Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym temacie referencyjnym dla specjalistów IT opisano użycie i wpływ ustawień zasad grupy w procesie uwierzytelniania.
Uwierzytelnianie można zarządzać w systemach operacyjnych Windows, dodając konta użytkowników, komputerów i usług do grup, a następnie stosując zasady uwierzytelniania do tych grup. Te zasady są definiowane jako lokalne zasady zabezpieczeń i jako szablony administracyjne, nazywane również ustawieniami zasad grupy. Oba zestawy można konfigurować i dystrybuować w całej Twojej organizacji przy użyciu Polityki grupowej.
Note
Funkcje wprowadzone w systemie Windows Server 2012 R2 umożliwiają skonfigurowanie zasad uwierzytelniania dla docelowych usług lub aplikacji, często nazywanych silosami uwierzytelniania przy użyciu kont chronionych. Aby uzyskać informacje o tym, jak to zrobić w usłudze Active Directory, zobacz Jak skonfigurować chronione konta.
Można na przykład zastosować następujące zasady do grup na podstawie ich funkcji w organizacji:
Logowanie lokalne lub do domeny
Logowanie za pośrednictwem sieci
Resetowanie kont
Tworzenie kont
W poniższej tabeli wymieniono grupy zasad istotne dla uwierzytelniania oraz linki do dokumentacji, które mogą pomóc w skonfigurowaniu tych zasad.
| Grupa polityki | Location | Description |
|---|---|---|
| Polityka Haseł | Zasady komputera lokalnego\Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady konta | Zasady haseł mają wpływ na charakterystykę i zachowanie haseł. Zasady haseł są używane dla kont domeny lub kont użytkowników lokalnych. Określają ustawienia haseł, takich jak wymuszanie i okres istnienia. Aby uzyskać informacje o określonych ustawieniach, zobacz Zasady haseł. |
| Polityka blokady konta | Zasady komputera lokalnego\Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady konta | Opcje zasad blokady konta wyłączają konta po określonej liczbie nieudanych prób logowania. Użycie tych opcji może pomóc w wykrywaniu i blokowaniu prób przerwania haseł. Aby uzyskać informacje o opcjach zasad blokady konta, zobacz zasady blokady konta. |
| Polityka Kerberos | Zasady komputera lokalnego\Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady konta | Ustawienia związane z protokołem Kerberos obejmują okres istnienia biletu i reguły wymuszania. Zasady protokołu Kerberos nie mają zastosowania do lokalnych baz danych kont, ponieważ protokół uwierzytelniania Kerberos nie jest używany do uwierzytelniania kont lokalnych. W związku z tym ustawienia zasad Protokołu Kerberos można skonfigurować tylko za pomocą domyślnego obiektu zasad grupy domeny (GPO), gdzie ma to wpływ na logowania domeny. Aby uzyskać informacje o opcjach zasad protokołu Kerberos dla kontrolera domeny, zobacz zasady protokołu Kerberos. |
| Polityka audytu | Zasady komputera lokalnego\Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Zasady inspekcji | Zasady inspekcji umożliwiają kontrolowanie i zrozumienie dostępu do obiektów, takich jak pliki i foldery, oraz zarządzanie kontami użytkowników i grup oraz logowaniami i wylogowaniami użytkowników. Zasady inspekcji mogą określać kategorie zdarzeń, które mają być poddawane inspekcji, ustawiać rozmiar i zachowanie dziennika zabezpieczeń oraz określać obiekty, które mają być monitorowane, oraz jakiego typu dostęp chcesz monitorować. |
| Przypisywanie praw użytkownika | Zasady komputera lokalnego\Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisywanie praw użytkownika | Prawa użytkownika są zwykle przypisywane na podstawie grup zabezpieczeń, do których należy użytkownik, takich jak Administratorzy, Użytkownicy zasilania lub Użytkownicy. Ustawienia zasad w tej kategorii są zwykle używane do udzielania lub odmowy uprawnień dostępu do komputera na podstawie metody członkostwa w grupach dostępu i zabezpieczeń. |
| Opcje zabezpieczeń | Zasady komputera lokalnego\Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń | Zasady dotyczące uwierzytelniania obejmują: - Urządzenia |
| Delegowanie poświadczeń | Konfiguracja komputera\Szablony administracyjne\System\Delegowanie poświadczeń | Delegowanie poświadczeń to mechanizm umożliwiający użycie lokalnych poświadczeń w innych systemach, w szczególności na serwerach będących członkami i kontrolerach domeny w domenie. Te ustawienia dotyczą aplikacji przy użyciu dostawcy obsługi zabezpieczeń poświadczeń (Cred SSP). Przykładowe połączenie pulpitu zdalnego. |
| KDC | Konfiguracja komputera\Szablony administracyjne\System\KDC | Te ustawienia zasad mają wpływ na sposób, w jaki centrum dystrybucji kluczy (KDC), które jest usługą na kontrolerze domeny, obsługuje żądania uwierzytelniania Kerberos. |
| Kerberos | Konfiguracja komputera\Szablony administracyjne\System\Kerberos | Te ustawienia zasad mają wpływ na sposób, w jaki protokół Kerberos jest skonfigurowany do obsługi obsługi oświadczeń, ochrony protokołu Kerberos, uwierzytelniania złożonego, identyfikowania serwerów proxy i innych konfiguracji. |
| Logon | Konfiguracja komputera\Szablony administracyjne\System\Logowanie | Te ustawienia zasad kontrolują sposób prezentowania środowiska logowania użytkownikom. |
| Logowanie netto | Konfiguracja komputera\Szablony administracyjne\System\Logowanie net | Te ustawienia zasad kontrolują sposób obsługi żądań logowania do sieci, w tym sposobu działania lokalizatora kontrolera domeny. Aby uzyskać więcej informacji o tym, jak lokalizator kontrolera domeny pasuje do procesów replikacji, zobacz Understanding Replication Between Sites. |
| Biometrics | Konfiguracja komputera\Szablony administracyjne\Składniki systemu Windows\Biometria | Te ustawienia zasad zazwyczaj zezwalają na użycie biometrii lub odmawiają ich użycia jako metody uwierzytelniania. Aby uzyskać informacje na temat implementacji biometrycznych systemu Windows, zobacz Omówienie struktury biometrycznej systemu Windows. |
| Interfejs użytkownika poświadczeń | Konfiguracja komputera\Szablony administracyjne\Składniki systemu Windows\Interfejs użytkownika poświadczeń | Te ustawienia zasad określają sposób zarządzania poświadczeniami w punkcie wejścia. |
| Synchronizacja haseł | Konfiguracja komputera\Szablony administracyjne\Składniki systemu Windows\Synchronizacja haseł | Te ustawienia zasad określają sposób zarządzania synchronizacją haseł między systemami operacyjnymi Windows i UNIX. Aby uzyskać więcej informacji, zobacz Synchronizacja haseł. |
| Karta inteligentna | Konfiguracja komputera\Szablony administracyjne\Składniki systemu Windows\Karta inteligentna | Te ustawienia zasad kontrolują sposób zarządzania logowaniami kart inteligentnych przez system. |
| opcje logowania systemu Windows | Konfiguracja komputera\Szablony administracyjne\Składniki systemu Windows\Opcje logowania systemu Windows | Te ustawienia zasad określają, kiedy i jak są dostępne możliwości logowania. |
| opcje Ctrl+Alt+Del | Konfiguracja komputera\Szablony administracyjne\Składniki systemu Windows\Ctrl+Alt+Del Opcje | Te ustawienia zasad mają wpływ na wygląd funkcji i ułatwienia dostępu do funkcji w interfejsie użytkownika logowania (bezpieczny pulpit), takich jak Menedżer zadań i blokada klawiatury komputera. |
| Logon | Konfiguracja komputera\Szablony administracyjne\Składniki systemu Windows\Logowanie | Te ustawienia zasad określają, czy procesy mogą być uruchamiane, gdy użytkownik się zaloguje. |