Раздел содержит инструкцию по настройке входа в домен по предъявлению токена в операционной системе Windows Server 2022.
Для настройки необходимы:
Необходимые условия:
Все описанные действия производятся с правами администратора системы.
Для примера используется учетная запись Admin.
Этапы настройки входа в домен по предъявлению токена:
1 этап: Настройка учетной записи пользователя.
2 этап: Настройка политик безопасности домена.
3 этап: Настройка клиентской операционной системы.
В первую очередь необходимо настроить учетные записи пользователей.
В этом примере будет настроена учетная запись User — пользователь домена, который включен только в группу Пользователи домена.
Для настройки учетной записи пользователя:
Два раза щелкните по названию Администрирование.
В домене под управлением Windows Server 2022 есть возможность одним действием запретить всем входить в домен без наличия устройства Рутокен с необходимым сертификатом (пользователь с учетной записью Administrator также не сможет войти в домен без наличия устройства Рутокен). Шаги 2-5 данной инструкции необходимо выполнить только в том случае, если в домене будут пользователи не только с устройствами Рутокен, но и использующие альтернативные способы аутентификации (пароли, биометрические данные и т. д.). При этом шаги 9-10 надо пропустить.
Для настройки политик безопасности:
Щелкните правой кнопкой мыши по названию объекта групповой политики Default Domain Policy и выберите пункт Изменить...
Шаги 4-5 необходимо выполнять только в том случае, если всем пользователям будет запрещен вход в домен без устройства Рутокен с необходимым сертификатом.
Настройка будет доступна только после перезагрузки компьютера. Настройка серверной операционной системы после этого будет завершена.
Компьютеры с установленными клиентскими операционными системами Windows 11/10/8.1/8/7/Vista/XP/2000 необходимо ввести в домен и установить на них драйверы Рутокен.
Редакции ОС должны включать возможность присоединения к домену.
Если клиентские компьютеры были загружены во время настройки сервера, то необходимо их перезагрузить.
Теперь пользователи, которым выдан сертификат типа Пользователь со смарт-картой или Вход со смарт-картой, смогут входить в домен только при подключении к компьютеру устройства Рутокен с этим сертификатом.
При извлечении устройства Рутокен в процессе открытого пользовательского сеанса, клиентская ОС будет автоматически заблокирована (в ОС Windows 11/10/8.1/8/7/Vista для блокировки рабочего стола при отключении устройства Рутокен необходимо установить автоматический запуск службы Политика удаления смарт-карт/Smart Card Removal Policy).