我有一个证书提供者,不按照我想要的方式行事。 它提供了辅助身份validation,但范围是针对主机范围内的所有交互式Windowslogin,而不是针对特定用户。
除了凭证提供者之外,还安装了凭证提供者filter。 凭证提供程序filter将login屏幕上的凭证提供程序的使用限制为仅凭凭证提供程序。 但是,如果删除了凭证提供程序filter(通过删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters下的密钥),则用户可以将凭证提供程序更改为任何其他可用的凭证提供程序好朋友PasswordProvider )。
我的意图是为某些用户强制使用凭据提供者。 例如,如果这个用户试图用另一个凭证提供者login,那也没关系,但是我想AD拒绝这个请求……只允许从正确的凭证提供者调用它的请求。
这可能吗? 我希望有一种方法可以在AD中configuration用户对象来限制可接受的凭据提供程序。
谢谢
好问题。 如上所述,没有更好的资料来源,答案似乎是否定的。
引用:
值得注意的是,凭证提供者并不是执行机制。
因为:
凭据提供程序在Windows机器上注册,并负责以下操作。
- 描述authentication所需的凭证信息。
- 处理与任何外部authentication机构的通信和逻辑。
- 打包交互式和networkinglogin凭据。
也就是说,他们是客户端机制。
另外一个最佳实践是描述为不完全禁止访问至less一个主机范围的提供者,以免导致完全locking:
虽然第三方凭据提供商可以满足特定用户组的额外authentication要求,但是确保用户在发生重大变化时可以随时重新访问他们的机器是非常重要的。 系统凭据提供者提供这种保证。
所以…这个build议似乎不是排除对主机提供商的访问。 如果你想要限制,简单的解决scheme: 不要授予用户删除registry项的权限 。
受保护的用户安全组不会按照您的要求进行操作,而是加强身份validation过程服务器端的一种方法。