Как использовать токен для нескольких уч. записей (WinSRV2016)?

Question

[hendrixix]

Добрый день. Прошу по возможности помочь с возникшими трудностями при организации защиты административных учетных записей. Что имеем:
Центр сертификации Windows Server 2016
Создан шаблон для рутокен (скопирован шаблон Smartcard Logon)
Администратор предприятия получил сертификаты (Administrator и Enrollment Agent)
Администратор предприятия в certmgr. msc - Personal - Certificates (All Tasks - Advanced Options - Enroll Behalf Off)
Выбирает сертификат, выбирает пользователя и записывает на токен ключ.

Аутентификация для пользователя на сервере работает нормально, но вот в чем проблема.
Если я на данный токен записываю ключи еще для нескольких пользователей, аутентификация под ними на этом же сервере не проходит. Я выбираю нужного пользователя из смарт карт в mstsc.exe и при подключении автоматом выбирается пользователь, ключ которого я записывал первым.

Неужели токен можно использовать только под одну уч. запись? Я определенно где-то туплю.

Comments

[hendrixix]

В настройках токена менял ключ по умолчанию, эффекта это не дало.

[nApoBo3]

С точки зрения безопасности у каждого пользователя должен быть свой токен.

[hendrixix]

nApoBo3, с точки зрения адекватной безопасности у каждого персонализированного пользователя должен быть свой токен, так и есть. Конечно если речь не про учетные записи с повышенными привилегиями, права которых распространяются на всю инфраструктуру.
В ином случае буду похож на ключника с "Форт Боярд".

[nApoBo3]

hendrixix, какой смысл в нескольких учетных записях если токен у вас один?

[hendrixix]

nApoBo3, смысл в нескольких учетных записях в разграничении полномочий для разных топов групп серверов.
Смысл токена в данном случае в исключении авторизации без него, все.