Tengo un Active Directory con un KDC ejecutándose en Windows Server 2012.
Actualmente, todo usuario puede solicitar boletas de servicio para cada servicio al TGS. Estoy buscando una solución en la que el KDC solo otorgue un ticket de servicio para el servicio X si el usuario está en el grupo Y o algo similar.
¿Es eso posible con Active Directory?
Respuesta1
sí, elimine el permiso "permitir autenticar" (y agregue el grupo específico) o niegue ese permiso según corresponda.
De forma predeterminada, todos los usuarios del mismo dominio tienen permiso para autenticarse.
Sin el permiso "Permitido para autenticar" en una computadora de destino (o cuenta de servicio, según el servicio), el KDC no emitirá un ticket de servicio a ese sujeto (usuario) para ese servicio (SPN).