我有一个混合加入的 Windows 域,并已设置使用智能卡和 Windows Hello for Business 进行登录。我希望能够根据用户是否使用智能卡登录来设置文件服务器权限。根据我找到的非常有限的信息以及一些测试,我发现当用户使用智能卡或 WHFB 登录时,他们会被添加到“NT AUTHORITY\This Organization 证书”(SID S-1-5-65-1) 特殊身份组,但当他们使用用户名/密码登录时则不会。
我的问题是,我无法在域中的计算机的“选择用户、计算机、服务帐户或组”中找到“此组织证书”(它确实显示在未加入的计算机上)。当我搜索“此”时,唯一出现的是“此组织”
我还觉得我很有可能忽略了我正在尝试做的事情中显而易见的某些东西,因为“关键属性多因素身份验证”特殊身份组对于 WHFB 来说运行良好,但不适用于智能卡。
到目前为止我已经看过这些解决方案
- 将“本组织证书”添加到 ADSI 编辑配置中的众所周知的安全主体。我找不到太多关于如何执行此操作的指导(或者是否可行),但我相信我已经弄清楚了强制属性,但收到“非法修改操作”错误 0x2077 UpdErr:DSID-0305149b,问题 6002 错误。
- 寻找一种方法来通过其 SID 指定组
- 确定为什么智能卡登录不会将用户添加到“关键属性多因素身份验证”(输入此内容时才想到这一点)
正如你可能推断的那样,我正在努力解决这个问题,如果你能推荐一些好书或网站,那也会很有帮助
谢谢