Можно ли использовать AD CS для аутентификации пользователей домена вместо пароля?

cuddlydingo

10.01.2023, 02:42

У меня есть несколько учетных записей пользователей домена Active Directory, которые функционируют в основном как учетные записи служб. Я хотел бы избежать смены паролей для всех этих учетных записей пользователей домена, а скорее разрешить/заставить эти учетные записи пользователей домена проходить аутентификацию с помощью сертификатов (AD CS), когда учетные записи пользователей домена используются для запуска сценариев/запланированных задач/ RDP-подключения.

Я установил AD CS следующим образом https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj129709(v=ws.11), но я где-то теряюсь, пытаясь проверить, что учетные записи пользователей домена могут проходить аутентификацию через AD CS, а не через пользователя/пароль домена.

Как реализовать структуру, в которой учетные записи пользователей домена могут аутентифицироваться на серверах, присоединенных к домену, с использованием сертификатов (AD CS), а не пользователя/пароля домена?

Для справки, я все еще использую Server 2012R2 на всех своих контроллерах домена, и в настоящее время AD CS установлен на одном из двух синхронизированных контроллеров домена.

0 + 0

аутентификация

Windows-сервер-2012-R2

активный-каталог-adcs

Davidw

10.01.2023, 03:38

Есть ли причина, по которой вы не используете управляемые сервисные аккаунты? https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/managed-service-accounts-understanding-implementing-best/ba-p/397009

Ответить

Semicolon

10.01.2023, 04:32

Что ж, вы, конечно, можете — это принцип, лежащий в основе одного из последних эксплойтов — хотя в основном это была атака повторного воспроизведения NTLM. Вы должны знать, что планировщик задач не поддерживает аутентификацию на основе сертификатов.

Ответить

Semicolon

10.01.2023, 04:34

Не удалось использовать gMSA для автоматического подключения RDP — они специально не могут войти в систему таким образом — вероятно, это одна из причин, по которой (по крайней мере, в этом случае) gMSA не используется.

Ответить

Davidw

10.01.2023, 04:48

Более актуальная ссылка: https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/service-accounts-on-premises.

Ответить

cuddlydingo

10.01.2023, 14:04

@Davidw Я держался подальше от MSA, потому что хотел иметь возможность управлять учетной записью пользователя через группы AD DS (https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/service-accounts- локально) и потому, что я хотел, чтобы учетная запись пользователя могла работать с соответствующими разрешениями на любом компьютере, присоединенном к домену, а не на конкретном отдельном компьютере. Можно ли настроить MSA таким образом, чтобы один MSA мог быть нацелен на любую машину, присоединенную к домену?

Ответить

Admin

Этот вопрос на других языках:

EN: Can I use AD CS to Authenticate Domain Users Instead of a Password?

TH: ฉันสามารถใช้ AD CS เพื่อตรวจสอบสิทธิ์ผู้ใช้โดเมนแทนรหัสผ่านได้หรือไม่

RO: Pot folosi AD CS pentru a autentifica utilizatorii de domeniu în loc de o parolă?

RU: Можно ли использовать AD CS для аутентификации пользователей домена вместо пароля?

VI: Tôi có thể sử dụng AD CS để xác thực người dùng miền thay vì mật khẩu không?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.