dualen Registrierung
Hier sind die Schritte zum Aktivieren der dualen Registrierung:
- Konfigurieren von Active Directory zur Unterstützung der Domänenadministratorregistrierung
- Konfigurieren der dualen Registrierung mit Gruppenrichtlinie
Konfigurieren von Active Directory zur Unterstützung der Domänenadministratorregistrierung
Die entworfene Windows Hello for Business-Konfiguration gewährt der Key Admins
Gruppe Lese- und Schreibberechtigungen für das msDS-KeyCredentialsLink
Attribut. Sie haben diese Berechtigungen im Stammverzeichnis der Domäne bereitgestellt und die Objektvererbung verwendet, um sicherzustellen, dass die Berechtigungen für alle Benutzer in der Domäne unabhängig von ihrem Standort innerhalb der Domänenhierarchie gelten.
Active Directory Domain Services verwendetAdminSDHolder
, um privilegierte Benutzer und Gruppen vor unbeabsichtigten Änderungen zu schützen, indem die Sicherheit für privilegierte Benutzer und Gruppen verglichen und ersetzt wird, um den für das AdminSDHolder-Objekt definierten Benutzern in einem stündlichen Zyklus zu entsprechen. Für Windows Hello for Business erhält Ihr Domänenadministratorkonto möglicherweise die Berechtigungen, aber sie werden aus dem Benutzerobjekt ausgeblendet, es sei denn, Sie erteilen dem msDS-KeyCredential
Attribut LeseAdminSDHolder
- und Schreibberechtigungen.
Melden Sie sich bei einem Domänencontroller oder einer Verwaltungsarbeitsstation mit Zugriff an, der dem Domänenadministrator entspricht.
Geben Sie den folgenden Befehl ein, um die Eigenschaftenberechtigungen lese- und schreibgeschützt für das MsDS-KeyCredentialLink-Attribut für die
Key Admins
Gruppe für dasAdminSDHolder
Objekt hinzuzufügen.dsacls "CN=AdminSDHolder,CN=System,DC=domain,DC=com" /g "[domainName\keyAdminGroup]":RPWP;msDS-KeyCredentialLink
Dabei
DC=domain,DC=com
ist der LDAP-Pfad Ihrer Active Directory-Domäne unddomainName\keyAdminGroup
der NetBIOS-Name Ihrer Domäne und der Name der Gruppe, die Sie verwenden, um zugriff auf Schlüssel basierend auf Ihrer Bereitstellung zu gewähren. Zum Beispiel:dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=mstepdemo,DC=net" /g "mstepdemo\Key Admins":RPWP;msDS-KeyCredentialLink
Öffnen
ldp.exe
Sie , um die Weitergabe von Sicherheitsbeschreibungen auszulösen.Wählen Sie Verbindung und dann Verbinden aus. Geben Sie neben Server den Namen des Domänencontrollers ein, der die PDC-Rolle für die Domäne enthält. Geben Sie neben Port389 ein, und wählen Sie OK aus.
Wählen Sie Verbindung und dann Binden aus. Wählen Sie OK aus, um als aktuell angemeldeter Benutzer zu binden.
Wählen Sie Browser und dann Ändern aus. Lassen Sie das Textfeld DN leer. Geben Sie neben Attributdie Zeichenfolge RunProtectAdminGroupsTask ein. Geben Sie neben Werte ein
1
. Drücken Sie die EINGABETASTE , um dies der Eintragsliste hinzuzufügen.Wählen Sie Ausführen aus, um die Aufgabe zu starten.
Schließen Sie LDP.
Konfigurieren der dualen Registrierung mit Einer Gruppenrichtlinie
Sie konfigurieren Windows für die Unterstützung der dualen Registrierung mithilfe des Computerkonfigurationsteils eines Gruppenrichtlinie-Objekts:
Erstellen Sie mithilfe der Gruppenrichtlinie Management Console (GPMC) ein neues domänenbasiertes Gruppenrichtlinie-Objekt, und verknüpfen Sie es mit einer Organisationseinheit, die Active Directory-Computerobjekte enthält, die von privilegierten Benutzern verwendet werden.
Bearbeiten Sie das Gruppenrichtlinie-Objekt aus Schritt 1.
Aktivieren Sie die Richtlinieneinstellung Enumeration emulierter Smartcards für alle Benutzer zulassen unter Computerkonfiguration-Administrative> Vorlagen-Windows-Komponenten-Windows Hello for Business>>
Schließen Sie die Gruppenrichtlinie Management Editor, um das Gruppenrichtlinie-Objekt zu speichern. Schließen Sie die GPMC.
Starten Sie Computer, auf die dieses Gruppenrichtlinie-Objekt abzielt, neu.
Der Computer ist bereit für die duale Registrierung. Melden Sie sich zuerst als privilegierter Benutzer an, und registrieren Sie sich für Windows Hello for Business. Melden Sie sich nach Abschluss des Vorgangs ab, melden Sie sich als nicht privilegierter Benutzer an, und registrieren Sie sich für Windows Hello for Business. Sie können jetzt Ihre privilegierten Anmeldeinformationen verwenden, um privilegierte Aufgaben auszuführen, ohne Ihr Kennwort zu verwenden und ohne benutzerwechseln zu müssen.