Authentifizierungsrichtlinien und AuthentifizierungsrichtliniensilosAuthentication Policies and Authentication Policy Silos

Gilt für: WindowsServer (Halbjährlicher Kanal), WindowsServer 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

In diesem Thema für IT-Spezialisten werden Authentifizierungsrichtliniensilos und die Richtlinien beschrieben, mit denen Konten auf diese Silos beschränkt werden können.This topic for the IT professional describes authentication policy silos and the policies that can restrict accounts to those silos. Zudem wird erklärt, wie der Bereich von Konten mit Authentifizierungsrichtlinien eingeschränkt werden kann.It also explains how authentication policies can be used to restrict the scope of accounts.

Authentifizierungsrichtliniensilos und die zugehörigen Richtlinien stellen eine Möglichkeit dar, Anmeldeinformationen mit erhöhten Rechten auf Systeme zu beschränken, die nur für ausgewählte Benutzer, Computer oder Dienste relevant sind.Authentication policy silos and the accompanying policies provide a way to contain high-privilege credentials to systems that are only pertinent to selected users, computers, or services. Silos können definiert und in Active Directory Domain Services (AD DS) mit Active Directory-Verwaltungscenter und den Active Directory Windows PowerShell-Cmdlets verwaltet werden.Silos can be defined and managed in Active Directory Domain Services (AD DS) by using the Active Directory Administrative Center and the Active Directory Windows PowerShell cmdlets.

Authentifizierungsrichtliniensilos sind Container, denen Administratoren Benutzerkonten, Computerkonten und Dienstkonten zuweisen können.Authentication policy silos are containers to which administrators can assign user accounts, computer accounts, and service accounts. Über die Authentifizierungsrichtlinien, die auf diesen Container angewendet werden, können dann Gruppen von Konten verwaltet werden.Sets of accounts can then be managed by the authentication policies that have been applied to that container. Daher muss der Administrator nicht mehr im gleichen Umfang wie bisher den Ressourcenzugriff einzelner Konten verfolgen, und es wird verhindert, dass böswillige Benutzer durch den Diebstahl von Anmeldeinformationen Zugriff auf andere Ressourcen erlangen.This reduces the need for the administrator to track access to resources for individual accounts, and helps prevent malicious users from accessing other resources through credential theft.

In Windows Server 2012 R2 eingeführte Funktionen können Sie Authentifizierung authentifizierungsrichtliniensilos erstellen, die eine Gruppe von Benutzern mit erhöhten Rechten zu hosten.Capabilities introduced in Windows Server 2012 R2 , allow you to create authentication policy silos, which host a set of high-privilege users. Sie können diesem Container Authentifizierungsrichtlinien zuordnen, um die Verwendung privilegierter Konten in der Domäne zu begrenzen.You can then assign authentication policies for this container to limit where privileged accounts can be used in the domain. Wenn Konten zur Sicherheitsgruppe "Geschützte Benutzer" gehören, werden zusätzliche Kontrollmechanismen angewendet, z. B. die exklusive Verwendung des Kerberos-Protokolls.When accounts are in the Protected Users security group, additional controls are applied, such as the exclusive use of the Kerberos protocol.

Damit können Sie die Nutzung hochwertiger Konten auf hochwertige Hosts begrenzen.With these capabilities, you can limit high-value account usage to high-value hosts. Beispielsweise könnten Sie ein neues Silo für Administratoren der Gesamtstruktur erstellen, das Unternehmens-, Schema- und Domänenadministratoren enthält.For example, you could create a new Forest Administrators silo that contains enterprise, schema, and domain administrators. Anschließend könnten Sie das Silo mit einer Authentifizierungsrichtlinie konfigurieren, sodass eine kennwort- und smartcard-basierte Authentifizierung von Systemen, die keine Domänencontroller oder Domänenadministratorkonsolen sind, fehlschlägt.Then you could configure the silo with an authentication policy so that password and smartcard-based authentication from systems other than domain controllers and domain administrator consoles would fail.

Informationen zum Konfigurieren von Authentifizierungsrichtliniensilos und Authentifizierungsrichtlinien finden Sie unter Konfigurieren geschützter Konten.For information about configuring authentication policy silos and authentication policies, see How to Configure Protected Accounts.

Informationen zu AuthentifizierungsrichtliniensilosAbout authentication policy silos

Mit einem Authentifizierungsrichtliniensilo wird gesteuert, welche Konten durch das Silo eingeschränkt werden können, und es werden damit die Authentifizierungsrichtlinien definiert, die auf die Mitglieder angewendet werden sollen.An authentication policy silo controls which accounts can be restricted by the silo and defines the authentication policies to apply to the members. Sie können das Silo anhand der Anforderungen Ihrer Organisation erstellen.You can create the silo based on the requirements of your organization. Silos sind Active Directory-Objekte für Benutzer, Computer und Dienste, die nach dem Schema in der folgenden Tabelle definiert sind.The silos are Active Directory objects for users, computers, and services as defined by the schema in the following table.

Active Directory-Schema für authentifizierungsrichtliniensilosActive Directory schema for authentication policy silos

AnzeigenameDisplay Name BeschreibungDescription
AuthentifizierungsrichtliniensiloAuthentication Policy Silo Eine Instanz dieser Klasse definiert die Authentifizierungsrichtlinien und das zugehörige Verhalten für die zugewiesenen Benutzer, Computer und Dienste.An instance of this class defines authentication policies and related behaviors for assigned users, computers, and services.
AuthentifizierungsrichtliniensilosAuthentication Policy Silos Ein Container dieser Klasse kann Authentifizierungsrichtliniensilo-Objekte enthalten.A container of this class can contain authentication policy silo objects.
Authentication Policy Silo Enforced (Authentifizierungsrichtliniensilo erzwungen)Authentication Policy Silo Enforced Gibt an, ob das Authentifizierungsrichtliniensilo erzwungen wird.Specifies whether the authentication policy silo is enforced.

Wenn es nicht erzwungen wird, dann ist für die Richtlinie standardmäßig der Überwachungsmodus aktiviert.When not enforced, the policy by default is in audit mode. Es werden Ereignisse generiert, die potenzielle Erfolge und Fehler anzeigen, aber es werden keine Schutzmaßnahmen auf das System angewendet.Events that indicate potential successes and failures are generated, but protections are not applied to the system.
Assigned Authentication Policy Silo Backlink (Rückverweis für zugewiesenes Authentifizierungsrichtliniensilo)Assigned Authentication Policy Silo Backlink Dieses Attribut ist der Rückverweis für msDS-AssignedAuthNPolicySilo.This attribute is the back link for msDS-AssignedAuthNPolicySilo.
Authentication Policy Silo Members (Authentifizierungsrichtliniensilo-Mitglieder)Authentication Policy Silo Members Gibt an, welche Prinzipale dem AuthNPolicySilo-Objekt zugewiesen sind.Specifies which principals are assigned to the AuthNPolicySilo.
Authentication Policy Silo Members Backlink (Rückverweis für Authentifizierungsrichtliniensilo-Mitglieder)Authentication Policy Silo Members Backlink Dieses Attribut ist der Rückverweis für msDS-AuthNPolicySiloMembers.This attribute is the back link for msDS-AuthNPolicySiloMembers.

Authentifizierungsrichtliniensilos können mit der Active Directory-Verwaltungskonsole oder Windows PowerShell konfiguriert werden.Authentication policy silos can be configured by using the Active Directory Administrative Console or Windows PowerShell. Weitere Informationen finden Sie unter Konfigurieren geschützter Konten.For more information, see How to Configure Protected Accounts.

Informationen zu AuthentifizierungsrichtlinienAbout authentication policies

Authentifizierungsrichtlinien definieren die Lebensdauereigenschaften des Ticket-Granting Ticket (TGT) für das Kerberos-Protokoll und die Bedingungen für die Authentifizierungszugriffssteuerung für einen Kontotyp.An authentication policy defines the Kerberos protocol ticket-granting ticket (TGT) lifetime properties and authentication access control conditions for an account type. Die Richtlinie basiert auf und steuert den AD DS-Container als das authentifizierungsrichtliniensilo bezeichnet.The policy is built on and controls the AD DS container known as the authentication policy silo.

Über Authentifizierungsrichtlinien wird Folgendes gesteuert:Authentication policies control the following:

  • Die TGT-Lebensdauer des Kontos, das als nicht erneuerbar konfiguriert wurde.The TGT lifetime for the account, which is set to be non-renewable.

  • Die Kriterien, die Gerätekonten erfüllen müssen, um sich mit einem Kennwort oder einem Zertifikat anmelden zu können.The criteria that device accounts need to meet to sign in with a password or a certificate.

  • Die Kriterien, die Benutzer und Geräte erfüllen müssen, um sich gegenüber Diensten authentifizieren zu können, die unter dem Konto ausgeführt werden.The criteria that users and devices need to meet to authenticate to services running as part of the account.

Der Active Directory-Kontotyp bestimmt die Rolle des Aufrufers als eine der folgenden:The Active Directory account type determines the caller's role as one of the following:

  • BenutzerUser

    Benutzer sollten immer Mitglied der Sicherheitsgruppe "Geschützte Benutzer" sein, die Authentifizierungsversuche über NTLM standardmäßig nicht zulässt.Users should always be members of the Protected Users security group, which by default rejects attempts to authentication using NTLM.

    Richtlinien können konfiguriert werden, um die TGT-Lebensdauer eines Benutzerkontos auf einen kürzeren Wert festgelegt oder beschränken die Geräte, an denen ein Benutzerkonto anmelden kann.Policies can be configured to set the TGT lifetime of a user account to a shorter value or restrict the devices to which a user account can sign in. Rich-Ausdrücke können konfiguriert werden, in der Authentifizierungsrichtlinie, die Kriterien zu steuern, die die Benutzer und Geräte erfüllen, um den Dienst zu authentifizieren müssen.Rich expressions can be configured in the authentication policy to control the criteria that the users and their devices need to meet to authenticate to the service.

    Weitere Informationen finden Sie unter Sicherheitsgruppe "Geschützte Benutzer".For more information see Protected Users Security Group.

  • ServiceService

    Eigenständige verwaltete Dienstkonten, gruppenverwalteten Dienstkonten oder ein benutzerdefiniertes Kontoobjekt, das von diesen beiden Dienstkontotypen abgeleitet ist, werden verwendet.Standalone managed service accounts, group managed service accounts, or a custom account object that is derived from these two types of service accounts are used. Richtlinien können Zugriffsstatus eines Geräts zugriffssteuerungsbedingungen festgelegt, die verwendet werden, um Anmeldeinformationen für das verwaltete Dienstkonto auf bestimmte Geräte mit einer Active Directory-Identität zu beschränken.Policies can set a device's access control conditions, which are used to restrict managed service account credentials to specific devices with an Active Directory identity. Dienste sollten nie Mitglied der Sicherheitsgruppe "Geschützte Benutzer" sein, weil sonst alle eingehenden Authentifizierungsversuche fehlschlagen.Services should never be members of the Protected Users security group because all incoming authentication will fail.

  • ComputerComputer

    Verwendet wird das Computerkontoobjekt oder das benutzerdefinierte Kontoobjekt, das vom Computerkontoobjekt abgeleitet wurde.The computer account object or the custom account object that is derived from the computer account object is used. Durch Richtlinien können die Zugriffssteuerungsbedingungen festgelegt werden, die erfüllt sein müssen, um eine Authentifizierung anhand der Benutzer- oder Geräteeigenschaften gegenüber dem Konto zuzulassen.Policies can set the access control conditions that are required to allow authentication to the account based on user and device properties. Computer sollten nie Mitglied der Sicherheitsgruppe "Geschützte Benutzer" sein, weil sonst alle eingehenden Authentifizierungsversuche fehlschlagen.Computers should never be members of the Protected Users security group because all incoming authentication will fail. Standardmäßig werden NTML-Authentifizierungsversuche abgelehnt.By default, attempts to use NTLM authentication are rejected. Für Computerkonten sollte keine TGT-Lebensdauer konfiguriert werden.A TGT lifetime should not be configured for computer accounts.

Hinweis

Es ist möglich, eine Authentifizierungsrichtlinie für eine Gruppe von Konten festzulegen, ohne die Richtlinie mit einem Authentifizierungsrichtliniensilo zu verknüpfen.It is possible to set an authentication policy on a set of accounts without associating the policy to an authentication policy silo. Sie können diese Strategie verwenden, wenn nur ein einzelnes Konto geschützt werden muss.You can use this strategy when you have a single account to protect.

Active Directory-Schema für AuthentifizierungsrichtlinienActive Directory schema for authentication policies

Die Richtlinien für die Active Directory-Objekte für Benutzer, Computer und Dienste werden nach dem Schema in der folgenden Tabelle definiert.The policies for the Active Directory objects for users, computers, and services are defined by the schema in the following table.

TypType AnzeigenameDisplay Name BeschreibungDescription
RichtliniePolicy AuthentifizierungsrichtlinieAuthentication Policy Eine Instanz dieser Klasse definiert Authentifizierungsrichtlinienverhalten für die zugewiesenen Prinzipale.An instance of this class defines authentication policy behaviors for assigned principals.
RichtliniePolicy AuthentifizierungsrichtlinienAuthentication Policies Ein Container dieser Klasse kann Authentifizierungsrichtlinien-Objekte enthalten.A container of this class can contain authentication policy objects.
RichtliniePolicy Authentication Policy Enforced (Authentifizierungsrichtlinien erzwungen)Authentication Policy Enforced Gibt an, ob die Authentifizierungsrichtlinie erzwungen wird.Specifies whether the authentication policy is enforced.

Wenn sie nicht erzwungen wird, dann ist für die Richtlinie standardmäßig der Überwachungsmodus aktiviert, und es werden Ereignisse zum Anzeigen potenzieller Erfolge oder Fehler generiert, aber keine Schutzmaßnahmen auf das System angewendet.When not enforced, the policy by default is in audit mode, and events that indicate potential successes and failures are generated, but protections are not applied to the system.
RichtliniePolicy Assigned Authentication Policy Backlink (Rückverweis für zugewiesene Authentifizierungsrichtlinie)Assigned Authentication Policy Backlink Dieses Attribut ist der Rückverweis für msDS-AssignedAuthNPolicy.This attribute is the back link for msDS-AssignedAuthNPolicy.
RichtliniePolicy Assigned Authentication Policy (Zugewiesene Authentifizierungsrichtlinie)Assigned Authentication Policy Gibt an, welches AuthNPolicy-Objekt auf diesen Prinzipal angewendet werden soll.Specifies which AuthNPolicy should be applied to this principal.
BenutzerUser User Authentication Policy (Benutzerauthentifizierungsrichtlinie)User Authentication Policy Gibt an, welches AuthNPolicy-Objekt auf die Benutzer, die diesem Siloobjekt zugewiesen wurden, angewendet werden soll.Specifies which AuthNPolicy should be applied to users who are assigned to this silo object.
BenutzerUser User Authentication Policy Backlink (Rückverweis für Benutzerauthentifizierungsrichtlinie)User Authentication Policy Backlink Dieses Attribut ist der Rückverweis für msDS-UserAuthNPolicy.This attribute is the back link for msDS-UserAuthNPolicy.
BenutzerUser ms-DS-User-Allowed-To-Authenticate-Toms-DS-User-Allowed-To-Authenticate-To Mit diesem Attribut wird bestimmt, welcher Gruppe von Prinzipalen erlaubt wird, sich gegenüber einem Dienst, der unter dem Benutzerkonto ausgeführt wird, zu authentifizieren.This attribute is used to determine the set of principals allowed to authenticate to a service running under the user account.
BenutzerUser ms-DS-User-Allowed-To-Authenticate-Fromms-DS-User-Allowed-To-Authenticate-From Mit diesem Attribut wird die Gruppe von Geräten festgelegt, für die ein Benutzerkonto Anmeldeberechtigungen besitzt.This attribute is used to determine the set of devices to which a user account has permission to sign in.
BenutzerUser User TGT Lifetime (Benutzer-TGT-Lebensdauer)User TGT Lifetime Legt das maximale Alter (in Sekunden) eines Kerberos-TGT fest, das für einen Benutzer ausgestellt wird.Specifies the maximum age of a Kerberos TGT that is issued to a user (expressed in seconds). Die resultierenden TGTs sind nicht erneuerbar.Resultant TGTs are non-renewable.
ComputerComputer Computer Authentication Policy (Computerauthentifizierungsrichtlinie)Computer Authentication Policy Gibt an, welches AuthNPolicy-Objekt auf die Computer, die diesem Siloobjekt zugewiesen wurden, angewendet werden soll.Specifies which AuthNPolicy should be applied to computers that are assigned to this silo object.
ComputerComputer Computer Authentication Policy Backlink (Rückverweis für Computerauthentifizierungsrichtlinie)Computer Authentication Policy Backlink Dieses Attribut ist der Rückverweis für msDS-ComputerAuthNPolicy.This attribute is the back link for msDS-ComputerAuthNPolicy.
ComputerComputer ms-DS-Computer-Allowed-To-Authenticate-Toms-DS-Computer-Allowed-To-Authenticate-To Mit diesem Attribut wird bestimmt, welcher Gruppe von Prinzipalen erlaubt wird, sich gegenüber einem Dienst, der unter dem Computerkonto ausgeführt wird, zu authentifizieren.This attribute is used to determine the set of principals that are allowed to authenticate to a service running under the computer account.
ComputerComputer Computer TGT Lifetime (Computer-TGT-Lebensdauer)Computer TGT Lifetime Legt das maximale Alter (in Sekunden) eines Kerberos-TGT fest, das für einen Computer ausgestellt wird.Specifies the maximum age of a Kerberos TGT that is issued to a computer (expressed in seconds). Von der Änderung dieser Einstellung wird abgeraten.It is not recommended to change this setting.
ServiceService Service Authentication Policy (Dienstauthentifizierungsrichtlinie)Service Authentication Policy Gibt an, welches AuthNPolicy-Objekt auf die Dienste, die diesem Siloobjekt zugewiesen wurden, angewendet werden soll.Specifies which AuthNPolicy should be applied to services that are assigned to this silo object.
ServiceService Service Authentication Policy Backlink (Rückverweis für Dienstauthentifizierungsrichtlinie)Service Authentication Policy Backlink Dieses Attribut ist der Rückverweis für msDS-ServiceAuthNPolicy.This attribute is the back link for msDS-ServiceAuthNPolicy.
ServiceService ms-DS-Service-Allowed-To-Authenticate-Toms-DS-Service-Allowed-To-Authenticate-To Mit diesem Attribut wird bestimmt, welcher Gruppe von Prinzipalen erlaubt wird, sich gegenüber einem Dienst, der unter dem Dienstkonto ausgeführt wird, zu authentifizieren.This attribute is used to determine the set of principals that are allowed to authenticate to a service running under the service account.
ServiceService ms-DS-Service-Allowed-To-Authenticate-Fromms-DS-Service-Allowed-To-Authenticate-From Mit diesem Attribut wird die Gruppe von Geräten festgelegt, für die ein Dienstkonto Anmeldeberechtigungen besitzt.This attribute is used to determine the set of devices to which a service account has permission to sign in.
ServiceService Service TGT Lifetime (Dienst-TGT-Lebensdauer)Service TGT Lifetime Legt das maximale Alter (in Sekunden) eines Kerberos-TGT fest, das für einen Dienst ausgestellt wird.Specifies the maximum age of a Kerberos TGT that is issued to a service (expressed in seconds).

Authentifizierungsrichtlinien können mit der Active Directory-Verwaltungskonsole oder Windows PowerShell für jedes Silo konfiguriert werden.Authentication policies can be configured for each silo by using the Active Directory Administrative Console or Windows PowerShell. Weitere Informationen finden Sie unter Konfigurieren geschützter Konten.For more information, see How to Configure Protected Accounts.

FunktionsweiseHow it works

In diesem Abschnitt wird die Funktionsweise von Authentifizierungsrichtliniensilos und Authentifizierungsrichtlinien in Verbindung mit der Sicherheitsgruppe "Geschützte Benutzer" und die Implementierung des Kerberos-Protokolls in Windows beschrieben.This section describes how authentication policy silos and authentication policies work in conjunction with the Protected Users security group and implementation of the Kerberos protocol in Windows.

geschützte KontenProtected accounts

Die Sicherheitsgruppe der geschützten Benutzer löst nicht konfigurierbaren Schutz auf Geräten und Hostcomputern, die unter Windows Server 2012 R2 und Windows 8.1, und klicken Sie auf Domänencontrollern in Domänen mit einem primären Domänencontroller mit Windows Server 2012 R2.The Protected Users security group triggers non-configurable protection on devices and host computers running Windows Server 2012 R2 and Windows 8.1, and on domain controllers in domains with a primary domain controller running Windows Server 2012 R2 . Abhängig von der Domänenfunktionsebene des Kontos sind die Mitglieder der Sicherheitsgruppe "Geschützte Benutzer" aufgrund der Änderungen der Authentifizierungsmethoden, die in Windows unterstützt werden, zusätzlich geschützt.Depending on the domain functional level of the account, members of the Protected Users security group are further protected because of changes in the authentication methods that are supported in Windows.

  • Mitglieder der Sicherheitsgruppe "Geschützte Benutzer" können sich nicht unter Verwendung von NTLM, Digestauthentifizierung oder der Delegierung der Standardanmeldeinformationen mit CredSSP authentifizieren.The member of the Protected Users security group cannot authenticate by using NTLM, Digest Authentication, or CredSSP default credential delegation. Auf einem Gerät, die mit Windows 8.1, die keines dieser Security Support Provider (SSP) verwendet wird, schlägt die Authentifizierung zu einer Domäne fehl, wenn das Konto ein Mitglied der Sicherheitsgruppe der geschützten Benutzer ist.On a device running Windows 8.1 that uses any one of these Security Support Providers (SSPs), authentication to a domain will fail when the account is a member of the Protected Users security group.

  • Das Kerberos-Protokoll verwendet die schwächeren Verschlüsselungstypen DES oder RC4 nicht im Vorauthentifizierungsprozess.The Kerberos protocol will not use the weaker DES or RC4 encryption types in the preauthentication process. Daher muss die Domäne so konfiguriert werden, dass mindestens der Verschlüsselungstyp AES unterstützt wird.This means that the domain must be configured to support at least the AES encryption type.

  • Das Konto des Benutzers kann nicht delegiert werden, mit eingeschränkten und uneingeschränkten Kerberos Delegierung.The user's account cannot be delegated with Kerberos constrained or unconstrained delegation. Das bedeutet, dass frühere Verbindungen mit anderen Systemen fehlschlagen, wenn der Benutzer Mitglied der Sicherheitsgruppe "Geschützte Benutzer" ist.This means that former connections to other systems may fail if the user is a member of the Protected Users security group.

  • Die Standardeinstellung für die Lebensdauer von Kerberos-TGTs von vier Stunden kann mit Authentifizierungsrichtlinien und -silos konfiguriert werden, auf die über das Active Directory-Verwaltungscenter zugegriffen werden kann.The default Kerberos TGTs lifetime setting of four hours is configurable by using authentication policies and silos, which can be accessed through the Active Directory Administrative Center. Das heißt, dass sich der Benutzer nach Ablauf von vier Stunden erneut authentifizieren muss.This means that when four hours has passed, the user must authenticate again.

Weitere Informationen zu dieser Sicherheitsgruppe finden Sie unter Funktionsweise der Gruppe "Geschützte Benutzer".For more information about this security group, see How the Protected Users group works.

Silos und AuthentifizierungsrichtlinienSilos and authentication policies

Authentifizierungsrichtliniensilos und Authentifizierungsrichtlinien nutzen die vorhandene Windows-Authentifizierungsinfrastruktur.Authentication policy silos and authentication policies leverage the existing Windows authentication infrastructure. Die Verwendung des NTLM-Protokolls wird abgelehnt, und das Kerberos-Protokoll wird mit neueren Verschlüsselungstypen verwendet.The use of the NTLM protocol is rejected, and the Kerberos protocol with newer encryption types is used. Authentifizierungsrichtlinien ergänzen die Sicherheitsgruppe "Geschützte Benutzer" durch die Möglichkeit, konfigurierbare Einschränkungen auf Konten anzuwenden, sowie durch die Bereitstellung von Einschränkungen für Dienst- und Computerkonten.Authentication policies complement the Protected Users security group by providing a way to apply configurable restrictions to accounts, in addition to providing restrictions for accounts for services and computers. Authentifizierungsrichtlinien werden während des Austauschs des Authentifizierungsdiensts (Authentication Service, AS) und des Ticket-Granting Service (TGS) des Kerberos-Protokolls erzwungen.Authentication policies are enforced during the Kerberos protocol authentication service (AS) or ticket-granting service (TGS) exchange. Weitere Informationen dazu, wie Windows das Kerberos-Protokoll verwendet und welche Änderungen zur Unterstützung von Authentifizierungsrichtliniensilos und Authentifizierungsrichtlinien vorgenommen wurden, finden Sie unter:For more information about how Windows uses the Kerberos protocol, and what changes have been made to support authentication policy silos and authentication policies, see:

Verwendung des Kerberos-Protokolls mit authentifizierungsrichtliniensilos und-RichtlinienHow the Kerberos protocol is used with authentication policy silos and policies

Wenn ein Domänenkonto mit einem Authentifizierungsrichtliniensilo verknüpft wird und der Benutzer sich anmeldet, fügt der Sicherheitskonto-Manager den Anspruchstyp "Authentifizierungsrichtliniensilo" hinzu, der das Silo als Wert enthält.When a domain account is linked to an authentication policy silo, and the user signs in, the Security Accounts Manager adds the claim type of Authentication Policy Silo that includes the silo as the value. Dieser Anspruch im Konto bietet Zugriff auf das betreffende Silo.This claim on the account provides the access to the targeted silo.

Wenn eine Authentifizierungsrichtlinie erzwungen wird und die Authentifizierungsdienstanforderung für ein Domänenkonto beim Domänencontroller eingeht, dann gibt der Domänencontroller ein nicht erneuerbares TGT mit der konfigurierten Lebensdauer zurück (sofern das Domänen-TGT keine kürzere Lebensdauer hat).When an authentication policy is enforced and the authentication service request for a domain account is received on the domain controller, the domain controller returns a non-renewable TGT with the configured lifetime (unless the domain TGT lifetime is shorter).

Hinweis

Das Domänenkonto muss eine konfigurierte TGT-Lebensdauer besitzen und entweder direkt oder indirekt über die Silomitgliedschaft mit der Richtlinie verknüpft werden.The domain account must have a configured TGT lifetime and must be either directly linked to the policy or indirectly linked through the silo membership.

Wenn der Überwachungsmodus für eine Authentifizierungsrichtlinie aktiviert ist und beim Domänencontroller die Authentifizierungsdienstanforderung für ein Domänenkonto eingeht, dann prüft der Domänencontroller, ob die Authentifizierung des Geräts zulässig ist, damit beim Auftreten eines Fehlers eine Warnung protokolliert werden kann.When an authentication policy is in audit mode and the authentication service request for a domain account is received on the domain controller, the domain controller checks if authentication is allowed for the device so that it can log a warning if there is a failure. Da der Prozess durch eine überwachte Authentifizierungsrichtlinie nicht geändert wird, schlagen Authentifizierungsanforderungen nicht fehl, wenn sie die Anforderungen der Richtlinie nicht erfüllen.An audited authentication policy does not alter the process, so authentication requests will not fail if they do not meet the requirements of the policy.

Hinweis

Das Domänenkonto muss entweder direkt oder indirekt über die Silomitgliedschaft mit der Richtlinie verknüpft werden.The domain account must be either directly linked to the policy or indirectly linked through the silo membership.

Wenn eine Authentifizierungsrichtlinie erzwungen wird und der Authentifizierungsdienst Kerberos Armoring verwendet, dann wird die Authentifizierungsdienstanforderung für ein Domänenkonto auf dem Domänencontroller empfangen, und der Domänencontroller prüft, ob die Authentifizierung für das Gerät zulässig ist.When an authentication policy is enforced and the authentication service is armored, the authentication service request for a domain account is received on the domain controller, the domain controller checks if authentication is allowed for the device. Wenn ein Fehler auftritt, gibt der Domänencontroller eine Fehlermeldung zurück und protokolliert ein Ereignis.If it fails, the domain controller returns an error message and logs an event.

Hinweis

Das Domänenkonto muss entweder direkt oder indirekt über die Silomitgliedschaft mit der Richtlinie verknüpft werden.The domain account must be either directly linked to the policy or indirectly linked through the silo membership.

Wenn eine Authentifizierungsrichtlinie aktiviert, im Überwachungsmodus ist und eine Ticket-granting-dienstanforderung für ein Domänenkonto ein Domänencontroller empfangen wird, prüft der Domänencontroller auf, wenn die Authentifizierung anhand des anforderungstickets Berechtigungen Attribut Zertifikat zugelassen wird (PAC) Daten und protokolliert eine Warnmeldung, wenn ein Fehler auftritt.When an authentication policy is in audit mode and a ticket-granting service request is received by the domain controller for a domain account, the domain controller checks if authentication is allowed based on the request's ticket Privilege Attribute Certificate (PAC) data, and it logs a warning message if it fails. Das PAC enthält verschiedene Arten von Autorisierungsdaten, darunter die Gruppen, denen der Benutzer als Mitglied angehört, die Rechte des Benutzers und die Richtlinien, die für den Benutzer gelten.The PAC contains various types of authorization data, including groups that the user is a member of, rights the user has, and what policies apply to the user. Diese Informationen werden verwendet, um das Zugriffstoken des Benutzers zu generieren.This information is used to generate the user's access token. Ist dies eine erzwungene Authentifizierungsrichtlinie die Authentifizierung für einen Benutzer, Gerät oder Dienst ermöglicht, anhand des anforderungstickets PAC-Daten der Domain Controller wird überprüft, ob die Authentifizierung zulässig ist.If it is an enforced authentication policy which allows authentication to a user, device, or service, the domain controller checks if authentication is allowed based on the request's ticket PAC data. Wenn ein Fehler auftritt, gibt der Domänencontroller eine Fehlermeldung zurück und protokolliert ein Ereignis.If it fails, the domain controller returns an error message and logs an event.

Hinweis

Das Domänenkonto muss entweder direkt oder indirekt über die Silomitgliedschaft mit einer überwachten Richtlinie verknüpft werden, welche die Authentifizierung eines Benutzers, Geräts oder Diensts zulässt.The domain account must be either directly linked or linked through silo membership to an audited authentication policy which allows authentication to a user, device or service,

Sie können eine Authentifizierungsrichtlinie für alle Mitglieder eines Silos oder getrennte Richtlinien für Benutzer, Computer und verwaltete Dienstkonten verwenden.You can use a single authentication policy for all members of a silo, or you can use separate policies for users, computers, and managed service accounts.

Authentifizierungsrichtlinien können mit der Active Directory-Verwaltungskonsole oder Windows PowerShell für jedes Silo konfiguriert werden.Authentication policies can be configured for each silo by using the Active Directory Administrative Console or Windows PowerShell. Weitere Informationen finden Sie unter Konfigurieren geschützter Konten.For more information, see How to Configure Protected Accounts.

Einschränken einer Benutzeranmeldung funktioniertHow restricting a user sign-in works

Weil diese Authentifizierungsrichtlinien auf ein Konto angewendet werden, gelten sie auch für Konten, die von Diensten verwendet werden.Because these authentication policies are applied to an account, it also applies to accounts that are used by services. Wenn Sie die Verwendung eines Kennworts für einen Dienst auf bestimmte Hosts beschränken möchten, ist diese Einstellung hilfreich.If you want to limit the usage of a password for a service to specific hosts, this setting is useful. Beispielsweise werden gruppenverwaltete Dienstkonten so konfiguriert, dass die Hosts das Kennwort von den Active Directory-Domänendiensten abrufen können.For example, group managed service accounts are configured where the hosts are allowed to retrieve the password from Active Directory Domain Services. Allerdings kann dieses Kennwort auf jedem Host zur anfänglichen Authentifizierung verwendet werden.However, that password can be used from any host for initial authentication. Durch die Anwendung einer Zugriffssteuerungsbedingung kann eine zusätzliche Schutzebene eingeführt werden, indem das Kennwort nur auf die Gruppe von Hosts begrenzt wird, welche das Kennwort abrufen können.By applying an access control condition, an additional layer of protection can be achieved by limiting the password to only the set of hosts that can retrieve the password.

Wenn Dienste, die als System, Netzwerkdienst oder andere lokale Dienstidentität ausgeführt auf Netzwerkdienste verbinden möchten, verwenden sie Computerkonto des Hosts.When services that run as system, network service, or other local service identity connect to network services, they use the host's computer account. Computerkonten können nicht beschränkt werden.Computer accounts cannot be restricted. Selbst wenn der Dienst ein Computerkonto verwendet, das nicht für einen Windows-Host vorgesehen ist, kann dieses nicht eingeschränkt werden.So even if the service is using a computer account that is not for a Windows host, it cannot be restricted.

Einschränken der Benutzeranmeldung auf bestimmte Hosts erfordert den Domänencontroller, um die Identität des Hosts zu überprüfen.Restricting user sign-in to specific hosts requires the domain controller to validate the host's identity. Bei Verwendung der Kerberos-Authentifizierung mit Kerberos Amoring (die Bestandteil der dynamischen Zugriffssteuerung ist), dann wird das Schlüsselverteilungscenter mit dem TGT des Hosts bereitgestellt, von dem der Benutzer authentifiziert wird.When using Kerberos authentication with Kerberos armoring (which is part of Dynamic Access Control), the Key Distribution Center is provided with the TGT of the host from which the user is authenticating. Der Inhalt dieses geschützten TGT wird zur Durchführung einer Zugriffsprüfung verwendet, mit der bestimmt wird, ob der Host zulässig ist.The content of this armored TGT is used to complete an access check to determine if the host is allowed.

Wenn sich der Benutzer bei Windows anmeldet oder seine Domänenanmeldeinformationen in eine Eingabeaufforderung für die Anmeldung bei einer Anwendung eingibt, dann sendet Windows standardmäßig eine ungeschützte Authentifizierungsdienstanforderung (AS-REQ) an den Domänencontroller.When a user signs in to Windows or enters their domain credentials in a credential prompt for an application, by default, Windows sends an unarmored AS-REQ to the domain controller. Wenn der Benutzer die Anforderung von einem Computer sendet, die nicht unterstützt, z. B. Computer mit Windows 7 oder Windows Vista armoring die Anforderung schlägt fehl.If the user is sending the request from a computer that does not support armoring, such as computers running Windows 7 or Windows Vista, the request fails.

In der folgenden Liste wird der Prozess beschrieben:The following list describes the process:

  • Der Domänencontroller in einer Domäne mit Windows Server 2012 R2-Abfragen für das Benutzerkonto und bestimmt, ob er mit einer Authentifizierungsrichtlinie konfiguriert ist, die anfängliche Authentifizierung beschränkt, die geschützten Anforderungen erforderlich sind.The domain controller in a domain running Windows Server 2012 R2 queries for the user account and determines if it is configured with an authentication policy that restricts initial authentication that requires armored requests.

  • Der Domänencontroller kann die Anforderung nicht erfüllen.The domain controller will fail the request.

  • Da Kerberos armoring erforderlich ist, kann der Benutzer zur Anmeldung mit einem Computer unter Windows 8.1 oder Windows 8, das aktiviert wird, um die Kerberos armoring unterstützt, um die Anmeldung erneut versuchen.Because armoring is required, the user can attempt to sign in by using a computer running Windows 8.1 or Windows 8, which is enabled to support Kerberos armoring to retry the sign-in process.

  • Windows erkennt, dass die Domäne Kerberos Armoring unterstützt, und sendet eine geschützte AS-REQ, um die Anmeldungsanforderung zu wiederholen.Windows detects that the domain supports Kerberos armoring and sends an armored AS-REQ to retry the sign-in request.

  • Der Domänencontroller führt eine zugriffsprüfung mit den konfigurierten zugriffssteuerungsbedingungen und Identitätsinformationen für die Client-Betriebssystem in das TGT fest, das zur Abschirmung der Anforderung verwendet wurde.The domain controller performs an access check by using the configured access control conditions and the client operating system's identity information in the TGT that was used to armor the request.

  • Wenn die Zugriffsprüfung fehlschlägt, lehnt der Domänencontroller die Anforderung ab.If the access check fails, the domain controller rejects the request.

Selbst wenn das Betriebssystem Kerberos Armoring unterstützt, können Zugriffssteuerungsanforderungen angewendet werden, die erfüllt sein müssen, bevor der Zugriff gewährt wird.Even when operating systems support Kerberos armoring, access control requirements can be applied and must be met before access is granted. Die Benutzer melden sich bei Windows an oder geben ihre Domänenanmeldeinformationen in eine Eingabeaufforderung für die Anmeldung bei einer Anwendung ein.Users sign in to Windows or enter their domain credentials in a credential prompt for an application. Standardmäßig sendet Windows eine ungeschützte AS-REQ an den Domänencontroller.By default, Windows sends an unarmored AS-REQ to the domain controller. Wenn der Benutzer die Anforderung von einem Computer, die Kerberos armoring sendet, z. B. Windows 8.1 oder Windows 8 unterstützt werden die Authentifizierungsrichtlinien wie folgt ausgewertet:If the user is sending the request from a computer that supports armoring, such as Windows 8.1 or Windows 8, authentication policies are evaluated as follows:

  1. Der Domänencontroller in einer Domäne mit Windows Server 2012 R2-Abfragen für das Benutzerkonto und bestimmt, ob er mit einer Authentifizierungsrichtlinie konfiguriert ist, die anfängliche Authentifizierung beschränkt, die geschützten Anforderungen erforderlich sind.The domain controller in a domain running Windows Server 2012 R2 queries for the user account and determines if it is configured with an authentication policy that restricts initial authentication that requires armored requests.

  2. Der Domänencontroller führt eine zugriffsprüfung mit den konfigurierten zugriffssteuerungsbedingungen und den Identitätsinformationen des Systems in der TGT fest, das zur Abschirmung der Anforderung verwendet wird.The domain controller performs an access check by using the configured access control conditions and the system's identity information in the TGT that is used to armor the request. Die Zugriffsprüfung ist erfolgreich.The access check succeeds.

    Hinweis

    Wenn ältere Arbeitsgruppeneinschränkungen konfiguriert wurden, müssen auch diese erfüllt werden.If legacy workgroup restrictions are configured, those also need to be met.

  3. Der Domänencontroller antwortet mit einer geschützten Antwort (AS-REP), und die Authentifizierung wird fortgesetzt.The domain controller replies with an armored reply (AS-REP), and the authentication continues.

Funktionsweise von Einschränken der Dienstticket-AusstellungHow restricting service ticket issuance works

Wenn ein Konto ist nicht zulässig und ein Benutzer, der ein TGT besitzt, mit dem Dienst herzustellen versucht (z. B. durch Öffnen einer Anwendung, die Authentifizierungsanforderung an einen Dienst, der durch den Dienst für Dienstprinzipalnamen (SPN) identifiziert wird, dann geschieht Folgendes:When an account is not allowed and a user who has a TGT attempts to connect to the service (such as by opening an application that requires authentication to a service that is identified by the service's service principal name (SPN), the following sequence occurs:

  1. Bei einem Versuch, von SPN eine Verbindung mit SPN1 herzustellen, sendet Windows eine TGS-REQ an den Domänencontroller, der ein Dienstticket für SPN1 anfordert.In an attempt to connect to SPN1 from SPN, Windows sends a TGS-REQ to the domain controller that is requesting a service ticket to SPN1.

  2. Der Domänencontroller in einer Domäne mit Windows Server 2012 R2 schlägt spn1 nach Active Directory Domain Services-Konto für den Dienst zu finden und feststellt, dass das Konto mit einer Authentifizierungsrichtlinie konfiguriert wurde, die Ausstellung von Diensttickets beschränkt.The domain controller in a domain running Windows Server 2012 R2 looks up SPN1 to find the Active Directory Domain Services account for the service and determines that the account is configured with an authentication policy that restricts service ticket issuance.

  3. Der Domänencontroller führt eine zugriffsprüfung mit den konfigurierten zugriffssteuerungsbedingungen und den Identitätsinformationen des Benutzers im TGT enthalten sind.The domain controller performs an access check by using the configured access control conditions and the user's identity information in the TGT. Die Zugriffsprüfung schlägt fehl.The access check fails.

  4. Der Domänencontroller weist die Anforderung zurück.The domain controller rejects the request.

Wenn ein Konto zulässig ist, da das Konto erfüllt die Bedingungen für die Zugriffssteuerung, die durch die Authentifizierungsrichtlinie festgelegt werden, und ein Benutzer, der ein TGT besitzt, mit dem Dienst herzustellen versucht (z. B. durch Öffnen einer Anwendung, die Authentifizierung bei einem Dienst erfordert, gekennzeichnet durch der SPN des Diensts), dann geschieht Folgendes:When an account is allowed because the account meets the access control conditions that are set by the authentication policy, and a user who has a TGT attempts to connect to the service (such as by opening an application that requires authentication to a service that is identified by the service's SPN), the following sequence occurs:

  1. Bei einem Versuch, eine Verbindung mit SPN1 herzustellen, sendet Windows eine TGS-REQ an den Domänencontroller, der ein Dienstticket für SPN1 anfordert.In an attempt to connect to SPN1, Windows sends a TGS-REQ to the domain controller that is requesting a service ticket to SPN1.

  2. Der Domänencontroller in einer Domäne mit Windows Server 2012 R2 schlägt spn1 nach Active Directory Domain Services-Konto für den Dienst zu finden und feststellt, dass das Konto mit einer Authentifizierungsrichtlinie konfiguriert wurde, die Ausstellung von Diensttickets beschränkt.The domain controller in a domain running Windows Server 2012 R2 looks up SPN1 to find the Active Directory Domain Services account for the service and determines that the account is configured with an authentication policy that restricts service ticket issuance.

  3. Der Domänencontroller führt eine zugriffsprüfung mit den konfigurierten zugriffssteuerungsbedingungen und den Identitätsinformationen des Benutzers im TGT enthalten sind.The domain controller performs an access check by using the configured access control conditions and the user's identity information in the TGT. Die Zugriffsprüfung ist erfolgreich.The access check succeeds.

  4. Der Domänencontroller beantwortet die Anforderung mit einer Ticket erteilenden Dienstantwort (TGS-REP).The domain controller replies to the request with a ticket-granting service reply (TGS-REP).

Zugehörige Fehler- und informationsmeldungenAssociated error and informational event messages

In der folgenden Tabelle werden die Ereignisse, die mit der Sicherheitsgruppe "Geschützte Benutzer" zusammenhängen, und die Authentifizierungsrichtlinien, die für Authentifizierungsrichtliniensilos gelten, beschrieben.The following table describes the events that are associated with Protected Users security group and the authentication policies that are applied to authentication policy silos.

Die Ereignisse werden in den Anwendungs- und Dienstprotokollen unter Microsoft\Windows\Authentication verzeichnet.The events are recorded in the Applications and Services Logs at Microsoft\Windows\Authentication.

Informationen zu Problembehandlungsschritten mit diesen Ereignissen finden Sie unter Problembehandlung von Authentifizierungsrichtlinien und Problembehandlungen von Ereignissen im Zusammenhang mit geschützten Benutzern.For troubleshooting steps that use these events, see Troubleshoot Authentication Policies and Troubleshoot events related to Protected Users.

Ereignis-ID und ProtokollEvent ID and Log BeschreibungDescription
101101

AuthenticationPolicyFailures-DomainControllerAuthenticationPolicyFailures-DomainController
Grund: Es tritt ein NTLM-Anmeldefehler auf, weil die Authentifizierungsrichtlinie konfiguriert ist.Reason: An NTLM sign-in failure occurs because the authentication policy is configured.

Auf dem Domänencontroller wird ein Ereignis protokolliert, das anzeigt, dass die NTLM-Authentifizierung fehlgeschlagen ist, weil Zugriffssteuerungseinschränkungen erfüllt werden müssen und diese Einschränkungen nicht auf NTLM anwendbar sind.An event is logged in the domain controller to indicate that NTLM authentication failed because access control restrictions are required, and those restrictions cannot be applied to NTLM.

Zeigt den Kontonamen, Gerätenamen, Richtliniennamen und Silonamen an.Displays the account, device, policy, and silo names.
105105

AuthenticationPolicyFailures-DomainControllerAuthenticationPolicyFailures-DomainController
Grund: Es tritt ein Kerberos-Einschränkungsfehler auf, weil die Authentifizierung von einem bestimmten Gerät nicht zugelassen wurde.Reason: A Kerberos restriction failure occurs because the authentication from a particular device was not permitted.

Auf dem Domänencontroller wird ein Ereignis protokolliert, das anzeigt, dass ein Kerberos-TGT verweigert wurde, weil das Gerät nicht die erzwungenen Zugriffssteuerungseinschränkungen erfüllte.An event is logged in the domain controller to indicate that a Kerberos TGT was denied because the device did not meet the enforced access control restrictions.

Zeigt Kontonamen, Gerätenamen, Richtliniennamen, Silonamen und TGT-Lebensdauer an.Displays the account, device, policy, silo names, and TGT lifetime.
305305

AuthenticationPolicyFailures-DomainControllerAuthenticationPolicyFailures-DomainController
Grund: Es tritt möglicherweise ein potenzieller Kerberos-Einschränkungsfehler auf, weil die Authentifizierung von einem bestimmten Gerät nicht zugelassen wurde.Reason: A potential Kerberos restriction failure might occur because the authentication from a particular device was not permitted.

Im Überwachungsmodus wird auf dem Domänencontroller ein Ereignis protokolliert, das anzeigt, dass ein Kerberos-TGT verweigert wurde, weil das Gerät nicht die erzwungenen Zugriffssteuerungseinschränkungen erfüllt.In audit mode, an informational event is logged in the domain controller to determine if a Kerberos TGT will be denied because the device did not meet the access control restrictions.

Zeigt Kontonamen, Gerätenamen, Richtliniennamen, Silonamen und TGT-Lebensdauer an.Displays the account, device, policy, silo names, and TGT lifetime.
106106

AuthenticationPolicyFailures-DomainControllerAuthenticationPolicyFailures-DomainController
Grund: Es tritt ein Kerberos-Einschränkungsfehler auf, weil der Benutzer oder das Gerät sich nicht gegenüber dem Server authentifizieren durfte.Reason: A Kerberos restriction failure occurs because the user or device was not allowed to authenticate to the server.

Auf dem Domänencontroller wird ein Ereignis protokolliert, das anzeigt, dass ein Kerberos-Dienstticket verweigert wurde, weil der Benutzer, das Gerät oder beide nicht die erzwungenen Zugriffssteuerungseinschränkungen erfüllen.An event is logged in the domain controller to indicate that a Kerberos service ticket was denied because the user, device, or both do not meet the enforced access control restrictions.

Zeigt den Gerätenamen, Richtliniennamen und Silonamen an.Displays the device, policy, and silo names.
306306

AuthenticationPolicyFailures-DomainControllerAuthenticationPolicyFailures-DomainController
Grund: Möglicherweise tritt ein Kerberos-Einschränkungsfehler auf, weil der Benutzer oder das Gerät sich nicht gegenüber dem Server authentifizieren durfte.Reason: A Kerberos restriction failure might occur because the user or device was not allowed to authenticate to the server.

Im Überwachungsmodus wird auf dem Domänencontroller ein Ereignis protokolliert, das anzeigt, dass ein Kerberos-Dienstticket verweigert wurde, weil der Benutzer, das Gerät oder beide nicht die Zugriffssteuerungseinschränkungen erfüllen.In audit mode, an informational event is logged on the domain controller to indicate that a Kerberos service ticket will be denied because the user, device, or both do not meet the access control restrictions.

Zeigt den Gerätenamen, Richtliniennamen und Silonamen an.Displays the device, policy, and silo names.

Siehe auchSee also

Konfigurieren geschützter KontenHow to Configure Protected Accounts

Schutz und Verwaltung von AnmeldeinformationenCredentials Protection and Management

Sicherheitsgruppe „Geschützte Benutzer“Protected Users Security Group