我有一个运行在Windows Server 2012上的KDC Active Directory。
目前,每个用户都可以向TGS请求每个服务的服务票据。 我正在寻找一个解决scheme,如果用户在Y组或类似的东西,KDC只授予服务X的服务票据。
Active Directory有可能吗?
是的,要么删除“允许进行身份validation”(并添加特定的组)权限,要么拒绝相应的权限。
默认情况下,同一个域中的所有用户都允许进行身份validation。
如果没有对目标计算机(或服务帐户,取决于服务)的“允许进行身份validation”权限,KDC将不会为该服务(SPN)向该主题(用户)颁发服务权证。