Verwenden von dreiteiligen Prinzipal Namen

Beim Erstellen eines Security Support Provider SSP-Sicherheitspakets sollten Sie dem in die Domäne eingebundener Client nicht gestatten, sich mit einem zwei teiligen Dienstanbieter Namen (Service Provider Name, SPN) in der folgenden Form bei einem Domänen Controller zu authentifizieren.

  • <Protokoll >/< Hostname>

Ein Client sollte sich stets authentifizieren, indem er die Domäne angibt.

  • <Protokoll >/< Hostname >/< Domänen Name>

Ein in eine Domäne eingebundener Client, der sich mit einem zwei teiligen SPN anmeldet, kann möglicherweise die Identität des Domänen Controllers annehmen. Wenn Sie zwei teilige SPNs zulassen, sollten Sie einen Protokolleintrag erstellen, der genügend Informationen enthält, um dem Administrator die Identifizierung des Aufrufers zu ermöglichen.