带有智能卡的 Windows 共享用户帐户

带有智能卡的 Windows 共享用户帐户

我正在寻找一种使用智能卡来锁定和解锁共享用户帐户使用的 Windows 工作站的方法。

1)我们希望使用每个用户的个人员工卡锁定/解锁共享用户帐户。

2) 在特定区域,我们想要锁定工作站,但让屏幕仍然显示活动会话/程序。当卡不在读卡器中时,应该只有键盘和鼠标不工作。

通常情况下,我们可以制定一个策略,当卡从读卡器中取出时锁定帐户。但是,在这种情况下,我们有几组人共享一个登录名来访问各种资源。我们希望单个用户能够解锁几个不同的共享用户帐户。假设一个工程师或主管负责更大的范围。

答案1

对于 #1,你的选择是:

  1. 创建一个可以登录特定工作站的共享用户帐户,然后使用用户帐户证书映射将特定用户的智能卡证书映射到该共享帐户。

  2. 选择什么格雷格·阿斯库并在智能卡中添加第二个共享身份,以便用户在登录时选择。

对于要求 #2,除了一些自定义编码之外,我不确定这还能做什么。听起来你想在智能卡被移除时触发某种信息亭模式。如果你只想显示已登录用户的列表,你可以设置智能卡移除行为锁定工作站,然后确保Interactive logon: Display user information when the session is locked.GPO 已配置。

如果你真的想在移除智能卡时禁用鼠标/键盘,我认为你唯一的选择是编写一些代码来与 Windows API 对话,并使用SCardGetStatusChange每个函数监视这些事件微软和这个StackExchange 帖子

相关内容