Двойная регистрация

• Применяется к:

  ✅ Windows 11, ✅ Windows 10

В этой статье описаны Windows Hello для бизнеса функциональные возможности или сценарии, которые применяются к:

• Тип развертывания: локальной среды ,
• Тип доверия..
• Тип соединения., присоединенные к домену. Microsoft Entra гибридное присоединение

---

Важно.

Двойная регистрация не заменяет и не обеспечивает ту же безопасность, что и функция рабочих станций с привилегированным доступом. Корпорация Майкрософт рекомендует организациям использовать рабочие станции с привилегированным доступом для пользователей с привилегированными учетными данными. Организации могут рассмотреть Windows Hello для бизнеса двойной регистрации в ситуациях, когда невозможно использовать функцию привилегированного доступа. Дополнительные сведения см. в статье Рабочие станции с привилегированным доступом.

Двойная регистрация позволяет администраторам выполнять административные функции с повышенными привилегиями, регистрируя на устройстве как непривилегированные, так и привилегированные учетные данные.

По умолчанию Windows не перечисляет всех Windows Hello для бизнеса пользователей из сеанса пользователя. С помощью параметра групповой политики Разрешить перечисление эмулированных интеллектуальных карта для всех пользователей можно настроить устройство для перечисления всех зарегистрированных Windows Hello для бизнеса учетных данных на выбранных устройствах.

С помощью этого параметра пользователи с правами администратора могут входить в Windows, используя свои непривилегированные Windows Hello учетные данные для обычного рабочего потока, например электронной почты, но могут запускать консоли управления (MMC), клиенты служб удаленных рабочих столов и другие приложения, выбрав Запуск от имени другого пользователя или Запуск от имени администратора, выбрав привилегированную учетную запись пользователя и указав пин-код. Администраторы также могут воспользоваться преимуществами этой функции в приложениях командной строки, используя runas.exe сочетание с аргументом /smartcard . Это позволяет администраторам выполнять повседневные операции без необходимости входа и выхода, а также использовать быстрое переключение пользователей при чередовке между привилегированными и непривилегированных рабочими нагрузками.

Важно.

Необходимо настроить компьютер с Windows для Windows Hello для бизнеса двойной регистрации, прежде чем пользователь (привилегированный или не привилегированный) подготовит Windows Hello для бизнеса. Двойная регистрация — это специальный параметр, который настраивается в контейнере Windows Hello во время создания.

Настройка Windows Hello для бизнеса двойной регистрации

Ниже описано, как включить двойную регистрацию.

• Настройка Active Directory для поддержки регистрации администратора домена
• Настройка двойной регистрации с помощью групповая политика

Настройка Active Directory для поддержки регистрации администратора домена

Разработанная конфигурация Windows Hello для бизнеса предоставляет Key Admins группе разрешения на чтение и запись атрибутаmsDS-KeyCredentialsLink. Вы предоставили эти разрешения в корне домена и используете наследование объектов, чтобы обеспечить применение разрешений ко всем пользователям в домене, независимо от их расположения в иерархии домена.

доменные службы Active Directory используется AdminSDHolder для защиты привилегированных пользователей и групп от непреднамеренного изменения путем сравнения и замены безопасности привилегированных пользователей и групп в соответствии с параметрами, определенными в объекте AdminSDHolder в почасовом цикле. Для Windows Hello для бизнеса учетная запись администратора домена может получить разрешения, но они исчезают из объекта пользователя, если вы не предоставите AdminSDHolder атрибуту msDS-KeyCredential разрешения на чтение и запись.

Войдите в контроллер домена или рабочую станцию управления с доступом, эквивалентным администратору домена.

1. Введите следующую команду, чтобы добавить разрешения на чтение и запись свойства для атрибута msDS-KeyCredentialLink для Key Admins группы в объекте AdminSDHolder .

   dsacls "CN=AdminSDHolder,CN=System,DC=domain,DC=com" /g "[domainName\keyAdminGroup]":RPWP;msDS-KeyCredentialLink
   

   где DC=domain,DC=com — это путь LDAP к домену Active Directory, а domainName\keyAdminGroup — NetBIOS-имя вашего домена и имя группы, используемой для предоставления доступа к ключам на основе развертывания. Пример:

   dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=mstepdemo,DC=net" /g "mstepdemo\Key Admins":RPWP;msDS-KeyCredentialLink
   

2. Чтобы активировать распространение дескрипторов безопасности, откройте .ldp.exe

3. Выберите Подключение и выберите Подключиться... Рядом с полем Сервер введите имя контроллера домена, который содержит роль PDC для домена. Рядом с полем Порт введите 389 и нажмите кнопку ОК.

4. Выберите Подключение и привязать... Нажмите кнопку ОК , чтобы выполнить привязку в качестве текущего пользователя, выполнившего вход.

5. Выберите Браузер и выберите Изменить. Оставьте поле DN пустым. Рядом с полем Атрибут введите RunProtectAdminGroupsTask. Рядом с полем Значения введите 1. Нажмите клавишу ВВОД , чтобы добавить его в список записей.

6. Выберите Выполнить , чтобы запустить задачу.

7. Закройте LDP.

Настройка двойной регистрации с помощью групповой политики

Вы настраиваете Windows для поддержки двойной регистрации с помощью части конфигурации компьютера объекта групповая политика:

1. С помощью консоли управления групповая политика (GPMC) создайте новый объект групповая политика на основе домена и свяжите его с подразделением, содержащим объекты-компьютеры Active Directory, используемые привилегированными пользователями.

2. Измените объект групповая политика из шага 1.

3. Включите параметр политики Разрешить перечисление эмулированных смарт-карт для всех пользователей, расположенный в разделе Конфигурация компьютера-Административные> шаблоны-Компоненты> Windows-Windows Hello для бизнеса>

4. Закройте Редактор управления групповая политика, чтобы сохранить объект групповая политика. Закройте GPMC.

5. Перезагрузите компьютеры, предназначенные для этого объекта групповая политика.

   Компьютер готов к двойной регистрации. Сначала войдите в качестве привилегированного пользователя и зарегистрируйтесь для Windows Hello для бизнеса. После завершения выйдите и войдите в качестве непривилегированного пользователя и зарегистрируйтесь для Windows Hello для бизнеса. Теперь вы можете использовать привилегированные учетные данные для выполнения привилегированных задач без использования пароля и без необходимости переключать пользователей.