双重注册

• 适用于:

  ✅ Windows 11, ✅ Windows 10

本文介绍适用于以下应用的 Windows Hello 企业版功能或方案：

• 部署类型：本地组策略完成，混合完成
• 信任类型：证书
• 联接类型：域加入 ， Microsoft Entra 混合联接

---

重要提示

双重注册不会取代或提供与特权访问工作站功能相同的安全性。 Microsoft鼓励组织为其特权凭据用户使用特权访问工作站。 在无法使用 Privileged Access 功能的情况下，组织可以考虑 Windows Hello 企业版双重注册。 若要了解详细信息，请参阅 特权访问工作站。

双重注册使管理员能够通过在其设备上注册其非特权凭据和特权凭据来执行提升的管理功能。

根据设计，Windows 不会枚举用户会话中的所有 Windows Hello 企业版用户。 使用组策略设置 “允许为所有用户枚举模拟智能卡”，可以将设备配置为枚举所选设备上所有已注册的 Windows Hello 企业版凭据。

使用此设置，管理用户可以使用其非特权 Windows Hello 凭据登录到 Windows，以便正常工作流（如电子邮件），但可以通过选择“ 以其他用户身份运行 ”或“ 以管理员身份运行”，选择特权用户帐户并提供其 PIN，启动Microsoft管理控制台 (MMC) 、远程桌面服务客户端和其他应用程序。 管理员还可以通过将 runas.exe 与 参数结合使用，将此功能与 /smartcard 命令行应用程序结合使用。 这使管理员无需登录和注销即可执行其日常操作，或者在特权和非特权工作负载之间交替时使用快速用户切换。

重要提示

必须先为 Windows Hello 企业版双重注册配置 Windows 计算机，然后用户 (特权或非特权) 预配 Windows Hello 企业版。 双重注册是在创建期间在 Windows Hello 容器上配置的特殊设置。

配置 Windows Hello 企业版双重注册

下面是启用双重注册的步骤：

• 配置 Active Directory 以支持域管理员注册
• 使用组策略配置双重注册

配置 Active Directory 以支持域管理员注册

设计的 Windows Hello 企业版配置为组提供 Key Admins 对 属性的 msDS-KeyCredentialsLink 读取和写入权限。 你在域的根目录中提供了这些权限，并使用对象继承来确保权限应用于域中的所有用户，而不管用户在域层次结构中的位置如何。

Active Directory 域服务使用 AdminSDHolder 通过比较和替换特权用户和组的安全性来保护特权用户和组免受意外修改，以匹配按小时周期在 AdminSDHolder 对象上定义的那些用户和组。 对于 Windows Hello 企业版，域管理员帐户可能会收到权限，但它们会从用户对象中消失，除非你授予对 属性的 AdminSDHolder 读取和写入权限 msDS-KeyCredential 。

使用相当于域 管理员的访问权限登录到域控制器或管理工作站。

1. 键入以下命令，为对象上的AdminSDHolder组添加 msDS-KeyCredentialLink 属性的Key Admins允许读取和写入属性权限

   dsacls "CN=AdminSDHolder,CN=System,DC=domain,DC=com" /g "[domainName\keyAdminGroup]":RPWP;msDS-KeyCredentialLink
   

   其中 DC=domain,DC=com 是 Active Directory 域的 LDAP 路径，是 domainName\keyAdminGroup 域的 NetBIOS 名称和用于根据部署授予密钥访问权限的组的名称。 例如：

   dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=mstepdemo,DC=net" /g "mstepdemo\Key Admins":RPWP;msDS-KeyCredentialLink
   

2. 若要触发安全描述符传播，请打开 ldp.exe

3. 选择 “连接 ”，然后选择“ 连接...” 在 “服务器”旁边，键入保留域 PDC 角色的域控制器的名称。 在 “端口”旁边，键入 389 并选择“ 确定”

4. 选择 “连接 ”，然后选择“ 绑定...” 选择 “确定” 以当前登录用户身份绑定

5. 选择 “浏览器 ”，然后选择“ 修改”。 将 DN 文本框留空。 在 “属性”旁边，键入 RunProtectAdminGroupsTask。 在 “值”旁边，键入 1。 选择 Enter 以将此项添加到 条目列表

6. 选择 “运行” 以启动任务

7. 关闭 LDP

使用组策略配置双重注册

使用组策略对象的计算机配置部分将 Windows 配置为支持双重注册：

1. 使用组策略管理控制台 (GPMC) 创建新的基于域的组策略对象，并将其链接到包含特权用户使用的 Active Directory 计算机对象的组织单位
2. 编辑步骤 1 中的组策略对象
3. 启用“计算机配置-管理模板>-Windows 组件>->Windows Hello 企业版”下的“允许所有用户模拟智能卡的枚举”策略设置
4. 关闭组策略管理编辑器以保存组策略对象。 关闭 GPMC
5. 重启此组策略对象面向的计算机

计算机已准备好进行双重注册。 首先以特权用户身份登录并注册 Windows Hello 企业版。 完成后，以非特权用户身份注销并登录，并注册 Windows Hello 企业版。 现在，可以使用特权凭据来执行特权任务，而无需使用密码，也无需切换用户。