У меня есть Active Directory с KDC, работающим на Windows Server 2012.
На данный момент каждый пользователь может запросить билеты на обслуживание для каждой услуги из TGS. Я ищу решение, при котором KDC выдает билет на обслуживание для услуги X, только если пользователь находится в группе Y или что-то в этом роде.
Возможно ли это с помощью Active Directory?
решение1
да, либо удалите разрешение «разрешить аутентификацию» (и добавьте конкретную группу), либо откажите в этом разрешении в зависимости от ситуации.
По умолчанию всем пользователям в одном домене разрешена аутентификация.
Без разрешения «Разрешено выполнять аутентификацию» для целевого компьютера (или учетной записи службы, в зависимости от службы) KDC не выдаст билет службы этому субъекту (пользователю) для этой службы (SPN).