【发布时间】:2014-11-05 15:19:55
【问题描述】:
我试图更好地了解 Kerberos 是如何集成到 Active Directory 中的,但我无法从 Microsoft 文档中找到这个问题的明确答案。 我了解从 KDC 获取服务票证的过程:客户端将其 TGT 连同对特定服务的请求一起提交给 KDC,KDC 将向客户端发送回服务票证,并且客户端使用此服务票证访问服务时。
我的问题是:我可以将 KDC (Active Directory) 配置为拒绝向特定用户/组的特定服务授予服务票证吗?
我曾尝试在网上搜索此内容并尝试配置以实现此目的,但我开始怀疑服务票证的唯一作用是告诉服务“此用户确实来自合法域”,因此可以向域中的任何人提供服务票证。因此,例如在 CIFS(文件服务器)的情况下,即使我从计算机中删除所有共享,我仍然可以看到每个用户都可以看到这台计算机(即通过 \computer)并且通过运行“klist ticket”我也看到了即使他们看不到任何共享文件夹或驱动器,他们也被授予“计算机”的 CIFS 服务票证。所以特别是在这个例子中,我是否可以以某种方式使特定用户永远不会获得这台计算机的“CIFS”类型服务票证?
【问题讨论】:
标签: windows active-directory kerberos cifs