Authentifizierungsrichtlinien und AuthentifizierungsrichtliniensilosAuthentication Policies and Authentication Policy Silos

Gilt für: Windows Server (Semikolons jährlichen Channel), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

In diesem Thema für IT-Experten beschreibt die authentifizierungsrichtliniensilos und die Richtlinien, die Konten auf diese Silos beschränkt werden können.This topic for the IT professional describes authentication policy silos and the policies that can restrict accounts to those silos. Es wird erläutert, wie Authentifizierungsrichtlinien verwendet werden können, um den Bereich von Konten zu beschränken.It also explains how authentication policies can be used to restrict the scope of accounts.

Authentifizierungsrichtliniensilos und die zugehörigen Richtlinien bieten eine Möglichkeit, Anmeldeinformationen mit umfassenden rechten Systeme enthalten, die nur für ausgewählte Benutzer, Computer oder Dienste relevant sind.Authentication policy silos and the accompanying policies provide a way to contain high-privilege credentials to systems that are only pertinent to selected users, computers, or services. Silos können definiert und in Active Directory-Domänendienste (AD DS) mithilfe der Active Directory-Verwaltungscenter und Active Directory Windows PowerShell-Cmdlets verwaltet werden.Silos can be defined and managed in Active Directory Domain Services (AD DS) by using the Active Directory Administrative Center and the Active Directory Windows PowerShell cmdlets.

Authentifizierungsrichtliniensilos sind Container, die Administratoren Benutzerkonten, Computerkonten und Dienstkonten zuweisen können.Authentication policy silos are containers to which administrators can assign user accounts, computer accounts, and service accounts. Gruppen von Konten können dann über die Authentifizierungsrichtlinien verwaltet werden, die auf diesen Container angewendet wurden.Sets of accounts can then be managed by the authentication policies that have been applied to that container. Dies reduziert die Notwendigkeit der Administrator den Zugriff auf Ressourcen für einzelne Konten verfolgen und verhindert, dass böswillige Benutzer Zugriff auf andere Ressourcen durch den Diebstahl von Anmeldeinformationen.This reduces the need for the administrator to track access to resources for individual accounts, and helps prevent malicious users from accessing other resources through credential theft.

In Windows Server 2012 R2 eingeführte Funktionen ermöglichen die Authentifizierung authentifizierungsrichtliniensilos erstellen, die eine Gruppe von Benutzern mit umfassenden Rechten zu hosten.Capabilities introduced in Windows Server 2012 R2 , allow you to create authentication policy silos, which host a set of high-privilege users. Sie können dann Authentifizierungsrichtlinien für diesen Container Limit zuweisen, privilegierte Konten in der Domäne verwendet werden können.You can then assign authentication policies for this container to limit where privileged accounts can be used in the domain. Konten in der Sicherheitsgruppe der geschützten Benutzer sind, werden zusätzliche Steuerelemente, z. B. die exklusive Verwendung des Kerberos-Protokolls angewendet.When accounts are in the Protected Users security group, additional controls are applied, such as the exclusive use of the Kerberos protocol.

Mit diesen Funktionen können Sie die Verwendung von hochwertiger Konten auf hochwertige Hosts begrenzen.With these capabilities, you can limit high-value account usage to high-value hosts. Sie könnten z. B. einem Silo für Administratoren der neuen Gesamtstruktur erstellen, Enterprise, Schema und Domänenadministratoren enthält.For example, you could create a new Forest Administrators silo that contains enterprise, schema, and domain administrators. Sie können dann das Silo mit einer Authentifizierungsrichtlinie konfigurieren, sodass Kennwort- und Smartcard-basierte Authentifizierung von Systemen, die keine Domänencontroller oder domänenadministratorkonsolen sind, fehlschlägt.Then you could configure the silo with an authentication policy so that password and smartcard-based authentication from systems other than domain controllers and domain administrator consoles would fail.

Informationen zum Konfigurieren von authentifizierungsrichtliniensilos und Authentifizierungsrichtlinien finden Sie unter How to Configure Protected Accounts.For information about configuring authentication policy silos and authentication policies, see How to Configure Protected Accounts.

Informationen zu authentifizierungsrichtliniensilosAbout authentication policy silos

Authentifizierungsrichtliniensilos steuert, welche Konten durch das Silo eingeschränkt werden können und definiert die Authentifizierungsrichtlinien, die Mitglieder angewendet.An authentication policy silo controls which accounts can be restricted by the silo and defines the authentication policies to apply to the members. Sie können das Silo anhand der Anforderungen Ihrer Organisation erstellen.You can create the silo based on the requirements of your organization. Silos sind Active Directory-Objekte für Benutzer, Computer und Dienste, die nach dem Schema in der folgenden Tabelle definiert.The silos are Active Directory objects for users, computers, and services as defined by the schema in the following table.

Active Directory-Schema für authentifizierungsrichtliniensilosActive Directory schema for authentication policy silos

AnzeigenameDisplay Name BeschreibungDescription
AuthentifizierungsrichtliniensiloAuthentication Policy Silo Eine Instanz dieser Klasse definiert die Authentifizierungsrichtlinien und das zugehörige Verhalten für die zugewiesenen Benutzer, Computer und Dienste.An instance of this class defines authentication policies and related behaviors for assigned users, computers, and services.
AuthentifizierungsrichtliniensilosAuthentication Policy Silos Ein Container dieser Klasse kann authentifizierungsrichtliniensilo-Objekte enthalten.A container of this class can contain authentication policy silo objects.
Authentifizierungsrichtliniensilo erzwungenAuthentication Policy Silo Enforced Gibt an, ob das authentifizierungsrichtliniensilo erzwungen wird.Specifies whether the authentication policy silo is enforced.

Wenn Sie nicht erzwungen wird, ist die Richtlinie standardmäßig im Überwachungsmodus.When not enforced, the policy by default is in audit mode. Ereignisse, die potenzielle Erfolge und Fehler generiert, aber Schutzmaßnahmen nicht auf das System angewendet.Events that indicate potential successes and failures are generated, but protections are not applied to the system.
Assigned Authentication Policy Silo RückverweisAssigned Authentication Policy Silo Backlink Dieses Attribut ist der Rückverweis für MsDS-AssignedAuthNPolicySilo.This attribute is the back link for msDS-AssignedAuthNPolicySilo.
Authentication Policy Silo MitgliederAuthentication Policy Silo Members Gibt an, welche Prinzipale dem authnpolicysilo-Objekt zugewiesen sind.Specifies which principals are assigned to the AuthNPolicySilo.
Authentication Policy Silo Mitglieder RückverweisAuthentication Policy Silo Members Backlink Dieses Attribut ist der Rückverweis für MsDS-AuthNPolicySiloMembers.This attribute is the back link for msDS-AuthNPolicySiloMembers.

Authentifizierungsrichtliniensilos können mithilfe der Active Directory-Verwaltungskonsole oder Windows PowerShell konfiguriert werden.Authentication policy silos can be configured by using the Active Directory Administrative Console or Windows PowerShell. Weitere Informationen finden Sie unter How to Configure Protected Accounts.For more information, see How to Configure Protected Accounts.

Informationen zu AuthentifizierungsrichtlinienAbout authentication policies

Authentifizierungsrichtlinien definieren die Kerberos-Ticket-granting Ticket (TGT) Lebensdauer Protokolleigenschaften und die Bedingungen für die authentifizierungszugriffssteuerung für einen Kontotyp.An authentication policy defines the Kerberos protocol ticket-granting ticket (TGT) lifetime properties and authentication access control conditions for an account type. Die Richtlinie basiert auf und steuert den AD DS-Container als das authentifizierungsrichtliniensilo bezeichnet.The policy is built on and controls the AD DS container known as the authentication policy silo.

Authentifizierungsrichtlinien wird Folgendes gesteuert:Authentication policies control the following:

  • Die TGT-Lebensdauer für das Konto, die auf nicht erneuerbar.The TGT lifetime for the account, which is set to be non-renewable.

  • Die Kriterien, die gerätekonten erfüllen, um sich mit einem Kennwort oder ein Zertifikat anmelden müssen.The criteria that device accounts need to meet to sign in with a password or a certificate.

  • Die Kriterien, die Benutzer und Geräte erfüllen, um Dienste im Rahmen des Kontos zu authentifizieren müssen.The criteria that users and devices need to meet to authenticate to services running as part of the account.

Der Active Directory-Kontotyp legt die Rolle des Aufrufers als eine der folgenden:The Active Directory account type determines the caller's role as one of the following:

  • BenutzerUser

    Benutzer sollten immer Mitglied der Sicherheitsgruppe der geschützten Benutzer sein, die standardmäßig Authentifizierungsversuche über NTLM abgelehnt.Users should always be members of the Protected Users security group, which by default rejects attempts to authentication using NTLM.

    Richtlinien können so konfiguriert werden, um die TGT-Lebensdauer eines Benutzerkontos auf einen kürzeren Wert festgelegt oder beschränken die Geräte, für die ein Benutzerkonto anmelden kann.Policies can be configured to set the TGT lifetime of a user account to a shorter value or restrict the devices to which a user account can sign in. Umfangreiche Ausdrücke können konfiguriert werden, in der Authentifizierungsrichtlinie, die Kriterien zu steuern, die der Benutzer und Geräte erfüllen, um den Dienst zu authentifizieren müssen.Rich expressions can be configured in the authentication policy to control the criteria that the users and their devices need to meet to authenticate to the service.

    Weitere Informationen finden Sie unter Protected Users Security Group.For more information see Protected Users Security Group.

  • DienstService

    Eigenständige verwaltete Dienstkonten, gruppenverwalteten Dienstkonten oder ein benutzerdefiniertes Kontoobjekt, das aus diesen beiden Dienstkontotypen abgeleitet ist, werden verwendet.Standalone managed service accounts, group managed service accounts, or a custom account object that is derived from these two types of service accounts are used. Richtlinien können ein Gerät zugriffssteuerungsbedingungen festgelegt werden verwendet, um die Anmeldeinformationen für verwaltete Dienstkonten auf bestimmte Geräte mit einer Active Directory-Identität zu beschränken.Policies can set a device's access control conditions, which are used to restrict managed service account credentials to specific devices with an Active Directory identity. Dienste sollten nie Mitglied der Sicherheitsgruppe "geschützte Benutzer" sein, weil sonst alle eingehenden Authentifizierungsversuche fehlschlagen.Services should never be members of the Protected Users security group because all incoming authentication will fail.

  • ComputerComputer

    Das Computerkontoobjekt oder das benutzerdefinierte Kontoobjekt, das das Computerkontoobjekt abgeleitet ist, wird verwendet.The computer account object or the custom account object that is derived from the computer account object is used. Richtlinien können die zugriffssteuerungsbedingungen festgelegt, die erforderlich sind, die dem Konto basierend auf Eigenschaften und Benutzer-Authentifizierung ermöglicht.Policies can set the access control conditions that are required to allow authentication to the account based on user and device properties. Computer sollten nie Mitglied der Sicherheitsgruppe "geschützte Benutzer" sein, weil sonst alle eingehenden Authentifizierungsversuche fehlschlagen.Computers should never be members of the Protected Users security group because all incoming authentication will fail. Standardmäßig werden versucht, NTLM-Authentifizierung abgelehnt.By default, attempts to use NTLM authentication are rejected. Eine TGT-Lebensdauer sollte nicht für Computerkonten konfiguriert werden.A TGT lifetime should not be configured for computer accounts.

Hinweis

Es ist möglich, eine Authentifizierungsrichtlinie auf eine Gruppe von Konten festzulegen, ohne die Richtlinie zu einem authentifizierungsrichtliniensilo zu verknüpfen.It is possible to set an authentication policy on a set of accounts without associating the policy to an authentication policy silo. Sie können diese Strategie verwenden, wenn Sie ein einzelnes Konto geschützt haben.You can use this strategy when you have a single account to protect.

Active Directory-Schema für AuthentifizierungsrichtlinienActive Directory schema for authentication policies

Die Richtlinien für die Active Directory-Objekte für Benutzer, Computer und Dienste werden durch das Schema in der folgenden Tabelle definiert.The policies for the Active Directory objects for users, computers, and services are defined by the schema in the following table.

TypType AnzeigenameDisplay Name BeschreibungDescription
RichtliniePolicy AuthentifizierungsrichtlinieAuthentication Policy Eine Instanz dieser Klasse definiert authentifizierungsrichtlinienverhalten für die zugewiesenen Prinzipale.An instance of this class defines authentication policy behaviors for assigned principals.
RichtliniePolicy AuthentifizierungsrichtlinienAuthentication Policies Ein Container dieser Klasse kann Authentifizierungsrichtlinien-Objekte enthalten.A container of this class can contain authentication policy objects.
RichtliniePolicy Authentifizierungsrichtlinie erzwungenAuthentication Policy Enforced Gibt an, ob die Authentifizierungsrichtlinie erzwungen wird.Specifies whether the authentication policy is enforced.

Wenn nicht erzwungen wird, wird die Richtlinie standardmäßig im Überwachungsmodus und Ereignisse, die potenzielle Erfolge und Fehler generiert, aber Schutzmaßnahmen nicht auf das System angewendet.When not enforced, the policy by default is in audit mode, and events that indicate potential successes and failures are generated, but protections are not applied to the system.
RichtliniePolicy Assigned Authentication Policy RückverweisAssigned Authentication Policy Backlink Dieses Attribut ist der Rückverweis für MsDS-AssignedAuthNPolicy.This attribute is the back link for msDS-AssignedAuthNPolicy.
RichtliniePolicy Assigned Authentication PolicyAssigned Authentication Policy Gibt an, welches authnpolicy-Objekt ist auf diesen Prinzipal angewendet.Specifies which AuthNPolicy should be applied to this principal.
BenutzerUser Authentifizierungsrichtlinie für BenutzerUser Authentication Policy Gibt an, welches authnpolicy-Objekt ist für Benutzer, die diesem siloobjekt zugewiesen wurden angewendet.Specifies which AuthNPolicy should be applied to users who are assigned to this silo object.
BenutzerUser User Authentication Policy RückverweisUser Authentication Policy Backlink Dieses Attribut ist der Rückverweis für MsDS-UserAuthNPolicy.This attribute is the back link for msDS-UserAuthNPolicy.
BenutzerUser ms-DS-User-Allowed-To-Authenticate-Toms-DS-User-Allowed-To-Authenticate-To Dieses Attribut wird verwendet, um die Gruppe von Prinzipalen erlaubt wird mit einem Dienst unter dem Benutzerkonto ausgeführt wird, authentifizieren.This attribute is used to determine the set of principals allowed to authenticate to a service running under the user account.
BenutzerUser ms-DS-User-Allowed-To-Authenticate-Fromms-DS-User-Allowed-To-Authenticate-From Dieses Attribut wird verwendet, um die Geräte zu bestimmen, die ein Benutzerkonto Anmeldeberechtigungen verfügt.This attribute is used to determine the set of devices to which a user account has permission to sign in.
BenutzerUser Benutzer-TGT-LebensdauerUser TGT Lifetime Gibt das maximale Alter ein Kerberos-TGT, das für einen Benutzer (in Sekunden ausgedrückt) ausgestellt wurde.Specifies the maximum age of a Kerberos TGT that is issued to a user (expressed in seconds). Die resultierenden TGTs sind nicht erneuerbar.Resultant TGTs are non-renewable.
ComputerComputer Computer Authentication PolicyComputer Authentication Policy Gibt an, welches authnpolicy-Objekt ist auf Computern, die diesem siloobjekt zugewiesen wurden, angewendet.Specifies which AuthNPolicy should be applied to computers that are assigned to this silo object.
ComputerComputer Computer Authentication Policy RückverweisComputer Authentication Policy Backlink Dieses Attribut ist der Rückverweis für MsDS-ComputerAuthNPolicy.This attribute is the back link for msDS-ComputerAuthNPolicy.
ComputerComputer ms-DS-Computer-Allowed-To-Authenticate-Toms-DS-Computer-Allowed-To-Authenticate-To Dieses Attribut wird verwendet, um die Gruppe von Prinzipalen zu bestimmen, die für einen Dienst unter dem Computerkonto ausgeführt wird, authentifiziert.This attribute is used to determine the set of principals that are allowed to authenticate to a service running under the computer account.
ComputerComputer Computer TGT-LebensdauerComputer TGT Lifetime Gibt das maximale Alter ein Kerberos-TGT, das auf einem Computer (in Sekunden ausgedrückt) ausgestellt wurde.Specifies the maximum age of a Kerberos TGT that is issued to a computer (expressed in seconds). Es wird nicht empfohlen, diese Einstellung zu ändern.It is not recommended to change this setting.
DienstService Service Authentication PolicyService Authentication Policy Gibt an, welches authnpolicy-Objekt sein soll übernommen, die diesem siloobjekt zugewiesen wurden.Specifies which AuthNPolicy should be applied to services that are assigned to this silo object.
DienstService Service Authentication Policy RückverweisService Authentication Policy Backlink Dieses Attribut ist der Rückverweis für MsDS-ServiceAuthNPolicy.This attribute is the back link for msDS-ServiceAuthNPolicy.
DienstService ms-DS-Service-Allowed-To-Authenticate-Toms-DS-Service-Allowed-To-Authenticate-To Dieses Attribut wird verwendet, um die Gruppe von Prinzipalen zu bestimmen, die für einen Dienst unter dem Dienstkonto ausgeführt wird, authentifiziert.This attribute is used to determine the set of principals that are allowed to authenticate to a service running under the service account.
DienstService ms-DS-Service-Allowed-To-Authenticate-Fromms-DS-Service-Allowed-To-Authenticate-From Dieses Attribut wird verwendet, um die Geräte zu bestimmen, ein Dienstkonto Anmeldeberechtigungen verfügt.This attribute is used to determine the set of devices to which a service account has permission to sign in.
DienstService Service TGT-LebensdauerService TGT Lifetime Legt das maximale Alter ein Kerberos-TGT, das an einen Dienst (in Sekunden ausgedrückt) ausgestellt wurde.Specifies the maximum age of a Kerberos TGT that is issued to a service (expressed in seconds).

Authentifizierungsrichtlinien können für jedes Silo konfiguriert werden, mithilfe der Active Directory-Verwaltungskonsole oder Windows PowerShell.Authentication policies can be configured for each silo by using the Active Directory Administrative Console or Windows PowerShell. Weitere Informationen finden Sie unter How to Configure Protected Accounts.For more information, see How to Configure Protected Accounts.

So funktioniert esHow it works

Dieser Abschnitt beschreibt die Funktionsweise von authentifizierungsrichtliniensilos und Authentifizierungsrichtlinien in Verbindung mit der Sicherheitsgruppe "geschützte Benutzer" und die Implementierung des Kerberos-Protokolls in Windows.This section describes how authentication policy silos and authentication policies work in conjunction with the Protected Users security group and implementation of the Kerberos protocol in Windows.

Geschützte KontenProtected accounts

Die Sicherheitsgruppe "geschützte Benutzer" löst nicht konfigurierbaren Schutz auf Geräten und Hostcomputern, die unter Windows Server 2012 R2 und Windows 8.1, und klicken Sie auf den Domänencontrollern in Domänen mit einem primären Domänencontroller unter Windows Server 2012 R2.The Protected Users security group triggers non-configurable protection on devices and host computers running Windows Server 2012 R2 and Windows 8.1, and on domain controllers in domains with a primary domain controller running Windows Server 2012 R2 . Abhängig von der Domänenfunktionsebene des Kontos sind Mitglieder der Sicherheitsgruppe "geschützte Benutzer" Weiter aufgrund von Änderungen der Authentifizierungsmethoden geschützt, die in Windows unterstützt werden.Depending on the domain functional level of the account, members of the Protected Users security group are further protected because of changes in the authentication methods that are supported in Windows.

  • Das Mitglied der Sicherheitsgruppe der geschützten Benutzer kann mithilfe von NTLM, Digestauthentifizierung oder Delegierung der Standardanmeldeinformationen mit CredSSP authentifizieren.The member of the Protected Users security group cannot authenticate by using NTLM, Digest Authentication, or CredSSP default credential delegation. Auf einem Gerät unter Windows 8.1, die keines dieser Security Support Provider (SSP) verwendet, schlägt die Authentifizierung mit einer Domäne fehl, wenn das Konto Mitglied der Sicherheitsgruppe der geschützten Benutzer ist.On a device running Windows 8.1 that uses any one of these Security Support Providers (SSPs), authentication to a domain will fail when the account is a member of the Protected Users security group.

  • Das Kerberos-Protokoll wird nicht die schwächeren des- oder RC4-Verschlüsselungstypen bei der Vorauthentifizierung verwendet.The Kerberos protocol will not use the weaker DES or RC4 encryption types in the preauthentication process. Dies bedeutet, dass die Domäne mindestens den Verschlüsselungstyp AES unterstützt konfiguriert werden muss.This means that the domain must be configured to support at least the AES encryption type.

  • Das Konto des Benutzers kann nicht delegiert werden, mit der eingeschränkten und uneingeschränkten Kerberos Delegierung.The user's account cannot be delegated with Kerberos constrained or unconstrained delegation. Dies bedeutet, dass frühere Verbindungen mit anderen Systemen fehlschlagen, wenn der Benutzer Mitglied der Sicherheitsgruppe der geschützten Benutzer ist.This means that former connections to other systems may fail if the user is a member of the Protected Users security group.

  • Die Standardeinstellung für die Lebensdauer von Kerberos-TGTs von vier Stunden lässt sich mithilfe von Authentifizierungsrichtlinien und Silos konfiguriert werden, die über das Active Directory-Verwaltungscenter zugegriffen werden kann.The default Kerberos TGTs lifetime setting of four hours is configurable by using authentication policies and silos, which can be accessed through the Active Directory Administrative Center. Dies bedeutet, dass bei der vier Stunden vergangen ist, die der Benutzer erneut authentifizieren muss.This means that when four hours has passed, the user must authenticate again.

Weitere Informationen zu dieser Sicherheitsgruppe finden Sie unter wie der geschützten Benutzer funktioniert Gruppe.For more information about this security group, see How the Protected Users group works.

Silos und AuthentifizierungsrichtlinienSilos and authentication policies

Authentifizierungsrichtliniensilos und Authentifizierungsrichtlinien nutzen die vorhandene Infrastruktur des Windows-Authentifizierung.Authentication policy silos and authentication policies leverage the existing Windows authentication infrastructure. Die Verwendung des NTLM-Protokolls wird abgelehnt, und das Kerberos-Protokoll mit neueren Verschlüsselungstypen verwendet wird.The use of the NTLM protocol is rejected, and the Kerberos protocol with newer encryption types is used. Authentifizierungsrichtlinien ergänzen die Sicherheitsgruppe "geschützte Benutzer" durch die Möglichkeit, konfigurierbare Einschränkungen auf Konten, zusätzlich zur Bereitstellung von Einschränkungen für Konten für Dienste und Computer anwenden.Authentication policies complement the Protected Users security group by providing a way to apply configurable restrictions to accounts, in addition to providing restrictions for accounts for services and computers. Authentifizierungsrichtlinien werden während des Kerberos-Protokoll-Authentifizierungsdienst (AS) oder ein Ticket-granting Service (TGS) Exchange erzwungen.Authentication policies are enforced during the Kerberos protocol authentication service (AS) or ticket-granting service (TGS) exchange. Weitere Informationen wie Windows das Kerberos-Protokoll verwendet, und welche Änderungen zur Unterstützung von authentifizierungsrichtliniensilos und Authentifizierungsrichtlinien vorgenommen wurden finden Sie unter:For more information about how Windows uses the Kerberos protocol, and what changes have been made to support authentication policy silos and authentication policies, see:

Verwendung des Kerberos-Protokolls mit authentifizierungsrichtliniensilos und-RichtlinienHow the Kerberos protocol is used with authentication policy silos and policies

Wenn ein Domänenkonto mit einem authentifizierungsrichtliniensilo verknüpft ist, und der Benutzer anmeldet, fügt der Sicherheitskonto-Manager den Anspruchstyp authentifizierungsrichtliniensilo, der das Silo als Wert enthält.When a domain account is linked to an authentication policy silo, and the user signs in, the Security Accounts Manager adds the claim type of Authentication Policy Silo that includes the silo as the value. Dieser Anspruch im Konto bietet Zugriff auf das betreffende Silo.This claim on the account provides the access to the targeted silo.

Wenn eine Authentifizierungsrichtlinie erzwungen wird, und die authentifizierungsdienstanforderung für ein Domänenkonto auf dem Domänencontroller empfangen wird, gibt der Domänencontroller ein nicht erneuerbares TGT mit der konfigurierten Gültigkeitsdauer (es sei denn, die Domäne TGT keine kürzere Lebensdauer hat).When an authentication policy is enforced and the authentication service request for a domain account is received on the domain controller, the domain controller returns a non-renewable TGT with the configured lifetime (unless the domain TGT lifetime is shorter).

Hinweis

Das Domänenkonto muss eine konfigurierte TGT-Lebensdauer und muss entweder direkt mit der Richtlinie verknüpft oder indirekt über die silomitgliedschaft verknüpft.The domain account must have a configured TGT lifetime and must be either directly linked to the policy or indirectly linked through the silo membership.

Wenn eine Authentifizierungsrichtlinie aktiviert, im Überwachungsmodus ist, und die authentifizierungsdienstanforderung für ein Domänenkonto auf dem Domänencontroller empfangen wird, prüft der Domänencontroller, wenn die Authentifizierung für das Gerät zulässig ist, damit eine Warnung protokolliert werden können, wenn ein Fehler vorliegt.When an authentication policy is in audit mode and the authentication service request for a domain account is received on the domain controller, the domain controller checks if authentication is allowed for the device so that it can log a warning if there is a failure. Den Prozess wird von eine überwachte Authentifizierungsrichtlinie nicht geändert werden, damit authentifizierungsanforderungen nicht fehl, wenn sie die Anforderungen der Richtlinie nicht erfüllen.An audited authentication policy does not alter the process, so authentication requests will not fail if they do not meet the requirements of the policy.

Hinweis

Das Domänenkonto muss entweder direkt mit der Richtlinie verknüpft oder indirekt über die silomitgliedschaft verknüpft werden.The domain account must be either directly linked to the policy or indirectly linked through the silo membership.

Wenn eine Authentifizierungsrichtlinie erzwungen wird und der Authentifizierungsdienst hochgerüstet ist, wird die authentifizierungsdienstanforderung für ein Domänenkonto auf dem Domänencontroller empfangen wird, der Domänencontroller prüft, ob die Authentifizierung für das Gerät zulässig ist.When an authentication policy is enforced and the authentication service is armored, the authentication service request for a domain account is received on the domain controller, the domain controller checks if authentication is allowed for the device. Schlägt fehl, wird der Domänencontroller eine Fehlermeldung zurück und protokolliert ein Ereignis.If it fails, the domain controller returns an error message and logs an event.

Hinweis

Das Domänenkonto muss entweder direkt mit der Richtlinie verknüpft oder indirekt über die silomitgliedschaft verknüpft werden.The domain account must be either directly linked to the policy or indirectly linked through the silo membership.

Wenn eine Authentifizierungsrichtlinie aktiviert, im Überwachungsmodus ist, und vom Domänencontroller für ein Domänenkonto eine Ticket-granting Service-Anforderung empfangen wird, prüft der Domänencontroller, wenn die Authentifizierung zulässig ist, basierend auf den anforderungstickets Privilege Attribute Certificate (PAC) Daten, und sie eine Warnung protokolliert, wenn ein Fehler auftritt.When an authentication policy is in audit mode and a ticket-granting service request is received by the domain controller for a domain account, the domain controller checks if authentication is allowed based on the request's ticket Privilege Attribute Certificate (PAC) data, and it logs a warning message if it fails. Das PAC enthält verschiedene Arten von Autorisierungsdaten, einschließlich Gruppen, denen der Benutzer Mitglied der Rechte, die der Benutzer verfügt, und welche Richtlinien für den Benutzer gelten.The PAC contains various types of authorization data, including groups that the user is a member of, rights the user has, and what policies apply to the user. Diese Informationen werden verwendet, um Zugriffstoken des Benutzers zu generieren.This information is used to generate the user's access token. Ist dies die erzwungene Authentifizierungsrichtlinie die Authentifizierung auf einen Benutzer, Gerät oder Dienst ermöglicht, anhand des anforderungstickets PAC-Daten der Domäne Domänencontroller wird überprüft, ob die Authentifizierung zulässig ist.If it is an enforced authentication policy which allows authentication to a user, device, or service, the domain controller checks if authentication is allowed based on the request's ticket PAC data. Schlägt fehl, wird der Domänencontroller eine Fehlermeldung zurück und protokolliert ein Ereignis.If it fails, the domain controller returns an error message and logs an event.

Hinweis

Das Domänenkonto muss entweder direkt verknüpft oder werden über die silomitgliedschaft mit eine überwachte Authentifizierungsrichtlinie die Authentifizierung eines Benutzers, Geräts oder Diensts zulässt verknüpft,The domain account must be either directly linked or linked through silo membership to an audited authentication policy which allows authentication to a user, device or service,

Sie können eine Authentifizierungsrichtlinie für alle Mitglieder eines Silos oder separate Richtlinien für Benutzer, Computer und verwaltete Dienstkonten verwenden.You can use a single authentication policy for all members of a silo, or you can use separate policies for users, computers, and managed service accounts.

Authentifizierungsrichtlinien können für jedes Silo konfiguriert werden, mithilfe der Active Directory-Verwaltungskonsole oder Windows PowerShell.Authentication policies can be configured for each silo by using the Active Directory Administrative Console or Windows PowerShell. Weitere Informationen finden Sie unter How to Configure Protected Accounts.For more information, see How to Configure Protected Accounts.

Einschränken einer Benutzeranmeldung funktioniertHow restricting a user sign-in works

Da diese Authentifizierungsrichtlinien auf ein Konto angewendet werden, gilt es auch für Konten, die von Diensten verwendet werden.Because these authentication policies are applied to an account, it also applies to accounts that are used by services. Wenn Sie die Verwendung eines Kennworts für einen Dienst auf bestimmte Hosts beschränken möchten, ist diese Einstellung hilfreich.If you want to limit the usage of a password for a service to specific hosts, this setting is useful. Beispielsweise verwaltete Gruppe Konten konfiguriert sind, wo die Hosts zum Abrufen des Kennworts aus Active Directory Domain Services zulässig sind.For example, group managed service accounts are configured where the hosts are allowed to retrieve the password from Active Directory Domain Services. Das Kennwort kann jedoch von jedem Host zur anfänglichen Authentifizierung verwendet werden.However, that password can be used from any host for initial authentication. Durch das Anwenden einer, kann eine zusätzliche Schutzebene beschränken das Kennwort nur auf die Gruppe von Hosts, die das Kennwort abrufen können erzielt werden.By applying an access control condition, an additional layer of protection can be achieved by limiting the password to only the set of hosts that can retrieve the password.

Wenn Dienste, System, Netzwerkdienst oder andere lokale Dienstidentität ausgeführt, mit Netzwerkdiensten verbinden, verwenden sie das Computerkonto des Hosts.When services that run as system, network service, or other local service identity connect to network services, they use the host's computer account. Computerkonten können nicht beschränkt werden.Computer accounts cannot be restricted. Daher auch, wenn der Dienst ein Computerkonto, die nicht für einen Windows-Host ist verwendet, kann nicht dieses nicht eingeschränkt werden.So even if the service is using a computer account that is not for a Windows host, it cannot be restricted.

Einschränken der Benutzeranmeldung auf bestimmte Hosts erfordert den Domänencontroller die Identität des Hosts zu überprüfen.Restricting user sign-in to specific hosts requires the domain controller to validate the host's identity. Bei Verwendung von Kerberos-Authentifizierung mit Kerberos amoring (die Bestandteil der dynamischen Zugriffssteuerung ist), wird das Schlüsselverteilungscenter mit dem TGT des Hosts bereitgestellt von dem der Benutzer authentifiziert wird.When using Kerberos authentication with Kerberos armoring (which is part of Dynamic Access Control), the Key Distribution Center is provided with the TGT of the host from which the user is authenticating. Der Inhalt dieses geschützten TGT wird verwendet, um die Durchführung einer zugriffsprüfung, um festzustellen, ob der Host zulässig ist.The content of this armored TGT is used to complete an access check to determine if the host is allowed.

Wenn ein Benutzer bei Windows anmeldet oder Anmeldeinformationen für die Domäne in eine Eingabeaufforderung für eine Anwendung in der Standardeinstellung wechselt, sendet Windows eine ungeschützte AS-REQ an den Domänencontroller.When a user signs in to Windows or enters their domain credentials in a credential prompt for an application, by default, Windows sends an unarmored AS-REQ to the domain controller. Wenn der Benutzer die Anforderung von einem Computer sendet, die nicht unterstützt schlägt armoring, z. B. Computer mit Windows 7 oder Windows Vista, die Anforderung fehl.If the user is sending the request from a computer that does not support armoring, such as computers running Windows 7 or Windows Vista, the request fails.

In der folgende Liste wird den Prozess beschrieben:The following list describes the process:

  • Der Domänencontroller in einer Domäne unter Windows Server 2012 R2 für das Benutzerkonto abfragt und bestimmt, ob es mit einer Authentifizierungsrichtlinie konfiguriert ist, die die anfängliche Authentifizierung zu beschränken, die geschützten Anforderungen.The domain controller in a domain running Windows Server 2012 R2 queries for the user account and determines if it is configured with an authentication policy that restricts initial authentication that requires armored requests.

  • Der Domänencontroller wird die Anforderung fehl.The domain controller will fail the request.

  • Da Kerberos armoring erforderlich ist, kann der Benutzer versuchen, melden Sie sich mit einem Computer unter Windows 8.1 oder Windows 8, die zur Unterstützung der Kerberos-Schutz um den Anmeldevorgang erneut aktiviert wird.Because armoring is required, the user can attempt to sign in by using a computer running Windows 8.1 or Windows 8, which is enabled to support Kerberos armoring to retry the sign-in process.

  • Windows erkennt, dass die Domäne Kerberos armoring unterstützt, und eine geschützte AS-REQ sendet, um die Anmeldung Vorgang zu wiederholen.Windows detects that the domain supports Kerberos armoring and sends an armored AS-REQ to retry the sign-in request.

  • Der Domänencontroller führt eine zugriffsprüfung mit den konfigurierten zugriffssteuerungsbedingungen und den Identitätsinformationen des Client-Betriebssystems im TGT, das zur Abschirmung die Anforderung verwendet wurde.The domain controller performs an access check by using the configured access control conditions and the client operating system's identity information in the TGT that was used to armor the request.

  • Wenn die zugriffsprüfung fehlschlägt, lehnt der Domänencontroller die Anforderung ab.If the access check fails, the domain controller rejects the request.

Auch wenn Betriebssysteme Kerberos armoring unterstützt, werden Anforderungen an die Zugriffssteuerung angewendet werden können und müssen erfüllt sein, bevor der Zugriff gewährt wird.Even when operating systems support Kerberos armoring, access control requirements can be applied and must be met before access is granted. Benutzer melden Sie sich bei Windows oder geben ihre Domänenanmeldeinformationen in eine Eingabeaufforderung für eine Anwendung.Users sign in to Windows or enter their domain credentials in a credential prompt for an application. Standardmäßig sendet Windows eine ungeschützte AS-REQ an den Domänencontroller.By default, Windows sends an unarmored AS-REQ to the domain controller. Wenn der Benutzer die Anforderung von einem Computer, die Kerberos armoring sendet, z. B. Windows 8.1 oder Windows 8 unterstützt werden die Authentifizierungsrichtlinien wie folgt ausgewertet:If the user is sending the request from a computer that supports armoring, such as Windows 8.1 or Windows 8, authentication policies are evaluated as follows:

  1. Der Domänencontroller in einer Domäne unter Windows Server 2012 R2 für das Benutzerkonto abfragt und bestimmt, ob es mit einer Authentifizierungsrichtlinie konfiguriert ist, die die anfängliche Authentifizierung zu beschränken, die geschützten Anforderungen.The domain controller in a domain running Windows Server 2012 R2 queries for the user account and determines if it is configured with an authentication policy that restricts initial authentication that requires armored requests.

  2. Der Domänencontroller führt eine zugriffsprüfung mit den konfigurierten zugriffssteuerungsbedingungen und den Identitätsinformationen des Systems im TGT, das zur Abschirmung die Anforderung verwendet wird.The domain controller performs an access check by using the configured access control conditions and the system's identity information in the TGT that is used to armor the request. Die zugriffsprüfung ist erfolgreich.The access check succeeds.

    Hinweis

    Wenn ältere arbeitsgruppeneinschränkungen konfiguriert sind, müssen auch diese erfüllt werden.If legacy workgroup restrictions are configured, those also need to be met.

  3. Der Domänencontroller antwortet mit einer geschützten Antwort (AS-REP), und die Authentifizierung wird fortgesetzt.The domain controller replies with an armored reply (AS-REP), and the authentication continues.

Funktionsweise von Einschränken der Dienstticket-AusstellungHow restricting service ticket issuance works

Wenn ein Konto ist nicht zulässig, und ein Benutzer, der ein TGT besitzt, mit dem Dienst herzustellen versucht (z. B. durch Öffnen einer Anwendung, die Authentifizierung bei einem Dienst erfordert, die durch den Dienst für Dienstprinzipalnamen (SPN) identifiziert wird, geschieht Folgendes:When an account is not allowed and a user who has a TGT attempts to connect to the service (such as by opening an application that requires authentication to a service that is identified by the service's service principal name (SPN), the following sequence occurs:

  1. Bei einem Versuch von SPN Verbindung mit SPN1 herzustellen sendet Windows eine TGS-REQ an den Domänencontroller, der ein Dienstticket für SPN1 anfordert.In an attempt to connect to SPN1 from SPN, Windows sends a TGS-REQ to the domain controller that is requesting a service ticket to SPN1.

  2. Der Domänencontroller in einer Domäne unter Windows Server 2012 R2 spn1 nach dem Active Directory Domain Services-Konto für den Dienst zu finden und feststellt, dass das Konto mit einer Authentifizierungsrichtlinie konfiguriert ist, die Ausstellung von Diensttickets beschränkt.The domain controller in a domain running Windows Server 2012 R2 looks up SPN1 to find the Active Directory Domain Services account for the service and determines that the account is configured with an authentication policy that restricts service ticket issuance.

  3. Der Domänencontroller führt eine zugriffsprüfung mit den konfigurierten zugriffssteuerungsbedingungen und den Identitätsinformationen des Benutzers im TGTThe domain controller performs an access check by using the configured access control conditions and the user's identity information in the TGT. Die zugriffsprüfung schlägt fehl.The access check fails.

  4. Der Domänencontroller weist die Anforderung zurück.The domain controller rejects the request.

Wenn ein Konto zulässig ist, weil das Konto erfüllt die Bedingungen für die Zugriffssteuerung, die durch die Authentifizierungsrichtlinie festgelegt werden, und ein Benutzer, der ein TGT besitzt, mit dem Dienst herzustellen versucht (z. B. durch Öffnen einer Anwendung, die eine Authentifizierung erforderlich ist, ein Dienst, der vom SPN des Diensts identifiziert wird), geschieht Folgendes:When an account is allowed because the account meets the access control conditions that are set by the authentication policy, and a user who has a TGT attempts to connect to the service (such as by opening an application that requires authentication to a service that is identified by the service's SPN), the following sequence occurs:

  1. Bei einem Versuch zur Verbindung mit SPN1 sendet Windows eine TGS-REQ an den Domänencontroller, der ein Dienstticket für SPN1 anfordert.In an attempt to connect to SPN1, Windows sends a TGS-REQ to the domain controller that is requesting a service ticket to SPN1.

  2. Der Domänencontroller in einer Domäne unter Windows Server 2012 R2 spn1 nach dem Active Directory Domain Services-Konto für den Dienst zu finden und feststellt, dass das Konto mit einer Authentifizierungsrichtlinie konfiguriert ist, die Ausstellung von Diensttickets beschränkt.The domain controller in a domain running Windows Server 2012 R2 looks up SPN1 to find the Active Directory Domain Services account for the service and determines that the account is configured with an authentication policy that restricts service ticket issuance.

  3. Der Domänencontroller führt eine zugriffsprüfung mit den konfigurierten zugriffssteuerungsbedingungen und den Identitätsinformationen des Benutzers im TGTThe domain controller performs an access check by using the configured access control conditions and the user's identity information in the TGT. Die zugriffsprüfung ist erfolgreich.The access check succeeds.

  4. Der Domänencontroller antwortet auf die Anforderung mit einer Ticket-granting-Dienstantwort (TGS-REP).The domain controller replies to the request with a ticket-granting service reply (TGS-REP).

Zugehörige Fehler- und informationsmeldungenAssociated error and informational event messages

Die folgende Tabelle beschreibt die Ereignisse, die Sicherheitsgruppe "geschützte Benutzer" zugeordnet sind und die Authentifizierungsrichtlinien, die für authentifizierungsrichtliniensilos angewendet werden.The following table describes the events that are associated with Protected Users security group and the authentication policies that are applied to authentication policy silos.

Die Ereignisse werden aufgezeichnet, in den Anwendungs- und Dienstprotokolle am Microsoft\Windows\Authentication.The events are recorded in the Applications and Services Logs at Microsoft\Windows\Authentication.

Schritte zur Problembehandlung, die diese Ereignisse verwenden, finden Sie unter Problembehandlung von Authentifizierungsrichtlinien und Problembehandlung für Ereignisse im Zusammenhang mit geschützten Benutzern.For troubleshooting steps that use these events, see Troubleshoot Authentication Policies and Troubleshoot events related to Protected Users.

Ereignis-ID und ProtokollEvent ID and Log BeschreibungDescription
101101

"AuthenticationPolicyFailures-DomainController"AuthenticationPolicyFailures-DomainController
Grund: Ein NTLM-Anmeldefehler tritt auf, weil die Authentifizierungsrichtlinie konfiguriert ist.Reason: An NTLM sign-in failure occurs because the authentication policy is configured.

Auf dem Domänencontroller, um anzugeben, dass die NTLM-Authentifizierung fehlgeschlagen, weil zugriffssteuerungseinschränkungen erforderlich sind, und diese Einschränkungen nicht auf NTLM anwendbar ist ein Ereignis protokolliert.An event is logged in the domain controller to indicate that NTLM authentication failed because access control restrictions are required, and those restrictions cannot be applied to NTLM.

Zeigt das Konto, Gerät, Richtlinie und Silo Namen.Displays the account, device, policy, and silo names.
105105

"AuthenticationPolicyFailures-DomainController"AuthenticationPolicyFailures-DomainController
Grund: Ein Kerberos-Einschränkungsfehler tritt auf, weil die Authentifizierung von einem bestimmten Gerät nicht zugelassen wurde.Reason: A Kerberos restriction failure occurs because the authentication from a particular device was not permitted.

Auf dem Domänencontroller, um anzugeben, dass ein Kerberos-TGT verweigert wurde, weil das Gerät nicht die erzwungenen zugriffssteuerungseinschränkungen erfüllt, wird ein Ereignis protokolliert.An event is logged in the domain controller to indicate that a Kerberos TGT was denied because the device did not meet the enforced access control restrictions.

Zeigt das Konto, Gerät, Gruppenrichtlinie, silonamen und TGT-Lebensdauer.Displays the account, device, policy, silo names, and TGT lifetime.
305305

"AuthenticationPolicyFailures-DomainController"AuthenticationPolicyFailures-DomainController
Grund: Ein potenzieller Kerberos-Einschränkungsfehler kann auftreten, da die Authentifizierung von einem bestimmten Gerät nicht zugelassen wurde.Reason: A potential Kerberos restriction failure might occur because the authentication from a particular device was not permitted.

Im Überwachungsmodus befinden wird ein Informationsereignis protokolliert, auf dem Domänencontroller, um festzustellen, ob ein Kerberos-TGT verweigert wird, da das Gerät nicht die zugriffssteuerungseinschränkungen erfüllt.In audit mode, an informational event is logged in the domain controller to determine if a Kerberos TGT will be denied because the device did not meet the access control restrictions.

Zeigt das Konto, Gerät, Gruppenrichtlinie, silonamen und TGT-Lebensdauer.Displays the account, device, policy, silo names, and TGT lifetime.
106106

"AuthenticationPolicyFailures-DomainController"AuthenticationPolicyFailures-DomainController
Grund: Ein Kerberos-Einschränkungsfehler tritt auf, weil der Benutzer bzw. das Gerät nicht mit dem Server authentifizieren durfte.Reason: A Kerberos restriction failure occurs because the user or device was not allowed to authenticate to the server.

Es wird ein Ereignis protokolliert, auf dem Domänencontroller, um anzugeben, dass ein Kerberos-Dienstticket verweigert wurde, weil der Benutzer, Gerät oder beide nicht die erzwungenen zugriffssteuerungseinschränkungen erfüllen.An event is logged in the domain controller to indicate that a Kerberos service ticket was denied because the user, device, or both do not meet the enforced access control restrictions.

Zeigt das Gerät, Richtlinie und Silo Namen.Displays the device, policy, and silo names.
306306

"AuthenticationPolicyFailures-DomainController"AuthenticationPolicyFailures-DomainController
Grund: Ein Kerberos-Einschränkungsfehler kann auftreten, da der Benutzer bzw. das Gerät nicht mit dem Server authentifizieren durfte.Reason: A Kerberos restriction failure might occur because the user or device was not allowed to authenticate to the server.

Im Überwachungsmodus befinden wird ein Informationsereignis protokolliert, auf dem Domänencontroller, um anzugeben, dass ein Kerberos-Dienstticket verweigert wird, da der Benutzer, Gerät oder beide nicht die zugriffssteuerungseinschränkungen erfüllen.In audit mode, an informational event is logged on the domain controller to indicate that a Kerberos service ticket will be denied because the user, device, or both do not meet the access control restrictions.

Zeigt das Gerät, Richtlinie und Silo Namen.Displays the device, policy, and silo names.

Siehe auchSee also

Konfigurieren geschützter KontenHow to Configure Protected Accounts

Schutz von Anmeldeinformationen und VerwaltungCredentials Protection and Management

Sicherheitsgruppe "geschützte Benutzer"Protected Users Security Group