Windows Server 2012에서 실행되는 KDC가 포함된 Active Directory가 있습니다.
현재 모든 사용자는 TGS에서 모든 서비스에 대한 서비스 티켓을 요청할 수 있습니다. 사용자가 그룹 Y 또는 유사한 그룹에 있는 경우 KDC가 서비스 X에 대한 서비스 티켓만 부여하는 솔루션을 찾고 있습니다.
Active Directory로 가능합니까?
답변1
예, "인증 허용"(및 특정 그룹 추가) 권한을 제거하거나 적절하게 해당 권한을 거부하십시오.
기본적으로 동일한 도메인의 모든 사용자는 인증을 허용합니다.
대상 컴퓨터(또는 서비스에 따라 서비스 계정)에 대한 "인증 허용" 권한이 없으면 KDC는 해당 서비스(SPN)에 대해 해당 주체(사용자)에게 서비스 티켓을 발급하지 않습니다.