Tenho um Active Directory com um KDC em execução no Windows Server 2012.
Neste momento, cada utilizador pode solicitar bilhetes de serviço para todos os serviços do TGS. Estou procurando uma solução onde o KDC só conceda um ticket de serviço para o serviço X se o usuário estiver no grupo Y ou algo semelhante.
Isso é possível com o Active Directory?
Responder1
sim, remova a permissão "permitir autenticação" (e adicione o grupo específico) ou negue essa permissão conforme apropriado.
Por padrão, todos os usuários no mesmo domínio têm permissão para autenticação.
Sem a permissão “Permitido autenticar” para um computador de destino (ou conta de serviço, dependendo do serviço), o KDC não emitirá um tíquete de serviço para esse sujeito (usuário) para esse serviço (SPN).