Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Kerberos har lagt till stöd för domänanslutna enheter för inloggning med hjälp av ett certifikat som börjar med Windows Server 2012 och Windows 8. Med den här ändringen kan tredjepartsleverantörer skapa lösningar för att etablera och initiera certifikat för domänanslutna enheter som ska användas för domänautentisering.
Automatisk etablering av offentliga nycklar
Från och med Windows 10 version 1507 och Windows Server 2016 etablerar domänanslutna enheter automatiskt en bunden offentlig nyckel till en Domänkontrollant för Windows Server 2016 (DC). När en nyckel har etablerats kan Windows använda autentisering med offentlig nyckel till domänen.
Nyckelgenerering
Om enheten kör Credential Guard skapas ett offentligt/privat nyckelpar som skyddas av Credential Guard.
Om Credential Guard inte är tillgängligt och en TPM är det, skapas ett offentligt/privat nyckelpar som skyddas av TPM.
Om inget av dem är tillgängligt genereras inte ett nyckelpar och enheten kan bara autentisera med hjälp av lösenord.
Offentlig nyckel för tillhandahållande av datorkonto
När Windows startas kontrollerar den om en offentlig nyckel har etablerats för dess datorkonto. Annars genererar den en bunden offentlig nyckel och konfigurerar den för sitt konto i AD med hjälp av en Windows Server 2016 eller högre domänkontrollant. Om alla domänkontrollanter är på lägre nivå, tilldelas ingen nyckel.
Konfigurera enheten så att den endast använder offentlig nyckel
Om grupprincipinställningen Stöd för enhetsautentisering med certifikat är inställd på Framtvinga måste enheten hitta en domänkontrollant som kör Windows Server 2016 eller senare för att kunna autentisera sig. Inställningen finns under Administrationsmallar > System > Kerberos.
Konfigurera enheten så att den endast använder lösenord
Om grupprincipinställningen Stöd för enhetsautentisering med certifikat är inaktiverat används alltid lösenord. Inställningen finns under Administrationsmallar > System > Kerberos.
Domänansluten enhetsautentisering med offentlig nyckel
När Windows har ett certifikat för den domänanslutna enheten autentiserar Kerberos först med certifikatet och vid misslyckade återförsök med lösenord. På så sätt kan enheten autentisera till domänkontrollanter på nednivå.
Eftersom de automatiskt etablerade offentliga nycklarna har ett självsignerat certifikat misslyckas certifikatverifieringen på domänkontrollanter som inte stöder nyckelförtroendekontomappning. Som standard försöker Windows autentisering igen med enhetens domänlösenord.