Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit onderwerp voor IT-professionals worden verificatiebeleidssilo's en het beleid beschreven dat accounts tot deze silo's kan beperken. Ook wordt uitgelegd hoe verificatiebeleid kan worden gebruikt om het bereik van accounts te beperken.
Verificatiebeleidsilo's en het bijbehorende beleid bieden een manier om inloggegevens met hoge bevoegdheden te beperken tot systemen die specifiek relevant zijn voor geselecteerde gebruikers, computers of diensten. Silo's kunnen worden gedefinieerd en beheerd in Active Directory Domain Services (AD DS) met behulp van het Active Directory-beheercentrum en de Active Directory Windows PowerShell-cmdlets.
Verificatiebeleidssilo's zijn containers waaraan beheerders gebruikersaccounts, computeraccounts en serviceaccounts kunnen toewijzen. Accountsets kunnen vervolgens worden beheerd door het verificatiebeleid dat op deze container is toegepast. Dit vermindert de noodzaak voor de beheerder om de toegang tot resources voor afzonderlijke accounts bij te houden en helpt te voorkomen dat kwaadwillende gebruikers toegang krijgen tot andere resources via referentiediefstal.
Dankzij de mogelijkheden die zijn geïntroduceerd in Windows Server 2012 R2, kunt u verificatiebeleidssilo's maken, die een set gebruikers met hoge bevoegdheden hosten. Vervolgens kunt u verificatiebeleid voor deze container toewijzen om te beperken waar bevoegde accounts in het domein kunnen worden gebruikt. Wanneer accounts zich in de beveiligingsgroep Beveiligde gebruikers bevinden, worden aanvullende besturingselementen toegepast, zoals het exclusieve gebruik van het Kerberos-protocol.
Met deze mogelijkheden kunt u het gebruik van accounts met een hoge waarde beperken tot hosts met een hoge waarde. U kunt bijvoorbeeld een nieuwe forestbeheerderssilo maken die ondernemings-, schema- en domeinbeheerders bevat. Vervolgens kunt u de silo configureren met een verificatiebeleid, zodat verificatie op basis van wachtwoorden en smartcards van andere systemen dan domeincontrollers en domeinbeheerdersconsoles mislukt.
Zie Beveiligde accounts configureren voor meer informatie over het configureren van verificatiebeleidssilo's en verificatiebeleidsregels.
Informatie over verificatiebeleidssilo's
Een verificatiebeleidssilo bepaalt welke accounts door de silo kunnen worden beperkt en definieert het verificatiebeleid dat moet worden toegepast op de leden. U kunt de silo maken op basis van de vereisten van uw organisatie. De silo's zijn Active Directory-objecten voor gebruikers, computers en services, zoals gedefinieerd door het schema in de volgende tabel.
Active Directory-schema voor verificatiebeleidssilo's
| Weergavenaam | Beschrijving |
|---|---|
| Verificatiebeleidssilo | Een exemplaar van deze klasse definieert verificatiebeleid en gerelateerd gedrag voor toegewezen gebruikers, computers en services. |
| Verificatiebeleidssilo's | Een container van deze klasse kan siloobjecten voor verificatiebeleid bevatten. |
| Afgedwongen authenticatiebeleid silo | Hiermee wordt aangegeven of de verificatiebeleidssilo wordt afgedwongen. Als het beleid niet wordt afgedwongen, bevindt het beleid zich standaard in de controlemodus. Gebeurtenissen die duiden op mogelijke successen en fouten worden gegenereerd, maar beveiligingen worden niet toegepast op het systeem. |
| Toegewezen verificatiebeleid-silo Backlink | Dit kenmerk is de terugkoppeling voor msDS-AssignedAuthNPolicySilo. |
| Leden van verificatiebeleidssilo | Geeft op welke gebruikers zijn toegewezen aan AuthNPolicySilo. |
| Backlink van leden van verificatiebeleidssilo | Dit kenmerk is de teruglink voor msDS-AuthNPolicySiloMembers. |
Verificatiebeleidssilo's kunnen worden geconfigureerd met behulp van de Active Directory-beheerconsole of Windows PowerShell. Zie Beveiligde accounts configureren voor meer informatie.
Over verificatiebeleid
Een verificatiebeleid definieert de levensduureigenschappen van het Kerberos-protocol ticket-granting ticket (TGT) en de voorwaarden voor verificatietoegangsbeheer voor een accounttype. Het beleid is gebaseerd op en beheert de AD DS-container die bekendstaat als de 'silo voor verificatiebeleid'.
Verificatiebeleid bepaalt het volgende:
De TGT-levensduur voor het account, dat is ingesteld op niet-verlengbaar.
De criteria waaraan apparaataccounts moeten voldoen om u aan te melden met een wachtwoord of een certificaat.
De criteria waaraan gebruikers en apparaten moeten voldoen om zich te authenticeren bij services die onder het account vallen.
Het Active Directory-accounttype bepaalt de rol van de beller als een van de volgende opties:
gebruiker
Gebruikers moeten altijd lid zijn van de beveiligingsgroep Beveiligde gebruikers, die standaard pogingen tot verificatie weigert met behulp van NTLM.
Beleidsregels kunnen worden geconfigureerd om de TGT-levensduur van een gebruikersaccount in te stellen op een kortere waarde of de apparaten te beperken waarop een gebruikersaccount zich kan aanmelden. Uitgebreide expressies kunnen worden geconfigureerd in het verificatiebeleid om de criteria te bepalen waaraan de gebruikers en hun apparaten moeten voldoen om te verifiëren bij de service.
Zie Beveiligde gebruikersbeveiligingsgroep voor meer informatie.
Service
Zelfstandige beheerde serviceaccounts, door groepen beheerde serviceaccounts of een aangepast accountobject dat is afgeleid van deze twee typen serviceaccounts, worden gebruikt. Beleidsregels kunnen de toegangsbeheervoorwaarden van een apparaat instellen, die worden gebruikt om referenties van een beheerd serviceaccount te beperken tot specifieke apparaten met een Active Directory-identiteit. Services mogen nooit lid zijn van de beveiligingsgroep Beveiligde gebruikers, omdat alle binnenkomende verificatie mislukt.
Computer
Het computeraccountobject of het aangepaste accountobject, dat van het computeraccountobject is afgeleid, wordt gebruikt. Beleidsregels kunnen de voorwaarden voor toegangsbeheer instellen die vereist zijn om verificatie voor het account toe te staan op basis van gebruikers- en apparaateigenschappen. Computers mogen nooit lid zijn van de beveiligingsgroep Beveiligde gebruikers, omdat alle binnenkomende verificatie mislukt. Pogingen om NTLM-verificatie te gebruiken, worden standaard geweigerd. Een TGT-levensduur mag niet worden geconfigureerd voor computeraccounts.
Opmerking
Het is mogelijk om een verificatiebeleid in te stellen voor een set accounts zonder het beleid te koppelen aan een verificatiebeleidssilo. U kunt deze strategie gebruiken wanneer u één account hebt om te beveiligen.
Active Directory-schema voor verificatiebeleid
Het beleid voor de Active Directory-objecten voor gebruikers, computers en services wordt gedefinieerd door het schema in de volgende tabel.
| Typ | Weergavenaam | Beschrijving |
|---|---|---|
| Beleid | Verificatiebeleid | Een exemplaar van deze klasse definieert verificatiebeleidsgedrag voor toegewezen principals. |
| Beleid | Verificatiebeleid | Een container van deze klasse kan verificatiebeleidsobjecten bevatten. |
| Beleid | Afgedwongen verificatiebeleid | Bepaalt of het verificatiebeleid wordt afgedwongen. Wanneer het beleid niet wordt afgedwongen, bevindt het zich standaard in de controlemodus. Gebeurtenissen die op mogelijke successen en mislukkingen wijzen, worden wel gegenereerd, maar beveiligingen worden niet op het systeem toegepast. |
| Beleid | Backlink van toegewezen verificatiebeleid | Dit kenmerk is de terugkoppeling voor msDS-AssignedAuthNPolicy. |
| Beleid | Toegewezen verificatiebeleid | Hiermee geeft u op welke AuthNPolicy moet worden toegepast op deze principal. |
| Gebruiker | Gebruikersverificatiebeleid | Hiermee geeft u op welke AuthNPolicy moet worden toegepast op gebruikers die zijn toegewezen aan dit siloobject. |
| Gebruiker | Backlink voor gebruikersverificatiebeleid | Dit kenmerk is de back-koppeling voor msDS-UserAuthNPolicy. |
| Gebruiker | ms-DS-User-Allowed-To-Authenticate-To | Dit kenmerk wordt gebruikt om te bepalen welke set van gebruikers de toestemming heeft om te authenticeren bij een dienst die actief is onder het gebruikersaccount. |
| Gebruiker | ms-DS-Gebruiker-Toegestaan-Om-Authenticate-From | Dit kenmerk wordt gebruikt om de set apparaten te bepalen waarop een gebruikersaccount is gemachtigd om zich aan te melden. |
| Gebruiker | TGT-levensduur van gebruiker | Hiermee geeft u de maximale leeftijd van een Kerberos TGT die wordt uitgegeven aan een gebruiker (uitgedrukt in seconden). Resulterende TGT's zijn niet hernieuwbaar. |
| Computer | Computerverificatiebeleid | Hiermee geeft u op welke AuthNPolicy moet worden toegepast op computers die zijn toegewezen aan dit siloobject. |
| Computer | Backlink voor computerverificatiebeleid | Dit kenmerk is de back-koppeling voor msDS-ComputerAuthNPolicy. |
| Computer | ms-DS-Computer-Toegestaan-Authenticate-To | Dit kenmerk wordt gebruikt om de set principals te bepalen die mogen worden geverifieerd bij een service die wordt uitgevoerd onder het computeraccount. |
| Computer | Levensduur van de TGT-computer | Hiermee geeft u de maximale leeftijd van een Kerberos TGT die wordt uitgegeven aan een computer (uitgedrukt in seconden). Het wordt afgeraden deze instelling te wijzigen. |
| Dienst | Serviceverificatiebeleid | Hiermee geeft u op welke AuthNPolicy moet worden toegepast op services die zijn toegewezen aan dit siloobject. |
| Dienst | Backlink voor serviceverificatiebeleid | Dit attribuut is de terugkoppeling voor msDS-ServiceAuthNPolicy. |
| Dienst | ms-DS-Service-Allowed-To-Authenticate-To | Dit kenmerk wordt gebruikt om de set principals te bepalen die zich mogen authenticeren bij een service die onder het service-account draait. |
| Dienst | ms-DS-Service-Allowed-To-Authenticate-From | Dit kenmerk wordt gebruikt om de set apparaten te bepalen waarop een serviceaccount is gemachtigd om zich aan te melden. |
| Dienst | TGT-levensduur van service | Specificeert de maximale leeftijd van een Kerberos TGT die wordt uitgegeven aan een service (uitgedrukt in seconden). |
Verificatiebeleidsregels kunnen voor elke silo worden geconfigureerd met behulp van de Active Directory-beheerconsole of Windows PowerShell. Zie Beveiligde accounts configureren voor meer informatie.
Hoe het werkt
In deze sectie wordt beschreven hoe verificatiebeleidssilo's en verificatiebeleid werken in combinatie met de beveiligingsgroep Beveiligde gebruikers en de implementatie van het Kerberos-protocol in Windows.
Beveiligde accounts
De beveiligingsgroep Beveiligde gebruikers activeert niet-configureerbare beveiliging op apparaten en hostcomputers met Windows Server 2012 R2 en Windows 8.1, en op domeincontrollers in domeinen met een primaire domeincontroller met Windows Server 2012 R2. Afhankelijk van het functionele domeinniveau van het account, worden leden van de beveiligingsgroep Beveiligde gebruikers verder beveiligd vanwege wijzigingen in de verificatiemethoden die worden ondersteund in Windows.
Het lid van de beveiligingsgroep Beveiligde gebruikers kan niet verifiëren met behulp van standaardreferentiedelegering van NTLM, Digest Authentication of CredSSP. Op een apparaat met Windows 8.1 dat gebruikmaakt van een van deze SSP's (Security Support Providers), mislukt de verificatie voor een domein wanneer het account lid is van de beveiligingsgroep Beveiligde gebruikers.
Het Kerberos-protocol maakt geen gebruik van de zwakkere DES- of RC4-versleutelingstypen in het proces voor verificatie vooraf. Dit betekent dat het domein moet worden geconfigureerd om ten minste het AES-versleutelingstype te ondersteunen.
Het account van de gebruiker kan niet worden gedelegeerd met beperkte of niet-getrainde Kerberos-delegering. Dit betekent dat voormalige verbindingen met andere systemen mogelijk mislukken als de gebruiker lid is van de beveiligingsgroep Beveiligde gebruikers.
De standaardinstelling voor de Levensduur van Kerberos TGT's van vier uur kan worden geconfigureerd met behulp van verificatiebeleid en silo's, die toegankelijk zijn via het Active Directory-beheercentrum. Dit betekent dat wanneer vier uur is verstreken, de gebruiker zich opnieuw moet verifiëren.
Zie Hoe de groep Beveiligde gebruikers werkt voor meer informatie over deze beveiligingsgroep.
Silo's en verificatiebeleid
Authenticatiebeleidssilo's en authenticatiebeleid maken gebruik van de bestaande windows-verificatie-infrastructuur. Het gebruik van het NTLM-protocol wordt geweigerd en het Kerberos-protocol met nieuwere versleutelingstypen wordt gebruikt. Verificatiebeleid vormt een aanvulling op de beveiligingsgroep Beveiligde gebruikers door een manier te bieden om configureerbare beperkingen toe te passen op accounts, naast het bieden van beperkingen voor accounts voor services en computers. Verificatiebeleid wordt afgedwongen tijdens de kerberos-protocolverificatieservice (AS) of TGS-uitwisseling (Ticket-Granting Service). Zie voor meer informatie over hoe Windows gebruikmaakt van het Kerberos-protocol en welke wijzigingen zijn aangebracht om verificatiebeleidssilo's en verificatiebeleid te ondersteunen:
Wijzigingen in Kerberos-verificatie (Windows Server 2008 R2 en Windows 7)
Hoe het Kerberos-protocol wordt gebruikt met verificatiebeleidssilo's en -beleid
Wanneer een domeinaccount is gekoppeld aan een verificatiebeleidssilo en de gebruiker zich aanmeldt, voegt Security Accounts Manager het claimtype verificatiebeleidssilo toe dat de silo als waarde bevat. Deze claim op het account verschaft toegang tot de doelsilo.
Wanneer een verificatiebeleid wordt afgedwongen en de verificatieserviceaanvraag voor een domeinaccount wordt ontvangen op de domeincontroller, retourneert de domeincontroller een niet-hernieuwbare TGT met de geconfigureerde levensduur (tenzij de levensduur van het domein korter is).
Opmerking
Het domeinaccount moet een geconfigureerde TGT-levensduur hebben en moet rechtstreeks zijn gekoppeld aan het beleid of indirect via het silolidmaatschap.
Wanneer een verificatiebeleid zich in de controlemodus bevindt en de verificatieserviceaanvraag voor een domeinaccount wordt ontvangen op de domeincontroller, controleert de domeincontroller of verificatie is toegestaan voor het apparaat, zodat er een waarschuwing kan worden vastgelegd als er een fout optreedt. Een gecontroleerd verificatiebeleid wijzigt het proces niet, dus verificatieaanvragen mislukken niet als ze niet voldoen aan de vereisten van het beleid.
Opmerking
Het domeinaccount moet rechtstreeks zijn gekoppeld aan het beleid of indirect via het silolidmaatschap.
Wanneer een verificatiebeleid wordt afgedwongen en de verificatieservice is beveiligd, wordt de verificatieserviceaanvraag voor een domeinaccount ontvangen op de domeincontroller, de domeincontroller controleert of verificatie is toegestaan voor het apparaat. Als dit mislukt, retourneert de domeincontroller een foutbericht en registreert een gebeurtenis.
Opmerking
Het domeinaccount moet rechtstreeks zijn gekoppeld aan het beleid of indirect via het silolidmaatschap.
Wanneer een verificatiebeleid zich in de controlemodus bevindt en een serviceaanvraag voor tickettoekenning wordt ontvangen door de domeincontroller voor een domeinaccount, controleert de domeincontroller of verificatie is toegestaan op basis van de pac-gegevens (Ticket Privilege Attribute Certificate) van de aanvraag en wordt er een waarschuwingsbericht weergegeven als dit mislukt. Het PAC bevat verschillende soorten autorisatiegegevens, waaronder groepen waarvan de gebruiker lid is, rechten die de gebruiker heeft en welk beleid van toepassing is op de gebruiker. Deze informatie wordt gebruikt om het toegangstoken van de gebruiker te genereren. Als het een afgedwongen verificatiebeleid is dat verificatie toestaat voor een gebruiker, apparaat of service, controleert de domeincontroller of verificatie is toegestaan op basis van de PAC-gegevens van de aanvraag. Als dit mislukt, retourneert de domeincontroller een foutbericht en registreert een gebeurtenis.
Opmerking
Het domeinaccount moet rechtstreeks worden gekoppeld of gekoppeld via silolidmaatschap aan een gecontroleerd verificatiebeleid dat verificatie toestaat aan een gebruiker, apparaat of service,
U kunt één verificatiebeleid gebruiken voor alle leden van een silo of u kunt afzonderlijke beleidsregels gebruiken voor gebruikers, computers en beheerde serviceaccounts.
Verificatiebeleidsregels kunnen voor elke silo worden geconfigureerd met behulp van de Active Directory-beheerconsole of Windows PowerShell. Zie Beveiligde accounts configureren voor meer informatie.
Hoe het beperken van een gebruikersaanmelding werkt
Omdat deze verificatiebeleidsregels worden toegepast op een account, geldt dit ook voor accounts die door services worden gebruikt. Als u het gebruik van een wachtwoord voor een service wilt beperken tot specifieke hosts, is deze instelling handig. Beheerde serviceaccounts voor groepen worden bijvoorbeeld geconfigureerd waar de hosts het wachtwoord mogen ophalen uit Active Directory Domain Services. Dit wachtwoord kan echter worden gebruikt vanaf elke host voor initiële verificatie. Door een voorwaarde voor toegangsbeheer toe te passen, kan een extra beveiligingslaag worden bereikt door het wachtwoord te beperken tot alleen de set hosts die het wachtwoord kunnen ophalen.
Wanneer services die worden uitgevoerd als systeem, netwerkservice of andere lokale service-identiteit, verbinding maken met netwerkservices, gebruiken ze het computeraccount van de host. Computeraccounts kunnen niet worden beperkt. Dus zelfs als de service een computeraccount gebruikt dat niet voor een Windows-host is, kan deze niet worden beperkt.
Als u gebruikersaanmelding beperkt tot specifieke hosts, moet de domeincontroller de identiteit van de host valideren. Bij het gebruik van Kerberos-verificatie met Kerberos-beveiliging (dat deel uitmaakt van Dynamisch toegangsbeheer), wordt het Key Distribution Center geleverd met de TGT van de host van waaruit de gebruiker wordt geverifieerd. De inhoud van deze gepantserde TGT wordt gebruikt om een toegangscontrole te voltooien om te bepalen of de host toegang heeft.
Wanneer een gebruiker zich aanmeldt bij Windows of zijn/haar domeinreferenties invoert in een referentieprompt voor een toepassing, verzendt Windows standaard een unarmored AS-REQ naar de domeincontroller. Als de gebruiker de aanvraag verzendt vanaf een computer die geen ondersteuning biedt voor beveiliging, zoals computers met Windows 7 of Windows Vista, mislukt de aanvraag.
In de volgende lijst wordt het proces beschreven:
De domeincontroller in een domein met Windows Server 2012 R2 query's voor het gebruikersaccount en bepaalt of deze is geconfigureerd met een verificatiebeleid dat de eerste verificatie beperkt waarvoor gepantserde aanvragen zijn vereist.
De domeincontroller mislukt de aanvraag.
Omdat armoring vereist is, kan de gebruiker zich aanmelden met een computer met Windows 8.1 of Windows 8, die is ingeschakeld om Kerberos armoring te ondersteunen om het aanmeldingsproces opnieuw uit te voeren.
Windows detecteert dat het domein Kerberos-beveiliging ondersteunt en verzendt een gepantserde AS-REQ om het aanmeldingsverzoek opnieuw te proberen.
De domeincontroller voert een toegangscontrole uit met behulp van de geconfigureerde voorwaarden voor toegangsbeheer en de identiteitsgegevens van het clientbesturingssysteem in de TGT die is gebruikt om de aanvraag te beveiligen.
Als de toegangscontrole mislukt, weigert de domeincontroller de aanvraag.
Zelfs wanneer besturingssystemen Kerberos-beveiliging ondersteunen, kunnen vereisten voor toegangsbeheer worden toegepast en moeten worden voldaan voordat toegang wordt verleend. Gebruikers melden zich aan bij Windows of voeren hun domeinreferenties in bij een referentieprompt voor een toepassing. Windows verzendt standaard een ongepantserde AS-REQ naar de domeincontroller. Als de gebruiker de aanvraag verzendt vanaf een computer die beveiliging ondersteunt, zoals Windows 8.1 of Windows 8, worden verificatiebeleid als volgt geëvalueerd:
De domeincontroller in een domein met Windows Server 2012 R2 query's voor het gebruikersaccount en bepaalt of deze is geconfigureerd met een verificatiebeleid dat de eerste verificatie beperkt waarvoor gepantserde aanvragen zijn vereist.
De domeincontroller voert een toegangscontrole uit met behulp van de geconfigureerde toegangsbeheervoorwaarden en de identiteitsgegevens van het systeem in de TGT die wordt gebruikt om de aanvraag te beveiligen. De toegangscontrole slaagt.
Opmerking
Als verouderde werkgroepbeperkingen zijn geconfigureerd, moeten deze ook worden voldaan.
De domeincontroller reageert met een gepantserd antwoord (AS-REP) en de verificatie wordt voortgezet.
Hoe het beperken van serviceticketuitgifte werkt
Wanneer een account niet is toegestaan en een gebruiker met een TGT verbinding probeert te maken met de service (bijvoorbeeld door een toepassing te openen waarvoor verificatie is vereist voor een service die wordt geïdentificeerd door de service-principalnaam (SPN), vindt de volgende reeks plaats:
In een poging om verbinding te maken met SPN1 vanuit SPN, verzendt Windows een TGS-REQ naar de domeincontroller die een serviceticket aanvraagt naar SPN1.
De domeincontroller in een domein met Windows Server 2012 R2 zoekt SPN1 op om het Active Directory Domain Services-account voor de service te vinden en bepaalt dat het account is geconfigureerd met een verificatiebeleid dat de uitgifte van servicetickets beperkt.
De domeincontroller voert een toegangscontrole uit met behulp van de geconfigureerde voorwaarden voor toegangsbeheer en de identiteitsgegevens van de gebruiker in de TGT. De toegangscontrole mislukt.
De domeincontroller weigert de aanvraag.
Wanneer een account is toegestaan omdat het account voldoet aan de voorwaarden voor toegangsbeheer die zijn ingesteld door het verificatiebeleid en een gebruiker met een TGT probeert verbinding te maken met de service (bijvoorbeeld door een toepassing te openen waarvoor verificatie is vereist voor een service die wordt geïdentificeerd door de SPN van de service), vindt de volgende volgorde plaats:
In een poging om verbinding te maken met SPN1, verzendt Windows een TGS-REQ naar de domeincontroller die een serviceticket aanvraagt naar SPN1.
De domeincontroller in een domein met Windows Server 2012 R2 zoekt SPN1 op om het Active Directory Domain Services-account voor de service te vinden en bepaalt dat het account is geconfigureerd met een verificatiebeleid dat de uitgifte van servicetickets beperkt.
De domeincontroller voert een toegangscontrole uit met behulp van de geconfigureerde voorwaarden voor toegangsbeheer en de identiteitsgegevens van de gebruiker in de TGT. De toegangscontrole slaagt.
De domeincontroller reageert op de aanvraag met een antwoord op de ticketverleningsservice (TGS-REP).
Gekoppelde fout- en informatieve gebeurtenisberichten
In de volgende tabel worden de gebeurtenissen beschreven die zijn gekoppeld aan de beveiligingsgroep Beveiligde gebruikers en het verificatiebeleid dat wordt toegepast op verificatiebeleidssilo's.
De gebeurtenissen worden vastgelegd in de logboeken toepassingen en services bij Microsoft\Windows\Authentication.
Zie Problemen met verificatiebeleid oplossen en gebeurtenissen met betrekking tot beveiligde gebruikers oplossen voor probleemoplossingsstappen.
| Gebeurtenis-id en logboek | Beschrijving |
|---|---|
| 101 AuthenticatiebeleidFouten-DomeinController |
Reden: Er treedt een NTLM-aanmeldingsfout op omdat het verificatiebeleid is geconfigureerd. Een gebeurtenis wordt geregistreerd op de domeincontroller om aan te geven dat NTLM-verificatie is mislukt omdat er beperkingen voor toegangsbeheer zijn vereist en deze beperkingen kunnen niet worden toegepast op NTLM. Geeft de namen van het account, apparaat, beleid en silo weer. |
| 105 AuthenticatiebeleidMislukkingen-DomainController |
Reden: Er treedt een Kerberos-beperkingsfout op omdat de verificatie van een bepaald apparaat niet is toegestaan. Er wordt een gebeurtenis geregistreerd op de domeincontroller om aan te geven dat een Kerberos TGT is geweigerd omdat het apparaat niet voldoet aan de afgedwongen beperkingen voor toegangsbeheer. Geeft het account, apparaat, beleid, silonamen en TGT-levensduur weer. |
| 305 AuthenticationPolicyFailures-Domeincontroller |
Reden: Er kan een mogelijke Kerberos-beperkingsfout optreden omdat de verificatie van een bepaald apparaat niet is toegestaan. In de controlemodus wordt een informatieve gebeurtenis vastgelegd in de domeincontroller om te bepalen of een Kerberos TGT wordt geweigerd omdat het apparaat niet voldoet aan de beperkingen voor toegangsbeheer. Geeft het account, apparaat, beleid, silonamen en TGT-levensduur weer. |
| 106 AuthenticatiebeleidFouten-Domeincontroller |
Reden: Er treedt een Kerberos-beperkingsfout op omdat de gebruiker of het apparaat niet is toegestaan om te verifiëren bij de server. Een gebeurtenis wordt geregistreerd op de domeincontroller om aan te geven dat een Kerberos-serviceticket is geweigerd omdat de gebruiker, het apparaat of beide niet voldoen aan de afgedwongen beperkingen voor toegangsbeheer. Geeft de apparaat-, beleids- en silonamen weer. |
| 306 AuthenticationPolicyFailures-Domeincontroller |
Reden: er kan een Kerberos-beperkingsfout optreden omdat de gebruiker of het apparaat niet is toegestaan om te verifiëren bij de server. In de controlemodus wordt een informatieve gebeurtenis geregistreerd op de domeincontroller om aan te geven dat een Kerberos-serviceticket wordt geweigerd omdat de gebruiker, het apparaat of beide niet voldoen aan de beperkingen voor toegangsbeheer. Geeft de apparaat-, beleids- en silonamen weer. |
Aanvullende verwijzingen
Beveiligde accounts configureren