我有一个在 Windows Server 2012 上运行的带有 KDC 的 Active Directory。
目前,每个用户都可以从 TGS 请求每个服务的服务票证。我正在寻找一种解决方案,其中 KDC 仅在用户属于 Y 组或类似组时才授予服务 X 的服务票证。
使用 Active Directory 可以实现这一点吗?
答案1
是的,要么删除“允许身份验证”(并添加特定组)权限,要么根据需要拒绝该权限。
默认情况下,同一域中的所有用户都允许进行身份验证。
如果目标计算机(或服务帐户,取决于服务)没有“允许身份验证”权限,KDC 将不会向该服务(SPN)的该主体(用户)颁发服务票证。