Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det här referensavsnittet för IT-proffs beskriver användningen och effekten av grupprincipinställningar i autentiseringsprocessen.
Du kan hantera autentisering i Windows-operativsystem genom att lägga till användar-, dator- och tjänstkonton i grupper och sedan genom att tillämpa autentiseringsprinciper på dessa grupper. Dessa principer definieras som lokala säkerhetsprinciper och som administrativa mallar, även kallade grupprincipinställningar. Båda uppsättningarna kan konfigureras och distribueras i hela organisationen med hjälp av grupprincip.
Note
Med funktioner som introduceras i Windows Server 2012 R2 kan du konfigurera autentiseringsprinciper för riktade tjänster eller program, som ofta kallas autentiseringssilor, med hjälp av skyddade konton. Information om hur du gör detta i Active Directory finns i Konfigurera skyddade konton.
Du kan till exempel tillämpa följande principer på grupper baserat på deras funktion i organisationen:
Logga in lokalt eller till en domän
Logga in via ett nätverk
Återställa konton
Skapa konton
I följande tabell visas principgrupper som är relevanta för autentisering och innehåller länkar till dokumentation som kan hjälpa dig att konfigurera dessa principer.
| Policygrupp | Location | Description |
|---|---|---|
| lösenordsprincip | Lokal datorprincip\Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Kontoprinciper | Lösenordsprinciper påverkar lösenordens egenskaper och beteende. Lösenordsprinciper används för domänkonton eller lokala användarkonton. De bestämmer inställningar för lösenord, till exempel tillämpning och livslängd. Information om specifika inställningar finns i Lösenordsprincip. |
| princip för kontoutelåsning | Lokal datorprincip\Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Kontoprinciper | Principalternativ för kontoutelåsning inaktiverar konton efter ett visst antal misslyckade inloggningsförsök. Med de här alternativen kan du identifiera och blockera försök att bryta lösenord. Information om alternativ för kontoutelåsning finns i Policy för kontoutelåsning. |
| Kerberos-princip | Lokal datorprincip\Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Kontoprinciper | Kerberos-relaterade inställningar inkluderar biljettens livslängd och tillämpningsregler. Kerberos-principen gäller inte för lokala kontodatabaser eftersom Kerberos-autentiseringsprotokollet inte används för att autentisera lokala konton. Därför kan Kerberos-principinställningarna endast konfigureras med hjälp av standarddomänen Grupprincipobjekt (GPO), där det påverkar domäninloggning. Information om Kerberos-principalternativ för domänkontrollanten finns i Kerberos Policy. |
| granskningsprincip | Lokal datorprincip\Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Granskningsprincip | Med granskningsprincipen kan du styra och förstå åtkomsten till objekt, till exempel filer och mappar, samt hantera användar- och gruppkonton, användarinloggningar och utloggningar. Granskningsprinciper kan ange de kategorier av händelser som du vill granska, ange storlek och beteende för säkerhetsloggen och avgöra vilka objekt du vill övervaka åtkomst och vilken typ av åtkomst du vill övervaka. |
| Tilldelning av användarrättigheter | Lokal datorprincip\Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter | Användarrättigheter tilldelas vanligtvis på grundval av de säkerhetsgrupper som en användare tillhör, till exempel administratörer, power-användare eller användare. Principinställningarna i den här kategorin används vanligtvis för att bevilja eller neka behörighet att komma åt en dator baserat på metoden för åtkomst- och säkerhetsgruppmedlemskap. |
| Säkerhetsalternativ | Lokal datorprincip\Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Säkerhetsalternativ | Principer som är relevanta för autentisering är: -Enheter |
| delegering av autentiseringsuppgifter | Datorkonfiguration\Administrativa mallar\System\Delegering av behörigheter | Delegering av autentiseringsuppgifter är en mekanism som gör att lokala autentiseringsuppgifter kan användas på andra system, framför allt medlemsservrar och domänkontrollanter i en domän. De här inställningarna gäller för program med hjälp av Credential Security Support Provider (Cred SSP). Anslutning till fjärrskrivbord är ett exempel. |
| KDC | Datorkonfiguration\Administrativa mallar\System\KDC | Dessa principinställningar påverkar hur Key Distribution Center (KDC), som är en tjänst på domänkontrollanten, hanterar Kerberos-autentiseringsbegäranden. |
| Kerberos | Datorkonfiguration\Administrativa mallar\System\Kerberos | De här principinställningarna påverkar hur Kerberos är konfigurerat för att hantera stöd för anspråk, Kerberos-skydd, sammansatt autentisering, identifiering av proxyservrar och andra konfigurationer. |
| Logon | Datorkonfiguration\Administrativ mall\System\Inloggning | De här principinställningarna styr hur systemet presenterar inloggningsupplevelsen för användare. |
| Net-inloggning | Datorkonfiguration\Administrativa mallar\System\Nätinloggning | De här principinställningarna styr hur systemet hanterar begäranden om nätverksinloggning, inklusive hur domänkontrollantens positionerare beter sig. Mer information om hur domänkontrollantens positionerare passar in i replikeringsprocesser finns i Understanding Replication Between Sites. |
| Biometrics | Datorkonfiguration\Administrativa mallar\Windows-komponenter\Biometri | Dessa principinställningar tillåter eller nekar vanligtvis användning av Biometri som autentiseringsmetod. Information om Windows-implementeringen av biometri finns i Översikt över Windows Biometric Framework. |
| Användargränssnitt för användarautentisering | Datorkonfiguration\Administrativa mallar\Windows-komponenter\Användargränssnitt för autentiseringsuppgifter | De här principinställningarna styr hur autentiseringsuppgifter hanteras vid startpunkten. |
| lösenordssynkronisering | Datorkonfiguration\Administrativa mallar\Windows-komponenter\Lösenordssynkronisering | De här principinställningarna avgör hur systemet hanterar synkroniseringen av lösenord mellan Windows- och UNIX-baserade operativsystem. Mer information finns i lösenordssynkronisering. |
| smartkort | Datorkonfiguration\Administrativa mallar\Windows-komponenter\Smartkort | De här principinställningarna styr hur systemet hanterar smartkortsinloggningar. |
| Windows-inloggningsalternativ | Datorkonfiguration\Administrativa mallar\Windows-komponenter\Windows-inloggningsalternativ | De här principinställningarna styr när och hur inloggningsmöjligheter är tillgängliga. |
| Ctrl+Alt+Del-alternativ | Datorkonfiguration\Administrativa mallar\Windows-komponenter\Ctrl+Alt+Del-alternativ | Dessa principinställningar påverkar utseendet på och tillgängligheten för funktioner i inloggningsgränssnittet (Secure Desktop), till exempel Aktivitetshanteraren och datorns tangentbordslås. |
| Logon | Datorkonfiguration\Administrativa mallar\Windows-komponenter\Inloggning | De här principinställningarna avgör om eller vilka processer som kan köras när användaren loggar in. |