Puncte:0

Pot folosi AD CS pentru a autentifica utilizatorii de domeniu în loc de o parolă?

drapel cn

Am un număr de conturi de utilizator de domeniu Active Directory, care funcționează în esență ca conturi de serviciu. Aș dori să evit să fiu nevoit să rotesc parolele pentru toate acele conturi de utilizator de domeniu și mai degrabă să permit/forță acelor conturi de utilizator de domeniu să se autentifice prin certificate (AD CS) atunci când conturile de utilizator de domeniu sunt folosite pentru a rula scripturi/sarcini programate/ conexiuni RDP.

Am instalat AD CS următorul https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj129709(v=ws.11), dar mă pierd undeva încercând să validez că conturile de utilizator de domeniu se pot autentifica prin AD CS, mai degrabă decât utilizatorul/parola de domeniu.

Cum pot implementa o structură în care conturile de utilizator de domeniu se pot autentifica la serverele asociate domeniului folosind certificate (AD CS) mai degrabă decât utilizatorul/parola domeniului?

Pentru înregistrare, încă rulez Server 2012R2 pe toate controlerele mele de domeniu și în prezent am AD CS instalat pe unul dintre cele două controlere de domeniu sincronizate.

Davidw avatar
drapel in
Există vreun motiv pentru care nu utilizați Conturi de servicii gestionate? https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/managed-service-accounts-understanding-implementing-best/ba-p/397009
Semicolon avatar
drapel jo
Ei bine, cu siguranță puteți - acesta este principiul din spatele unuia dintre cele mai recente exploit-uri -- deși acesta a fost în principal un atac de reluare NTLM. Trebuie să știți că programatorul de activități nu acceptă autentificarea bazată pe certificat.
Semicolon avatar
drapel jo
Nu s-a putut folosi un gMSA pentru o conexiune RDP automată - ei nu se pot autentifica în acest mod - probabil un motiv pentru care (cel puțin în acest caz) nu este utilizat un gMSA.
Davidw avatar
drapel in
Un link mai actualizat: https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/service-accounts-on-premises
cuddlydingo avatar
drapel cn
@Davidw Am stat departe de MSA pentru că voiam să pot controla contul de utilizator prin grupuri AD DS (https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/service-accounts- local) și pentru că am vrut ca contul de utilizator să poată rula cu permisiunile corespunzătoare pe orice computer alăturat unui domeniu, mai degrabă decât pe un anumit computer. Pot fi configurate MSA astfel încât un MSA să poată viza orice mașină alăturată unui domeniu?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.