У меня есть поставщик учетных данных, который работает не так, как я хочу. Он обеспечивает вторичную аутентификацию, но она предназначена для всех интерактивных учетных записей Windows на уровне хоста, а не для конкретного пользователя.
В дополнение к поставщику учетных данных установлен фильтр поставщика учетных данных. Фильтр поставщика учетных данных ограничивает использование поставщиков учетных данных на экране входа в систему только этим поставщиком учетных данных. Однако, если фильтр поставщика учетных данных удален (путем удаления ключа ниже HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters), то пользователь может сменить поставщика учетных данных на любого другого доступного поставщика учетных данных (включая нашего старого доброго друга PasswordProvider).
Мое намерение состоит в том, чтобы обеспечить использование поставщика учетных данных для определенных пользователей. Например, это нормально, если этот пользователь пытается войти в систему с другим поставщиком учетных данных, но я бы хотел, чтобы AD отклонил этот запрос ... разрешая запросы только в том случае, если они вызываются из правильного поставщика учетных данных.
Это возможно? Я надеюсь, что есть способ настроить объект пользователя в AD, чтобы ограничить допустимые поставщики учетных данных.
Спасибо
Хороший вопрос. Так как отмечено здесь и без лучших источников ответ появляется быть нет.
Цитата:
Важно отметить, что поставщики учетных данных не являются механизмами принудительного применения.
Так как:
Поставщики учетных данных зарегистрированы на компьютере с Windows и несут ответственность за следующее.
- Описание учетных данных, необходимых для аутентификации.
- Обработка связи и логики с любыми внешними органами аутентификации.
- Упаковка учетных данных для интерактивного входа и входа в сеть.
То есть это механизмы на стороне клиента.
Также описана передовая практика, чтобы полностью не запрещать доступ хотя бы к одному провайдеру на уровне хоста, чтобы не вызвать полную блокировку:
Хотя сторонние поставщики учетных данных могут выполнять дополнительные требования аутентификации для определенных групп пользователей, очень важно гарантировать, что пользователь всегда может восстановить доступ к своей машине при возникновении критического изменения. Поставщики системных учетных данных предоставляют эту гарантию.
Итак ... кажется, что рекомендуется не исключать доступ к провайдерам на уровне хоста. Простое решение, если вы все равно хотите ограничить: не предоставлять пользователям разрешение на удаление раздела реестра.
Группа безопасности защищенных пользователей не выполняет то, что вы просите, но является одним из способов усиления защиты серверной части процесса аутентификации.