Как использовать токен для нескольких уч. записей (WinSRV2016)?
Добрый день. Прошу по возможности помочь с возникшими трудностями при организации защиты административных учетных записей. Что имеем:
Центр сертификации Windows Server 2016
Создан шаблон для рутокен (скопирован шаблон Smartcard Logon)
Администратор предприятия получил сертификаты (Administrator и Enrollment Agent)
Администратор предприятия в certmgr. msc - Personal - Certificates (All Tasks - Advanced Options - Enroll Behalf Off)
Выбирает сертификат, выбирает пользователя и записывает на токен ключ.
Аутентификация для пользователя на сервере работает нормально, но вот в чем проблема.
Если я на данный токен записываю ключи еще для нескольких пользователей, аутентификация под ними на этом же сервере не проходит. Я выбираю нужного пользователя из смарт карт в mstsc.exe и при подключении автоматом выбирается пользователь, ключ которого я записывал первым.
Неужели токен можно использовать только под одну уч. запись? Я определенно где-то туплю.
nApoBo3, с точки зрения адекватной безопасности у каждого персонализированного пользователя должен быть свой токен, так и есть. Конечно если речь не про учетные записи с повышенными привилегиями, права которых распространяются на всю инфраструктуру.
В ином случае буду похож на ключника с "Форт Боярд".
nApoBo3, смысл в нескольких учетных записях в разграничении полномочий для разных топов групп серверов.
Смысл токена в данном случае в исключении авторизации без него, все.
hendrixix, привет. Подскажи а можно ли выпустить наоборот два токена на одного пользователя? Есть необходимость в выпуске носителя на одного юзера, чтобы он работал с двух мест, но ЭЦП покидать пределы периметра (что первого что второго) не должна. Если на первом месте юзер отсутствует - ЭЦП в его сейфе. Приезжает на другое - берет из второго сейфа аналогичную копию ЭЦП.
Средний
