Аутентификация с открытым ключом устройства, присоединенного к домену

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

Kerberos добавил поддержку для устройств, присоединенных к домену, для входа с помощью сертификата, начиная с Windows Server 2012 и Windows 8. Это изменение позволяет сторонним поставщикам создавать решения для подготовки и инициализации сертификатов для устройств, присоединенных к домену, для проверки подлинности домена.

Автоматическая подготовка открытого ключа

Начиная с Windows 10 версии 1507 и Windows Server 2016 устройства, присоединенные к домену, автоматически подготавливают ограниченный открытый ключ к контроллеру домена Windows Server 2016 (DC). После подготовки ключа Windows может использовать проверку подлинности с открытым ключом в домене.

Создание ключей

Если устройство работает Credential Guard, то пара открытого и закрытого ключа создается с помощью Credential Guard.

Если Credential Guard недоступна, и TPM недоступен, то пара открытого и закрытого ключа создается с помощью доверенного платформенного модуля.

Если ни есть, то пара ключей не создается, и устройство может пройти проверку подлинности только с помощью пароля.

Открытый ключ учетной записи компьютера подготовки

При запуске Windows проверяет, подготовлен ли открытый ключ для учетной записи компьютера. Если нет, он создает привязанный открытый ключ и настраивает его для своей учетной записи в AD с помощью контроллера домена Windows Server 2016 или более поздней версии. Если все контроллеры домена находятся на нижнем уровне, ключ не подготовлен.

Настройка устройства только для использования открытого ключа

Если параметр групповой политики поддерживает проверку подлинности устройства, используя сертификат , имеет значение Force, устройство должно найти контроллер домена под управлением Windows Server 2016 или более поздней версии для проверки подлинности. Параметр находится в разделе "Системные > административные шаблоны > Kerberos".

Настройка устройства только для использования пароля

Если параметр групповой политики поддерживает проверку подлинности устройства с помощью сертификата , пароль всегда используется. Параметр находится в разделе "Системные > административные шаблоны > Kerberos".

Проверка подлинности устройства, присоединенного к домену, с помощью открытого ключа

Если у Windows есть сертификат для устройства, присоединенного к домену, Kerberos сначала проходит проверку подлинности с помощью сертификата и повторных попыток сбоя с паролем. Это позволяет устройству проходить проверку подлинности на уровне контроллеров домена нижнего уровня.

Так как автоматически подготовленные открытые ключи имеют самозаверяющий сертификат, проверка сертификата завершается ошибкой на контроллерах домена, которые не поддерживают сопоставление учетных записей доверия ключей. По умолчанию Windows повторяет проверку подлинности с помощью пароля домена устройства.