Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Toto referenční téma pro IT profesionály popisuje použití a dopad nastavení zásad skupiny v procesu ověřování.
Ověřování v operačních systémech Windows můžete spravovat přidáním účtů uživatelů, počítačů a služeb do skupin a následným použitím zásad ověřování u těchto skupin. Tyto zásady jsou definovány jako místní zásady zabezpečení a jako šablony pro správu, označované také jako nastavení zásad skupiny. Obě sady je možné nakonfigurovat a distribuovat v celé organizaci pomocí zásad skupiny.
Note
Funkce představené ve Windows Serveru 2012 R2 umožňují konfigurovat zásady ověřování pro cílové služby nebo aplikace, běžně označované jako izolace pro ověřování, pomocí chráněných účtů. Informace o tom, jak to udělat ve službě Active Directory, naleznete v tématu Konfigurace chráněných účtů.
Můžete například použít následující zásady pro skupiny na základě jejich funkce v organizaci:
Přihlásit se místně nebo do domény
Přihlášení přes síť
Resetování účtů
Vytvoření účtů
Následující tabulka uvádí skupiny zásad, které jsou relevantní pro ověřování, a obsahuje odkazy na dokumentaci, která vám může pomoct s konfigurací těchto zásad.
| Skupina zásad | Location | Description |
|---|---|---|
| Zásada hesel | Zásady místního počítače\Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu | Zásady hesel ovlivňují charakteristiky a chování hesel. Zásady hesel se používají pro účty domény nebo místní uživatelské účty. Určují nastavení hesel, jako je povinné používání a délka platnosti. Informace o konkrétních nastaveních najdete v tématu Zásady hesel. |
| zásad uzamčení účtu | Zásady místního počítače\Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu | Možnosti zásad uzamčení účtu zakazují účty po nastaveném počtu neúspěšných pokusů o přihlášení. Tyto možnosti vám můžou pomoct při zjišťování a blokování pokusů o přerušení hesel. Informace o možnostech zásad uzamčení účtu najdete v tématu Zásady uzamčení účtu. |
| Zásady Kerberos | Zásady místního počítače\Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Zásady účtu | Nastavení související s protokolem Kerberos zahrnují dobu platnosti lístku a pravidla vynucení. Zásady Kerberos se nevztahují na databáze místních účtů, protože ověřovací protokol Kerberos se nepoužívá k ověřování místních účtů. Nastavení zásad Protokolu Kerberos je proto možné nakonfigurovat pouze pomocí výchozího objektu zásad skupiny domény (GPO), kde ovlivňuje přihlášení k doméně. Informace o možnostech zásad protokolu Kerberos pro řadič domény naleznete v tématu Zásady protokolu Kerberos. |
| zásad auditu | Zásady místního počítače\Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Zásady auditu | Zásady auditování umožňují řídit a pochopit přístup k objektům, jako jsou soubory a složky, a spravovat uživatelské a skupinové účty a přihlášení a odhlášení uživatelů. Zásady auditování mohou určovat kategorie událostí, které chcete auditovat, nastavit velikost a chování protokolu zabezpečení a určit, které objekty chcete monitorovat a jaký typ přístupu chcete monitorovat. |
| Přiřazení uživatelských práv | Zásady místního počítače\Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv | Uživatelská práva se obvykle přiřazují na základě skupin zabezpečení, do kterých uživatel patří, jako jsou správci, uživatelé Power Users nebo Uživatelé. Nastavení zásad v této kategorii se obvykle používá k udělení nebo zamítnutí oprávnění pro přístup k počítači na základě metody přístupu a členství ve skupinách zabezpečení. |
| možnosti zabezpečení | Zásady místního počítače\Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Možnosti zabezpečení | Mezi zásady související s ověřováním patří: -Zařízení |
| delegování přihlašovacích údajů | Konfigurace počítače\Šablony pro správu\Systém\Delegování přihlašovacích údajů | Delegování přihlašovacích údajů je mechanismus, který umožňuje použití místních přihlašovacích údajů v jiných systémech, zejména členských serverů a řadičů domény v rámci domény. Tato nastavení platí pro aplikace, které používají poskytovatele podpory zabezpečení přihlašovacích údajů (Cred SSP). Připojení ke vzdálené ploše je příkladem. |
| KDC | Konfigurace počítače\Šablony pro správu\Systém\KDC | Tato nastavení zásad ovlivňují způsob, jakým centrum distribuce klíčů (KDC), což je služba na řadiči domény, zpracovává žádosti o ověření protokolem Kerberos. |
| Kerberos | Konfigurace počítače\Šablony pro správu\Systém\Kerberos | Tato nastavení zásad ovlivňují způsob konfigurace protokolu Kerberos pro podporu deklarací, chránění Kerberos, kompozitní ověřování, identifikaci proxy serverů a dalších konfigurací. |
| Logon | Konfigurace počítače\Šablony pro správu\Systém\Přihlášení | Tato nastavení zásad řídí, jak systém prezentuje přihlašovací prostředí pro uživatele. |
| Přihlášení k síti | Konfigurace počítače\Šablony pro správu\Systém\Přihlášení k síti | Tato nastavení zásad řídí, jak systém zpracovává požadavky na přihlášení k síti, včetně chování lokátoru řadiče domény. Další informace o tom, jak lokátor řadiče domény zapadá do procesů replikace, najdete v tématu Principy replikace mezi lokalitami. |
| Biometrics | Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Biometrics | Tato nastavení zásad obecně povolují nebo zakazují použití biometrických údajů jako metody ověřování. Informace o implementaci biometriky systému Windows naleznete v tématu Přehled architektury Windows Biometric Framework. |
| uživatelské rozhraní přihlašovacích údajů | Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Uživatelské rozhraní pověření | Tato nastavení zásad řídí způsob správy přihlašovacích údajů v okamžiku vstupu. |
| synchronizace hesel | Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Synchronizace hesel | Tato nastavení zásad určují, jak systém spravuje synchronizaci hesel mezi operačními systémy Windows a UNIX. Další informace naleznete v tématu synchronizace hesel. |
| Chytrá karta | Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Čipová karta | Tato nastavení zásad určují, jak systém spravuje přihlášení pomocí čipové karty. |
| Možnosti přihlášení systému Windows | Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Možnosti přihlášení systému Windows | Tato nastavení zásad určují, kdy a jak jsou k dispozici možnosti přihlášení. |
| možnosti Ctrl+Alt+Del | Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Ctrl+Alt+Del Možnosti | Tato nastavení zásad ovlivňují vzhled funkcí v přihlašovacím uživatelském rozhraní (Secure Desktop), jako je Správce úloh a zámek klávesnice počítače. |
| Logon | Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Přihlášení | Tato nastavení zásad určují, jestli nebo které procesy se můžou spustit, když se uživatel přihlásí. |