У меня есть Active Directory с KDC, работающим на Windows Server 2012.
На данный момент каждый пользователь может запросить сервисные билеты для каждой услуги у TGS. Я ищу решение, в котором KDC предоставляет билет службы для службы X, только если пользователь находится в группе Y или что-то подобное.
Возможно ли это с Active Directory?
да, либо удалите разрешение «разрешить аутентификацию» (и добавьте конкретную группу), либо отклоните это разрешение в зависимости от ситуации.
По умолчанию все пользователи в одном домене имеют разрешение на аутентификацию.
Без разрешения «Разрешить аутентификацию» для целевого компьютера (или учетной записи службы, в зависимости от службы), KDC не будет выдавать билет службы этому субъекту (пользователю) для этой службы (SPN).