É possível impor um provedor de credencial específico por usuário do Active Directory?

Question

É possível impor um provedor de credencial específico por usuário do Active Directory?

#1 resposta do (3 votos)

6

Eu tenho um provedor de credenciais que não atua da maneira que eu quero. Ele fornece autenticação secundária, mas seu escopo é para todos os logons interativos do Windows em todo o host, não para um usuário específico.

Além do provedor de credenciais, um filtro de provedor de credenciais é instalado. O filtro do provedor de credenciais restringe o uso de provedores de credenciais na tela de login para apenas esse provedor de credenciais. No entanto, se o filtro de provedor de credenciais for removido (via exclusão da chave abaixo de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters ), um usuário poderá alterar o provedor de credenciais para qualquer outro provedor de credenciais disponível (incluindo nosso bom e velho amigo PasswordProvider ).

Minha intenção é impor o uso do provedor de credenciais para determinados usuários. Por exemplo, não há problema se esse usuário tentar fazer login com outro provedor de credenciais, mas eu gostaria que o AD rejeitasse essa solicitação ... apenas permitindo solicitações se elas fossem chamadas pelo provedor de credenciais correto.

Isso é possível? Espero que haja uma maneira de configurar um objeto de usuário no AD para restringir os provedores de credenciais aceitáveis.

Obrigado

windows active-directory credentials

por mbrownnyc 14.02.2017 / 22:03

1 resposta

Tags windows active-directory credentials

O trabalho agendado do PowerShell não está sendo executado na inicialização Guest vNIC alterado para VMXNet3, não pode fazer SNMP contra dispositivos Cisco ASA

score 3 · Accepted Answer

Boa pergunta. Como anotado aqui e sem fontes melhores, a resposta aparece como não.

Citação:

It is important to note that credential providers are not enforcement mechanisms.

Porque:

Credential providers are registered on a Windows machine and are responsible for the following.

Describing the credential information required for authentication.

Handling the communication and logic with any external authentication authorities.

Packaging the credentials for interactive and network logon.

Ou seja, eles são mecanismos do lado do cliente.

Além disso, descreve-se uma prática recomendada para não permitir totalmente o acesso a pelo menos um provedor de host, para não causar bloqueio completo:

While third-party credential providers may fulfill additional authentication requirements for particular groups of users, it is very important to ensure that the user can always regain access to their machine when a breaking change occurs. System credential providers provide this guarantee.

Então ... a recomendação parece não ser excluir o acesso a provedores de hospedagem ampla. Solução simples se você quiser restringir de qualquer maneira: não concede aos usuários permissão para excluir a chave do registro .

O grupo de segurança de usuários protegidos não faz o que você pergunta, mas é uma maneira de endurecer o lado do servidor do processo de autenticação.