Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym temacie dla specjalistów IT opisano silosy polityki uwierzytelniania oraz zasady, które mogą ograniczać konta do tych silosów. Wyjaśniono również, jak można użyć zasad uwierzytelniania w celu ograniczenia zakresu kont.
Silosy zasad uwierzytelniania i towarzyszące zasady zapewniają sposób przechowywania poświadczeń o wysokim poziomie uprawnień do systemów, które są istotne tylko dla wybranych użytkowników, komputerów lub usług. Silosy można definiować i zarządzać w usługach Active Directory Domain Services (AD DS) przy użyciu Centrum administracyjnego usługi Active Directory i poleceń cmdlet programu Windows PowerShell usługi Active Directory.
Silosy zasad uwierzytelniania to kontenery, do których administratorzy mogą przypisywać konta użytkowników, konta komputerów i konta usług. Zestawy kont można następnie zarządzać za pomocą zasad uwierzytelniania, które zostały zastosowane do tego kontenera. Zmniejsza to potrzebę śledzenia dostępu przez administratora do zasobów dla poszczególnych kont i pomaga zapobiec dostępowi złośliwych użytkowników do innych zasobów za pośrednictwem kradzieży poświadczeń.
Funkcje wprowadzone w systemie Windows Server 2012 R2 umożliwiają tworzenie silosów zasad uwierzytelniania, które hostuje zestaw użytkowników z wysokimi uprawnieniami. Następnie można przypisać zasady uwierzytelniania dla tego kontenera, aby ograniczyć miejsca, w którym można używać kont uprzywilejowanych w domenie. Gdy konta znajdują się w grupie zabezpieczeń Chronieni użytkownicy, są stosowane dodatkowe mechanizmy kontroli, takie jak wyłączne użycie protokołu Kerberos.
Dzięki tym funkcjom można ograniczyć użycie konta o wysokiej wartości do hostów o wysokiej wartości. Można na przykład utworzyć nowy silos Administratorzy lasu, który zawiera administratorów przedsiębiorstwa, schematu i domeny. Następnie można skonfigurować silos z zasadami uwierzytelniania, tak aby uwierzytelnianie oparte na hasłach i kartach inteligentnych z systemów innych niż kontrolery domeny i konsole administratora domeny nie powiodło się.
Aby uzyskać informacje na temat konfigurowania silosów zasad uwierzytelniania i zasad uwierzytelniania, zobacz How to Configure Protected Accounts (Jak skonfigurować chronione konta).
Informacje o silosach zasad uwierzytelniania
Silos zasad uwierzytelniania kontroluje, które konta mogą być przez niego ograniczane, i definiuje zasady uwierzytelniania stosowane do jego członków. Silos można utworzyć na podstawie wymagań organizacji. Silosy są obiektami usługi Active Directory dla użytkowników, komputerów i usług zgodnie ze schematem w poniższej tabeli.
Schemat usługi Active Directory dla silosów zasad uwierzytelniania
| Wyświetlana nazwa | Opis |
|---|---|
| Silos polityki uwierzytelniania | Wystąpienie tej klasy definiuje zasady uwierzytelniania i powiązane zachowania dla przypisanych użytkowników, komputerów i usług. |
| Silosy zasad uwierzytelniania | Kontener tej klasy może zawierać obiekty silosu zasad uwierzytelniania. |
| Wymuszone odizolowane zasady uwierzytelniania | Określa, czy strefa zasad uwierzytelniania jest wymuszana. Jeśli zasada nie jest wymuszana, domyślnie jest w trybie inspekcji. Zdarzenia wskazujące potencjalne sukcesy i niepowodzenia są generowane, ale zabezpieczenia nie są stosowane do systemu. |
| Przypisany link wsteczny polityki uwierzytelniania w silosie | Ten atrybut jest odnośnikiem zwrotnym dla msDS-AssignedAuthNPolicySilo. |
| Elementy członkowskie silosu zasad uwierzytelniania | Określa, które podmioty zabezpieczeń są przypisane do AuthNPolicySilo. |
| Link wsteczny członków silosu zasad uwierzytelniania | Ten atrybut jest linkiem wstecznym dla msDS-AuthNPolicySiloMembers. |
Silosy zasad uwierzytelniania można skonfigurować przy użyciu konsoli administracyjnej usługi Active Directory lub programu Windows PowerShell. Aby uzyskać więcej informacji, zobacz Jak skonfigurować chronione konta.
Informacje o zasadach uwierzytelniania
Zasady uwierzytelniania definiują właściwości okresu ważności biletu przyznawania biletów (TGT) protokołu Kerberos i warunki kontroli dostępu związane z uwierzytelnianiem dla typu konta. Zasada oparta jest na kontenerze usług AD DS i steruje nim, znanym jako silos zasad uwierzytelniania.
Zasady uwierzytelniania kontrolują następujące kwestie:
Okres istnienia biletu TGT dla konta, który ma być nieodnawialne.
Kryteria, które muszą spełniać konta urządzeń, aby zalogować się przy użyciu hasła lub certyfikatu.
Kryteria, które użytkownicy i urządzenia muszą spełnić, aby uwierzytelnić się w usługach uruchomionych w ramach konta.
Typ konta w usłudze Active Directory określa rolę użytkownika jako jedną z następujących ról:
Użytkownik
Użytkownicy powinni zawsze być członkami grupy zabezpieczeń Chronieni użytkownicy, która domyślnie odrzuca próby uwierzytelniania przy użyciu protokołu NTLM.
Zasady można skonfigurować, aby ustawić okres ważności biletu TGT dla konta użytkownika na krótszą wartość lub ograniczyć urządzenia, do których użytkownik może się zalogować. Zaawansowane wyrażenia można skonfigurować w zasadach uwierzytelniania w celu kontrolowania kryteriów, które użytkownicy i ich urządzenia muszą spełnić w celu uwierzytelnienia w usłudze.
Aby uzyskać więcej informacji, zobacz Grupa zabezpieczeń Chronieni użytkownicy.
Usługa
Używane są autonomiczne zarządzane konta usług, konta usługi zarządzane przez grupę lub niestandardowy obiekt konta pochodzący z tych dwóch typów kont usług. Zasady mogą ustawiać warunki kontroli dostępu urządzenia, które są używane do ograniczania poświadczeń konta usługi zarządzanej do określonych urządzeń z tożsamością usługi Active Directory. Usługi nigdy nie powinny być członkami grupy zabezpieczeń Chronionych Użytkowników, ponieważ każde przychodzące uwierzytelnianie zakończy się niepowodzeniem.
Komputer
Używany jest obiekt konta komputera lub obiekt konta niestandardowego, który pochodzi z obiektu konta komputera. Zasady mogą ustawiać warunki kontroli dostępu, które są wymagane, aby zezwolić na uwierzytelnianie na koncie na podstawie właściwości użytkownika i urządzenia. Komputery nigdy nie powinny być członkami grupy zabezpieczeń Chronieni Użytkownicy, ponieważ wszystkie przychodzące uwierzytelniania zakończą się niepowodzeniem. Domyślnie próby użycia uwierzytelniania NTLM są odrzucane. Okres istnienia biletu TGT nie powinien być skonfigurowany dla kont komputerów.
Uwaga
Istnieje możliwość ustawienia zasad uwierzytelniania na zestawie kont bez skojarzenia zasad z silosem zasad uwierzytelniania. Tę strategię można użyć, gdy masz jedno konto do ochrony.
Schemat usługi Active Directory dla zasad uwierzytelniania
Zasady dla obiektów usługi Active Directory dla użytkowników, komputerów i usług są definiowane przez schemat w poniższej tabeli.
| Typ | Wyświetlana nazwa | Opis |
|---|---|---|
| Polityka | Zasady uwierzytelniania | Wystąpienie tej klasy definiuje zachowania polityki uwierzytelniania dla przypisanych pryncypałów. |
| Polityka | Zasady uwierzytelniania | Kontener tej klasy może zawierać obiekty zasad uwierzytelniania. |
| Polityka | Wymuszane zasady uwierzytelniania | Określa, czy zasady uwierzytelniania są wymuszane. Jeśli zasada nie jest egzekwowana, domyślnie znajduje się w trybie inspekcji, a zdarzenia wskazujące potencjalne sukcesy i niepowodzenia są generowane, ale zabezpieczenia nie są aplikowane na system. |
| Polityka | Link wsteczny przypisanych zasad uwierzytelniania | Ten atrybut to odwołanie zwrotne dla msDS-AssignedAuthNPolicy. |
| Polityka | Przypisane zasady uwierzytelniania | Określa, które zasady AuthNPolicy mają być stosowane do tego podmiotu. |
| Użytkownik | Zasady uwierzytelniania użytkownika | Określa, które zasady AuthNPolicy mają być stosowane do użytkowników przypisanych do tego obiektu silosu. |
| Użytkownik | Link zwrotny zasad uwierzytelniania użytkownika | Ten atrybut jest linkiem zwrotnym dla msDS-UserAuthNPolicy. |
| Użytkownik | ms-DS-User-Allowed-To-Authenticate-To | Ten atrybut służy do określania zestawu podmiotów zabezpieczeń, które mogą uwierzytelniać się w usłudze uruchomionej na koncie użytkownika. |
| Użytkownik | ms-DS-Użytkownik-Ma-Prawo-Do-Authenticate-From | Ten atrybut służy do określania zestawu urządzeń, do których konto użytkownika ma uprawnienia do logowania. |
| Użytkownik | Okres istnienia biletu TGT użytkownika | Określa maksymalny wiek biletu TGT protokołu Kerberos wystawionego użytkownikowi (wyrażony w sekundach). Wynikowe TGT-y są nieodnawialne. |
| Komputer | Zasady uwierzytelniania komputera | Określa, która polityka AuthNPolicy powinna być zastosowana do komputerów przypisanych do tego obiektu silosu. |
| Komputer | Odsyłacz polityki uwierzytelniania komputerowego | Ten atrybut jest linkiem wstecznym dla msDS-ComputerAuthNPolicy. |
| Komputer | ms-DS-Komputer-Dopuszczony-Do-Authenticate-To | Ten atrybut służy do określania zestawu podmiotów, które mogą uwierzytelniać się do usługi uruchomionej na koncie komputera. |
| Komputer | Czas życia TGT komputera | Określa maksymalny wiek (wyrażony w sekundach) biletu TGT protokołu Kerberos, który jest wystawiany dla komputera. Nie zaleca się zmiany tego ustawienia. |
| Usługa | Zasady uwierzytelniania usługi | Określa, które zasady AuthNPolicy mają być stosowane do usług przypisanych do tego obiektu silosu. |
| Usługa | Odsyłacz do zasad uwierzytelniania usługi | Ten atrybut jest linkiem wstecznym dla elementu msDS-ServiceAuthNPolicy. |
| Usługa | ms-DS-Usługa-dozwolona-dla-Authenticate-To | Ten atrybut służy do określania zestawu użytkowników, którzy mogą uwierzytelniać się przy użyciu usługi uruchomioną na koncie usługi. |
| Usługa | ms-DS-Service-Allowed-To-Authenticate-From | Ten atrybut służy do określania zestawu urządzeń, do których konto usługi ma uprawnienia do logowania. |
| Usługa | Okres istnienia biletu TGT usługi | Określa maksymalny czas życia biletu TGT protokołu Kerberos wystawionego dla usługi (wyrażony w sekundach). |
Zasady uwierzytelniania można skonfigurować dla każdego silosu przy użyciu konsoli administracyjnej usługi Active Directory lub programu Windows PowerShell. Aby uzyskać więcej informacji, zobacz Jak skonfigurować chronione konta.
Jak to działa
W tej sekcji opisano sposób działania silosów zasad uwierzytelniania i zasad uwierzytelniania w połączeniu z grupą zabezpieczeń Chronieni użytkownicy i implementacją protokołu Kerberos w systemie Windows.
Chronione konta
Grupa zabezpieczeń Chronieni użytkownicy wyzwala niekonfigurowalną ochronę na urządzeniach i komputerach-hostach z systemem Windows Server 2012 R2 i Windows 8.1 oraz na kontrolerach domeny w domenach z podstawowym kontrolerem domeny z systemem Windows Server 2012 R2. W zależności od poziomu funkcjonalności domeny konta członkowie grupy zabezpieczeń Chronieni użytkownicy są dodatkowo chronieni ze względu na zmiany metod uwierzytelniania obsługiwanych w systemie Windows.
Członek grupy zabezpieczeń Chronieni użytkownicy nie może uwierzytelniać się przy użyciu protokołu NTLM, uwierzytelniania Digest lub domyślnego delegowania poświadczeń CredSSP. Na urządzeniu z systemem Windows 8.1 korzystającym z dowolnego z tych dostawców obsługi zabezpieczeń (SSPs) uwierzytelnianie w domenie zakończy się niepowodzeniem, gdy konto jest członkiem grupy zabezpieczeń Chronieni użytkownicy.
Protokół Kerberos nie będzie używać słabszych typów szyfrowania DES ani RC4 w procesie wstępnego uwierzytelniania. Oznacza to, że domena musi być skonfigurowana tak, aby obsługiwała co najmniej typ szyfrowania AES.
Konto użytkownika nie może być delegowane z użyciem protokołu Kerberos w trybie ograniczonego lub nieograniczonego delegowania. Oznacza to, że wcześniejsze połączenia z innymi systemami mogą zakończyć się niepowodzeniem, jeśli użytkownik jest członkiem grupy zabezpieczeń Chronieni użytkownicy.
Domyślne ustawienie okresu istnienia TGTs protokołu Kerberos wynosi cztery godziny, można skonfigurować przy użyciu zasad uwierzytelniania i silosów, do których można uzyskać dostęp za pośrednictwem Centrum administracyjnego usługi Active Directory. Oznacza to, że po upływie czterech godzin użytkownik musi ponownie się uwierzytelnić.
Aby uzyskać więcej informacji na temat tej grupy zabezpieczeń, zobacz Jak działa grupa Chronieni użytkownicy.
Silosy i zasady uwierzytelniania
Silosy polityk uwierzytelniania i zasady uwierzytelniania wykorzystują istniejącą infrastrukturę uwierzytelniania systemu Windows. Użycie protokołu NTLM jest odrzucane, a używany jest protokół Kerberos z nowszymi typami szyfrowania. Zasady uwierzytelniania uzupełniają grupę zabezpieczeń Chronieni użytkownicy, zapewniając sposób stosowania konfigurowalnych ograniczeń do kont, oprócz zapewniania ograniczeń dla kont usług i komputerów. Zasady uwierzytelniania są wymuszane podczas wymiany usługi uwierzytelniania protokołu Kerberos (AS) lub usługi przyznawania biletów (TGS). Aby uzyskać więcej informacji na temat sposobu korzystania z protokołu Kerberos w systemie Windows oraz zmian wprowadzonych w celu obsługi silosów zasad uwierzytelniania i zasad uwierzytelniania, zobacz:
Zmiany uwierzytelniania Kerberos (Windows Server 2008 R2 i Windows 7)
Jak protokół Kerberos jest używany w kontekście silosów i zasad polityki uwierzytelniania.
Gdy konto domeny jest połączone z silosem zasad uwierzytelniania, a użytkownik się loguje, Menedżer kont użytkowników dodaje typ roszczenia dla Silosu zasad uwierzytelniania, który zawiera silos jako wartość. To roszczenie na koncie zapewnia dostęp do silosu docelowego.
Gdy zasady uwierzytelniania są wymuszane i żądanie usługi uwierzytelniania dla konta domeny jest odbierane na kontrolerze domeny, kontroler domeny zwraca nieodnawialne TGT ze skonfigurowanym okresem istnienia (chyba że okres istnienia biletu TGT domeny jest krótszy).
Uwaga
Konto domeny musi mieć skonfigurowany okres istnienia biletu TGT i musi być bezpośrednio połączone z zasadami lub pośrednio połączone za pośrednictwem członkostwa w silosie.
Gdy zasady uwierzytelniania są w trybie inspekcji i żądanie usługi uwierzytelniania dla konta domeny jest odbierane na kontrolerze domeny, kontroler domeny sprawdza, czy uwierzytelnianie jest dozwolone dla urządzenia, aby można było zarejestrować ostrzeżenie, jeśli wystąpi awaria. Audytowana polityka uwierzytelniania nie zmienia procesu, więc żądania uwierzytelniania nie będą kończyć się niepowodzeniem, jeśli nie spełniają wymagań polityki.
Uwaga
Konto domeny musi być bezpośrednio połączone z zasadami lub pośrednio połączone za pośrednictwem członkostwa w silosie.
Gdy zasady uwierzytelniania są wymuszane i usługa uwierzytelniania jest opancerzona, żądanie usługi uwierzytelniania dla konta domeny jest odbierane na kontrolerze domeny, kontroler domeny sprawdza, czy uwierzytelnianie jest dozwolone dla urządzenia. W przypadku niepowodzenia kontroler domeny zwraca komunikat o błędzie i rejestruje zdarzenie.
Uwaga
Konto domeny musi być bezpośrednio połączone z zasadami lub pośrednio połączone za pośrednictwem członkostwa w silosie.
Jeśli zasady uwierzytelniania są w trybie inspekcji, a żądanie usługi przyznania biletów jest odbierane przez kontroler domeny dla konta domeny, kontroler domeny sprawdza, czy uwierzytelnianie jest dozwolone na podstawie danych certyfikatu atrybutu uprzywilejowanego (PAC) żądania i rejestruje komunikat ostrzegawczy, jeśli autoryzacja nie powiedzie się. Pac zawiera różne typy danych autoryzacji, w tym grupy, których użytkownik jest członkiem, prawa użytkownika i jakie zasady mają zastosowanie do użytkownika. Te informacje są używane do generowania tokenu dostępu użytkownika. Jeśli jest to wymuszone zasady uwierzytelniania, które umożliwiają uwierzytelnianie użytkownikowi, urządzeniu lub usłudze, kontroler domeny sprawdza, czy uwierzytelnianie jest dozwolone na podstawie danych PAC żądania. W przypadku niepowodzenia kontroler domeny zwraca komunikat o błędzie i rejestruje zdarzenie.
Uwaga
Konto domeny musi być połączone bezpośrednio lub poprzez członkostwo w silosie z auditowaną polityką uwierzytelniania, która umożliwia uwierzytelnianie użytkownikowi, urządzeniu lub usłudze.
Można użyć jednej zasady uwierzytelniania dla wszystkich członków silosu lub użyć oddzielnych zasad dla użytkowników, komputerów i zarządzanych kont usług.
Zasady uwierzytelniania można skonfigurować dla każdego silosu przy użyciu konsoli administracyjnej usługi Active Directory lub programu Windows PowerShell. Aby uzyskać więcej informacji, zobacz Jak skonfigurować chronione konta.
Jak działa ograniczanie logowania użytkownika
Ponieważ te zasady uwierzytelniania są stosowane do konta, dotyczy to również kont używanych przez usługi. Jeśli chcesz ograniczyć użycie hasła dla usługi do określonych hostów, to ustawienie jest przydatne. Na przykład konta usług zarządzanych przez grupę są konfigurowane, gdy hosty mogą pobierać hasło z usług Active Directory Domain Services. Można jednak użyć tego hasła z dowolnego hosta na potrzeby uwierzytelniania początkowego. Stosując warunek kontroli dostępu, można osiągnąć dodatkową warstwę ochrony, ograniczając hasło tylko do zestawu hostów, które mogą pobrać hasło.
Kiedy usługi działające jako system, usługi sieciowe lub inne lokalne tożsamości usług łączą się z usługami sieciowymi, używają konta komputera hosta. Konta komputerów nie mogą być ograniczone. Tak więc nawet jeśli usługa korzysta z konta komputera, które nie jest dla hosta z systemem Windows, nie może być ograniczone.
Ograniczenie logowania użytkownika do określonych hostów wymaga, aby kontroler domeny zweryfikował tożsamość hosta. Podczas korzystania z uwierzytelniania Kerberos z ochroną protokołu Kerberos (który jest częścią dynamicznej kontroli dostępu), Centrum dystrybucji kluczy otrzymuje TGT hosta, z którego użytkownik się uwierzytelnia. Zawartość tego opancerzonego biletu TGT służy do ukończenia sprawdzania dostępu w celu określenia, czy host jest dozwolony.
Gdy użytkownik loguje się do systemu Windows lub wprowadza poświadczenia domenowe w okienku wprowadzania poświadczeń dla aplikacji, domyślnie system Windows wysyła niezabezpieczone AS-REQ do kontrolera domeny. Jeśli użytkownik wysyła żądanie z komputera, który nie obsługuje ochrony, takich jak komputery z systemem Windows 7 lub Windows Vista, żądanie kończy się niepowodzeniem.
Poniższa lista zawiera opis procesu:
Kontroler domeny w domenie z systemem Windows Server 2012 R2 wykonuje zapytania dotyczące konta użytkownika i określa, czy jest skonfigurowany przy użyciu zasad uwierzytelniania, które ograniczają uwierzytelnianie początkowe, które wymaga żądań zabezpieczeń.
Kontroler domeny odrzuci żądanie.
Ze względu na to, że zabezpieczenie jest wymagane, użytkownik może próbować się zalogować, używając komputera z systemem Windows 8.1 lub Windows 8, który jest skonfigurowany do obsługi zabezpieczeń protokołu Kerberos, aby ponowić próbę logowania.
System Windows wykrywa, że domena obsługuje ochronę protokołu Kerberos i wysyła AS-REQ opancerzone, aby ponowić próbę żądania logowania.
Kontroler domeny przeprowadza kontrolę dostępu przy użyciu skonfigurowanych warunków kontroli dostępu i informacji o tożsamości systemu operacyjnego klienta w TGT, który został użyty do zabezpieczenia żądania.
Jeśli sprawdzanie dostępu zakończy się niepowodzeniem, kontroler domeny odrzuci żądanie.
Nawet jeśli systemy operacyjne obsługują ochronę protokołu Kerberos, można zastosować wymagania dotyczące kontroli dostępu i muszą zostać spełnione przed udzieleniem dostępu. Użytkownicy logują się do systemu Windows lub wprowadzają poświadczenia domeny w wierszu polecenia poświadczeń dla aplikacji. Domyślnie system Windows wysyła niezaszyfrowany AS-REQ do kontrolera domeny. Jeśli użytkownik wysyła żądanie z komputera obsługującego ochronę, na przykład Windows 8.1 lub Windows 8, zasady uwierzytelniania są oceniane w następujący sposób:
Kontroler domeny w domenie z systemem Windows Server 2012 R2 wykonuje zapytania dotyczące konta użytkownika i określa, czy jest skonfigurowany przy użyciu zasad uwierzytelniania, które ograniczają uwierzytelnianie początkowe, które wymaga żądań zabezpieczeń.
Kontroler domeny przeprowadza kontrolę dostępu przy użyciu skonfigurowanych warunków kontroli dostępu i informacji o tożsamości systemu w TGT, który jest używany do zabezpieczenia żądania. Sprawdzanie dostępu zakończy się pomyślnie.
Uwaga
Jeśli są skonfigurowane starsze ograniczenia grupy roboczej, należy je również spełnić.
Kontroler domeny odpowiada z chronioną odpowiedzią (AS-REP), a uwierzytelnianie jest kontynuowane.
Jak działa ograniczanie wystawiania biletów usługi
Jeśli konto jest niedozwolone i użytkownik, który ma TGT próbuje połączyć się z usługą (na przykład otwierając aplikację, która wymaga uwierzytelnienia w usłudze, która jest identyfikowana przez nazwę główną usługi (SPN), następuje następująca sekwencja:
Próbując nawiązać połączenie z SPN1 z SPN, system Windows wysyła TGS-REQ do kontrolera domeny, który żąda biletu usługi do SPN1.
Kontroler domeny w domenie z systemem Windows Server 2012 R2 wyszukuje nazwę SPN1, aby znaleźć konto usług Domenowych Active Directory dla usługi i określa, że konto jest skonfigurowane z zasadami uwierzytelniania, które ograniczają wystawianie biletów usługi.
Kontroler domeny przeprowadza kontrolę dostępu przy użyciu skonfigurowanych warunków kontroli dostępu i informacji o tożsamości użytkownika w TGT. Sprawdzanie dostępu kończy się niepowodzeniem.
Kontroler domeny odrzuca żądanie.
Gdy konto jest dozwolone, ponieważ konto spełnia warunki kontroli dostępu ustawione przez zasady uwierzytelniania, a użytkownik, który ma TGT próbuje nawiązać połączenie z usługą (na przykład przez otwarcie aplikacji wymagającej uwierzytelniania do usługi, która jest identyfikowana przez nazwę SPN usługi), następuje następująca sekwencja:
Próbując nawiązać połączenie z SPN1, system Windows wysyła TGS-REQ do kontrolera domeny, który żąda biletu usługi dla SPN1.
Kontroler domeny w domenie z systemem Windows Server 2012 R2 wyszukuje SPN1, aby znaleźć konto usług Domenowych Active Directory dla usługi i określa, że konto jest skonfigurowane z zasadami uwierzytelniania, które ograniczają wydawanie biletów serwisowych.
Kontroler domeny przeprowadza kontrolę dostępu przy użyciu skonfigurowanych warunków kontroli dostępu i informacji o tożsamości użytkownika w TGT. Sprawdzanie dostępu zakończy się pomyślnie.
Kontroler domeny odpowiada na żądanie odpowiedzią usługi przyznawania biletów (TGS-REP).
Skojarzone komunikaty o błędach i zdarzeniach informacyjnych
W poniższej tabeli opisano zdarzenia skojarzone z grupą zabezpieczeń Chronieni użytkownicy oraz zasady uwierzytelniania stosowane do silosów zasad uwierzytelniania.
Zdarzenia są rejestrowane w dziennikach aplikacji i usług w witrynie Microsoft\Windows\Authentication.
Aby uzyskać kroki rozwiązywania problemów z użyciem tych zdarzeń, zobacz Rozwiązywanie problemów z zasadami uwierzytelniania i Rozwiązywanie problemów związanych z chronionymi użytkownikami.
| Identyfikator zdarzenia i dziennik | Opis |
|---|---|
| 101 NiepowodzeniaPolitykiUwierzytelniania-DomainController |
Przyczyna: Wystąpił błąd logowania NTLM, ponieważ skonfigurowano zasady uwierzytelniania. Zdarzenie jest rejestrowane na kontrolerze domeny, aby wskazać, że uwierzytelnianie NTLM nie powiodło się, ponieważ są wymagane ograniczenia kontroli dostępu, a te ograniczenia nie mogą być stosowane do protokołu NTLM. Wyświetla nazwy kont, urządzeń, zasad i silosów. |
| 105 BłędyPolitykiUwierzytelniania-KontrolerDomeny |
Przyczyna: Wystąpił błąd ograniczeń protokołu Kerberos, ponieważ uwierzytelnianie z określonego urządzenia nie było dozwolone. Zdarzenie jest rejestrowane na kontrolerze domeny, aby wskazać, że bilet TGT protokołu Kerberos został odrzucony, ponieważ urządzenie nie spełnia wymuszonych ograniczeń kontroli dostępu. Wyświetla konto, urządzenie, zasady, nazwy silosu oraz czas ważności biletu TGT. |
| 305 BłędyPolitykiUwierzytelniania-KontrolerDomeny |
Przyczyna: Może wystąpić potencjalny błąd ograniczeń protokołu Kerberos, ponieważ uwierzytelnianie z określonego urządzenia nie było dozwolone. W trybie audytu, zdarzenie o charakterze informacyjnym jest rejestrowane na kontrolerze domeny, aby ustalić, czy bilet TGT protokołu Kerberos zostanie odrzucony, ponieważ urządzenie nie spełnia ograniczeń kontroli dostępu. Wyświetla konto, urządzenie, polityki, nazwy silosów i okres istnienia biletu TGT. |
| 106 AuthenticationPolicyFailures-DomainController |
Przyczyna: Wystąpił błąd ograniczeń protokołu Kerberos, ponieważ użytkownik lub urządzenie nie mogło uwierzytelnić się na serwerze. Zdarzenie jest rejestrowane na kontrolerze domeny, aby wskazać, że bilet usługi Kerberos został odrzucony, ponieważ użytkownik, urządzenie lub oba nie spełniają wymuszonych ograniczeń kontroli dostępu. Wyświetla nazwy urządzeń, zasad i silosów. |
| 306 AwariePolitykiUwierzytelniania-KontrolerDomeny |
Przyczyna: może wystąpić błąd ograniczeń protokołu Kerberos, ponieważ użytkownik lub urządzenie nie może uwierzytelnić się na serwerze. W trybie inspekcji na kontrolerze domeny jest rejestrowane zdarzenie informacyjne wskazujące, że bilet usługi Kerberos zostanie odrzucony, ponieważ użytkownik, urządzenie lub oba nie spełniają ograniczeń kontroli dostępu. Wyświetla nazwy urządzeń, zasad i silosów. |
Dodatkowe referencje
Jak skonfigurować chronione konta