Ich habe ein Active Directory mit einem KDC, das unter Windows Server 2012 ausgeführt wird.
Momentan kann jeder Benutzer Servicetickets für jeden Dienst beim TGS anfordern. Ich suche nach einer Lösung, bei der das KDC nur dann ein Serviceticket für Dienst X erteilt, wenn der Benutzer zur Gruppe Y oder etwas Ähnlichem gehört.
Ist das mit Active Directory möglich?
Antwort1
ja, entfernen Sie entweder die Berechtigung „Authentifizierung zulassen“ (und fügen Sie die bestimmte Gruppe hinzu) oder verweigern Sie diese Berechtigung entsprechend.
Standardmäßig ist es allen Benutzern in der gleichen Domäne gestattet, sich zu authentifizieren.
Ohne die Berechtigung „Authentifizierung zulässig“ für einen Zielcomputer (oder Dienstkonto, je nach Dienst) stellt das KDC diesem Subjekt (Benutzer) für diesen Dienst (SPN) kein Dienstticket aus.