Windows Server 2012 上で実行されている KDC を備えた Active Directory があります。
現時点では、すべてのユーザーは TGS からすべてのサービスに対してサービス チケットを要求できます。ユーザーがグループ Y またはそれに類似するグループに属している場合にのみ、KDC がサービス X のサービス チケットを付与するソリューションを探しています。
Active Directory ではそれが可能ですか?
答え1
はい、必要に応じて、「認証を許可する」(および特定のグループを追加する)権限を削除するか、その権限を拒否します。
デフォルトでは、同じドメイン内のすべてのユーザーに認証が許可されます。
ターゲット コンピューター (またはサービスによってはサービス アカウント) に対する「認証を許可」アクセス許可がない場合、KDC はそのサービス (SPN) のそのサブジェクト (ユーザー) にサービス チケットを発行しません。