Раздел содержит инструкцию по настройке входа в домен по предъявлению токена в операционной системе Windows Server 2022.
Для настройки необходим необходимы:
- компьютер с установленной операционной системой Windows 2022 Server Rus
...
- ;
- установленные Драйверы Рутокен;
- дистрибутив ОС.
...
Необходимые условия:
- операционная система настроена как Контроллер домена
...
- ;
- установлены Службы Сертификации
...
- ;
- пользователям выданы сертификаты типа Пользователь со смарт-картой или Вход со смарт-картой.
Все описанные действия производятся с правами администратора системы.
Для примера используется учетная запись Admin.
Этапы настройки входа в домен по предъявлению токена:
1 этап: Настройка учетных записей пользователя.
2 этап: Настройка политик безопасности домена.
3 этап: Настройка клиентской операционной системы.
...
Если необходимо настроить учетную запись для конкретного пользователя, то выполните процедуру, описанную в разделе.
Если необходимо выполнить настройку для группы пользователей, то выполните процедуру, описанную в разделе.
Для настройки клиентской ОС, выполните процедуру, описанную в разделе.
Настройка учетной записи пользователя
В первую очередь необходимо настроить учетные записи пользователей.
В этом примере будет настроена учетная запись User — пользователь домена, включенные только который включен только в группу Пользователи домена.
...
- Откройте Панель управления.
- В поле поиска введите слово введите "администрирование".
Два раза щелкните по названиюразделу Администрирование.
В домене под управлением Windows Server 2022 есть возможность одним действием запретить всем входить в домен без наличия устройства Рутокен с необходимым сертификатом (пользователь с учетной записью Administrator также не сможет войти в домен без наличия устройства Рутокен). Шаги 2-5 данной инструкции необходимо выполнить только в том случае, если в домене будут пользователи не только с устройствами Рутокен, но и использующие альтернативные способы аутентификации (пароли, биометрические данные и т. д.). При этом шаги 9-10 надо пропустить.- Два раза щелкните по названию Пользователи и компьютеры Active Directory.
- В левой части окна оснастки щелкните по названию папкипапке Users.
- Щелкните правой кнопкой мыши по имени пользователя, которому будет разрешено входить в домен только при наличии устройства Рутокен, и выберите пункт Свойства.
- В окне свойств пользователя перейдите на вкладку Учетная запись.
- В секции Параметры учетной записи установите флажок Для интерактивного входа в сеть нужна смарт-карта. Нажмите ОК.
- Закрой Закройте окно Active Directory - пользователи и компьютеры.
- Аналогичным образом настройте другие учетные записи в домене. Для таких пользователей вход в домен будет доступен только при наличии устройства Рутокен с сертификатом, выданным администратором домена.
Настройка политик безопасности домена
Настройка политик безопасности домена
Warning |
---|
Шаги 4-5 процедуры необходимо выполнять только в том случае, если всем пользователям будет запрещен вход в домен без устройства Рутокен с необходимым сертификатом. |
Для настройки политик безопасности:
- Откройте Панель управления.
- Два раза щелкните по названию пункта разделу Администрирование.
- Два раза щелкните по названию оснасткиоснастке Управление групповой политикой.
- В окне Управление групповой политикой рядом с названием категориинажмите на категорию Объекты групповой политики щелкните по стрелочке.
Щелкните правой кнопкой мыши по названию объекта групповой политики Default Domain Policy и выберите пункт Изменить...
Шаги 4-5 необходимо выполнять только в том случае, если всем пользователям будет запрещен вход в домен без устройства Рутокен с необходимым сертификатом.
- В окне Редактор управления групповыми политиками рядом с названием пункта нажмите на пункт Конфигурация Windows щелкните по стрелочке.Рядом с названием пункта
- Нажмите на пункт Параметры безопасности щелкните по стрелочке.
- Рядом с названием пунктаНажмите на пункт Локальные политики щелкните по стрелочке.
- Щелкните по названию пунктаНажмите на пункт Параметры безопасности.
- Щелкните два раза по названию политикиполитике Интерактивный вход в систему: требовать Windows Hello для бизнеса или смарт- карту.
- Установите флажок Определить следующий параметр политики.
- Установите переключатель в положениеположении Включен.
- Нажмите ОК.
- В окне Редактор управления групповыми политиками рядом с пунктомнажмите на пункт Конфигурации Windows щелкните по стрелочке.
- Рядом с названием подпунктаНажмите на подпункт Параметры безопасности щелкните по стрелочке.Рядом с названием
- Нажмите на пункт Локальные политики щелкните по стрелочке.
- Щелкните по названию подпунктаподпункту Параметры безопасности.
- Щелкните правой кнопкой мыши по названию политикиполитике Интерактивный вход в систему: поведение при извлечении смарт-карты и выберите пункт Свойства.
- Установите флажок Определить следующий параметр политики.
- Из раскрывающегося списка выберите поведение клиентской ОС при отсоединении устройства Рутокен в процессе открытого пользовательского сеанса. В данном примере выбрано поведение ОС — Блокировка рабочей станции.
- Нажмите ОК.
- Закройте окно Редактор управления групповыми политиками.
- Закройте Панель управления.
...
- Перезагрузите компьютер.
Настройка клиентской операционной системы
...