Назад | Перейти на главную страницу

Общие учетные записи пользователей Windows со смарт-картами

Я ищу способ использовать смарт-карты для блокировки и разблокировки рабочих станций Windows, используемых общими учетными записями пользователей.

1) Мы хотим заблокировать / разблокировать общую учетную запись пользователя с помощью личной карты персонала каждого пользователя.

2) в определенных областях мы хотим заблокировать рабочую станцию, но пусть экран все еще показывает активную сессию / программы. Должно получиться так, как будто только клавиатура и мышь не работают, пока карта не в картридере.

Обычно у нас может быть политика, блокирующая учетную запись, когда карта вынимается из устройства чтения. Однако в этом случае у нас есть несколько групп людей, использующих один логин для доступа к различным ресурсам. Мы хотим, чтобы один пользователь мог разблокировать несколько разных общих учетных записей. Скажем, инженер или супервизор, у которого большая зона ответственности.

Для №1 у вас есть следующие варианты:

  1. Создайте общую учетную запись пользователя, которая может входить в систему на определенных рабочих станциях, а затем использовать сопоставление сертификата учетной записи для сопоставления сертификатов смарт-карт от определенных пользователей с этой общей учетной записью.

  2. Пойти с чем Грег Аскью сказал, и добавьте вторую общую идентификацию на смарт-карту, которую пользователи затем выбирают при входе в систему.

Что касается требования №2, я не уверен, что это делает за пределами некоторого пользовательского кодирования. Похоже, вы хотите запустить какой-то режим киоска при удалении смарт-карты. Если все, что вы хотите, это показать список вошедших в систему пользователей, вы можете установить поведение при удалении смарт-карты заблокировать рабочую станцию, а затем убедитесь, что Interactive logon: Display user information when the session is locked. GPO настроен.

Если вы действительно хотите просто отключить мышь / клавиатуру при удалении смарт-карты, я думаю, что ваш единственный вариант - написать код, чтобы общаться с Windows API и наблюдать за этими событиями, используя SCardGetStatusChange функция на MSDN и это Сообщение StackExchange.