共用方式為

雙重註冊

本文說明 Windows Hello 企業版 適用的功能或案例:

重要

雙重註冊不會取代或提供與特殊許可權存取工作站功能相同的安全性。 Microsoft鼓勵組織針對其特殊許可權認證使用者使用特殊許可權存取工作站。 在無法使用特殊許可權存取功能的情況下,組織可以考慮 Windows Hello 企業版 雙重註冊。 若要深入瞭解, 請參閱特殊許可權存取工作站

雙重註冊可讓系統管理員在其裝置上註冊其非特殊許可權和特殊許可權認證,以執行提升許可權的系統管理功能。

根據設計,Windows 不會列舉用戶會話內的所有 Windows Hello 企業版 使用者。 您可以使用組策略設定 [允許列舉所有使用者的模擬智慧卡],將裝置設定為列舉所選裝置上所有已註冊 Windows Hello 企業版 認證。

使用此設定,系統管理使用者可以使用其非特殊許可權 Windows Hello 認證登入 Windows,以進行一般工作流程,例如電子郵件,但可以啟動Microsoft管理控制台 (MMC) 、遠端桌面服務用戶端和其他應用程式,方法是選取 [以不同的使用者身分執行] 或 [以系統管理員身分執行]、選取具特殊許可權的用戶帳戶,並提供其 PIN。 系統管理員也可以使用 runas.exe/smartcard 自變數結合,利用命令行應用程式來利用這項功能。 這可讓系統管理員執行日常作業,而不需要登入和註銷,或在特殊許可權和非特殊許可權工作負載之間交替時,使用快速的使用者切換。

重要

您必須先將 Windows 計算機設定為 Windows Hello 企業版 雙重註冊,使用者才能 (特殊許可權或非特殊許可權) 布建 Windows Hello 企業版。 雙重註冊是在建立期間於 Windows Hello 容器上設定的特殊設定。

設定 Windows Hello 企業版 雙重註冊

以下是啟用雙重註冊的步驟:

  • 設定 Active Directory 以支援網域系統管理員註冊
  • 使用 群組原則 設定雙重註冊

設定 Active Directory 以支援網域系統管理員註冊

設計 Windows Hello 企業版 組態會為群組提供Key Admins屬性的msDS-KeyCredentialsLink讀取和寫入許可權。 您在網域的根目錄提供這些許可權,並使用對象繼承來確保許可權適用於網域中的所有使用者,而不論他們在網域階層中的位置為何。

Active Directory 網域服務 使用 AdminSDHolder 來保護特殊許可權使用者和群組免於意外修改,方法是比較和取代特殊許可權使用者和群組上的安全性,以符合每小時週期 AdminSDHolder 物件上定義的安全性。 針對 Windows Hello 企業版,網域系統管理員帳戶可能會收到許可權,但除非您將讀取和寫msDS-KeyCredential入許可權授AdminSDHolder與屬性,否則這些許可權會從用戶物件中消失。

使用相當於網 域系統管理員的存取權登入域控制器或管理工作站。

  1. 輸入下列命令,為物件上的群組新增 msDS-KeyCredentialLink 屬性的Key AdminsAdminSDHolder允許讀取和寫入屬性許可權。

    dsacls "CN=AdminSDHolder,CN=System,DC=domain,DC=com" /g "[domainName\keyAdminGroup]":RPWP;msDS-KeyCredentialLink

    其中 DC=domain,DC=com 是 Active Directory 網域的 LDAP 路徑,而 domainName\keyAdminGroup 是網域的 NetBIOS 名稱,以及您用來根據部署授與密鑰存取權的組名。 例如:

    dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=mstepdemo,DC=net" /g "mstepdemo\Key Admins":RPWP;msDS-KeyCredentialLink

  2. 若要觸發安全描述項傳播,請開啟 ldp.exe

  3. 選取 [連線 ],然後選取 [ 連線...]。[伺服器] 旁,輸入保留網域之 PDC 角色的域控制器名稱。 在 [ ] 旁輸入 389 ,然後選取 [ 確定]

  4. 選取 [連線 ],然後選取 [ 系結...]。 選取 [確定 ] 以系結為目前已登入的使用者。

  5. 取 [瀏覽器] ,然後選取 [ 修改]。 將 [DN] 文字框保留空白。 在 [屬性] 旁,輸入 RunProtectAdminGroupsTask。 在 [ 值] 旁,輸入 1。 選 取 Enter 將此專案新增至 項目清單

  6. 取 [執行 ] 以啟動工作。

  7. 關閉[大寫]。

使用組策略設定雙重註冊

您可以使用 群組原則 物件的電腦組態部分,將 Windows 設定為支援雙重註冊:

  1. 使用 #DDE0F779EAECF408BB1250677F7753192 Management Console (GPMC) ,建立新的網域型 群組原則 物件,並將它連結至包含特殊許可權使用者所使用之 Active Directory 計算機對象的組織單位。

  2. 編輯步驟 1 中的 群組原則 物件。

  3. 啟用 [計算機設定-系統管理範>本->Windows 元件>-Windows Hello 企業版 底下的所有使用者允許模擬智慧卡的列舉原則設定

  4. 關閉 群組原則 管理 編輯器 以儲存 群組原則 物件。 關閉 GPMC。

  5. 重新啟動此 群組原則 物件的目標計算機。

    計算機已準備好進行雙重註冊。 先以具特殊許可權的使用者身分登入,然後註冊 Windows Hello 企業版。 完成後,以非特殊許可權使用者身分註銷並登入,並註冊 Windows Hello 企業版。 您現在可以使用特殊許可權認證來執行特殊許可權工作,而不需要使用您的密碼,也不需要切換使用者。