Active Directory:获取 Kerberos 服务票证的权限

Active Directory:获取 Kerberos 服务票证的权限

我有一个在 Windows Server 2012 上运行的带有 KDC 的 Active Directory。

目前,每个用户都可以从 TGS 请求每个服务的服务票证。我正在寻找一种解决方案,其中 KDC 仅在用户属于 Y 组或类似组时才授予服务 X 的服务票证。

使用 Active Directory 可以实现这一点吗?

答案1

是的,要么删除“允许身份验证”(并添加特定组)权限,要么根据需要拒绝该权限。

默认情况下,同一域中的所有用户都允许进行身份验证。

如果目标计算机(或服务帐户,取决于服务)没有“允许身份验证”权限,KDC 将不会向该服务(SPN)的该主体(用户)颁发服务票证。

相关内容