Tham gia Đăng nhập
Điểm:0
cuddlydingo avatar Server

Tôi có thể sử dụng AD CS để xác thực người dùng miền thay vì mật khẩu không?

lá cờ cn
cuddlydingo

Tôi có một số Tài khoản người dùng miền Active Directory, về cơ bản có chức năng như tài khoản dịch vụ. Tôi muốn tránh phải xoay mật khẩu cho tất cả các tài khoản người dùng miền đó và thay vào đó cho phép/buộc các tài khoản người dùng miền đó xác thực qua chứng chỉ (AD CS) khi tài khoản người dùng miền được sử dụng để chạy tập lệnh/tác vụ theo lịch trình/ kết nối RDP.

Tôi đã cài đặt AD CS sau https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj129709(v=ws.11), nhưng tôi bị lạc ở đâu đó khi cố xác thực rằng tài khoản người dùng miền có thể xác thực qua AD CS thay vì người dùng/mật khẩu miền.

Làm cách nào tôi có thể triển khai cấu trúc trong đó tài khoản người dùng miền có thể xác thực với các máy chủ đã tham gia miền bằng chứng chỉ (AD CS) thay vì mật khẩu/người dùng miền?

Đối với bản ghi, tôi vẫn đang chạy Máy chủ 2012R2 trên tất cả các bộ điều khiển miền của mình và hiện đã cài đặt AD CS trên một trong hai bộ điều khiển miền được đồng bộ hóa.

39
0 + 0
Davidw avatar
lá cờ in
Davidw
Có lý do nào khiến bạn không sử dụng Tài khoản dịch vụ được quản lý không? https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/managed-service-accounts-under Hiểuing-implementing-best/ba-p/397009
0
Hồi đáp
Semicolon avatar
lá cờ jo
Semicolon
Chà, bạn chắc chắn có thể - đó là nguyên tắc đằng sau một trong những cách khai thác gần đây hơn - mặc dù đó chủ yếu là một cuộc tấn công phát lại NTLM. Bạn nên biết rằng bộ lập lịch tác vụ không hỗ trợ xác thực dựa trên chứng chỉ.
0
Hồi đáp
Semicolon avatar
lá cờ jo
Semicolon
Không thể sử dụng gMSA cho kết nối RDP tự động - họ đặc biệt không thể đăng nhập theo cách đó - có thể là một lý do tại sao (ít nhất là trong trường hợp đó) gMSA không được sử dụng.
0
Hồi đáp
Davidw avatar
lá cờ in
Davidw
Liên kết cập nhật hơn: https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/service-accounts-on-premises
0
Hồi đáp
cuddlydingo avatar
lá cờ cn
cuddlydingo
@Davidw Tôi đã tránh xa MSA vì tôi muốn có thể kiểm soát tài khoản người dùng thông qua Nhóm AD DS (https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/service-accounts- tại chỗ) và vì tôi muốn tài khoản người dùng có thể chạy với các quyền phù hợp trên bất kỳ máy tính nào đã tham gia miền, thay vì một máy tính cụ thể. MSA có thể được thiết lập để một MSA có thể nhắm mục tiêu bất kỳ máy nào đã tham gia miền không?
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.