我有一個在 Windows Server 2012 上執行的 KDC 的 Active Directory。
目前,每個用戶都可以向 TGS 要求每項服務的服務票據。我正在尋找一種解決方案,其中如果使用者位於 Y 群組或類似的群組中,KDC 僅授予服務 X 的服務票證。
活動目錄可以做到這一點嗎?
答案1
是的,刪除「允許身份驗證」(並新增特定群組)權限或根據需要拒絕該權限。
預設情況下,同一網域中的所有使用者都允許進行身份驗證。
如果沒有對目標電腦(或服務帳戶,取決於服務)的「允許身份驗證」權限,KDC 將不會向該服務 (SPN) 的主體(使用者)頒發服務票證。