Share via

Duale Registrierung

In diesem Artikel werden Windows Hello for Business Funktionen oder Szenarien beschrieben, die für Folgendes gelten:

Wichtig

Die duale Registrierung ersetzt oder bietet nicht die gleiche Sicherheit wie die Privileged Access Workstations-Funktion. Microsoft empfiehlt Organisationen, die Arbeitsstationen mit privilegiertem Zugriff für ihre privilegierten Anmeldeinformationen zu verwenden. Organisationen können Windows Hello for Business doppelte Registrierung in Situationen in Betracht ziehen, in denen das Feature für privilegierten Zugriff nicht verwendet werden kann. Weitere Informationen finden Sie unter Arbeitsstationen mit privilegiertem Zugriff.

Mit der dualen Registrierung können Administratoren administrative Funktionen mit erhöhten Rechten ausführen, indem sie sowohl ihre nicht privilegierten als auch ihre privilegierten Anmeldeinformationen auf ihrem Gerät registrieren.

Standardmäßig listet Windows nicht alle Windows Hello for Business Benutzer aus der Sitzung eines Benutzers auf. Mithilfe der Gruppenrichtlinieneinstellung Enumeration emulierter smarter Karte für alle Benutzer zulassen können Sie ein Gerät so konfigurieren, dass alle registrierten Windows Hello for Business Anmeldeinformationen auf ausgewählten Geräten aufgelistet werden.

Mit dieser Einstellung können sich Administratoren mit ihren nicht privilegierten Windows Hello Anmeldeinformationen für einen normalen Workflow wie E-Mail bei Windows anmelden, aber sie können Microsoft Management Consoles (MMCs), Remotedesktopdienste-Clients und andere Anwendungen starten, indem Sie Als anderer Benutzer ausführen oder Als Administrator ausführen auswählen, das privilegierte Benutzerkonto auswählen und ihre PIN angeben. Administratoren können dieses Feature auch bei Befehlszeilenanwendungen nutzen, indem sie in Kombination mit dem /smartcard Argument verwendenrunas.exe. Dadurch können Administratoren ihre täglichen Vorgänge ausführen, ohne sich an- und abmelden zu müssen, oder einen schnellen Benutzerwechsel zu verwenden, wenn sie zwischen privilegierten und nicht privilegierten Workloads wechseln.

Wichtig

Sie müssen einen Windows-Computer für Windows Hello for Business duale Registrierung konfigurieren, bevor Benutzer (privilegierte oder nicht privilegierte) Windows Hello for Business. Die duale Registrierung ist eine spezielle Einstellung, die während der Erstellung für den container Windows Hello konfiguriert wird.

Konfigurieren Windows Hello for Business dualen Registrierung

Hier sind die Schritte zum Aktivieren der dualen Registrierung:

  • Konfigurieren von Active Directory zur Unterstützung der Domänenadministratorregistrierung
  • Konfigurieren der dualen Registrierung mit Gruppenrichtlinie

Konfigurieren von Active Directory zur Unterstützung der Domänenadministratorregistrierung

Die entworfene Windows Hello for Business-Konfiguration gewährt der Key Admins Gruppe Lese- und Schreibberechtigungen für das msDS-KeyCredentialsLink Attribut. Sie haben diese Berechtigungen im Stammverzeichnis der Domäne bereitgestellt und die Objektvererbung verwendet, um sicherzustellen, dass die Berechtigungen für alle Benutzer in der Domäne unabhängig von ihrem Standort innerhalb der Domänenhierarchie gelten.

Active Directory Domain Services verwendetAdminSDHolder, um privilegierte Benutzer und Gruppen vor unbeabsichtigten Änderungen zu schützen, indem die Sicherheit für privilegierte Benutzer und Gruppen verglichen und ersetzt wird, um den für das AdminSDHolder-Objekt definierten Benutzern in einem stündlichen Zyklus zu entsprechen. Für Windows Hello for Business erhält Ihr Domänenadministratorkonto möglicherweise die Berechtigungen, aber sie werden aus dem Benutzerobjekt ausgeblendet, es sei denn, Sie erteilen dem msDS-KeyCredential Attribut LeseAdminSDHolder- und Schreibberechtigungen.

Melden Sie sich bei einem Domänencontroller oder einer Verwaltungsarbeitsstation mit Zugriff an, der dem Domänenadministrator entspricht.

  1. Geben Sie den folgenden Befehl ein, um die Lese - und Schreibberechtigungen für das MsDS-KeyCredentialLink-Attribut für die Key Admins Gruppe für das AdminSDHolder Objekt hinzuzufügen.

    dsacls "CN=AdminSDHolder,CN=System,DC=domain,DC=com" /g "[domainName\keyAdminGroup]":RPWP;msDS-KeyCredentialLink

    Dabei DC=domain,DC=com ist der LDAP-Pfad Ihrer Active Directory-Domäne und domainName\keyAdminGroup der NetBIOS-Name Ihrer Domäne und der Name der Gruppe, die Sie verwenden, um zugriff auf Schlüssel basierend auf Ihrer Bereitstellung zu gewähren. Zum Beispiel:

    dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=mstepdemo,DC=net" /g "mstepdemo\Key Admins":RPWP;msDS-KeyCredentialLink

  2. Um die Weitergabe der Sicherheitsbeschreibung auszulösen, öffnen Sie ldp.exe

  3. Wählen Sie Verbindung und dann Verbinden aus. Geben Sie neben Server den Namen des Domänencontrollers ein, der die PDC-Rolle für die Domäne enthält. Geben Sie neben Port389 ein, und wählen Sie OK aus.

  4. Wählen Sie Verbindung und dann Binden aus. Wählen Sie OK aus, um als aktuell angemeldeter Benutzer zu binden.

  5. Wählen Sie Browser und dann Ändern aus. Lassen Sie das Textfeld DN leer. Geben Sie neben Attributdie Zeichenfolge RunProtectAdminGroupsTask ein. Geben Sie neben Werte ein 1. Drücken Sie die EINGABETASTE, um dies der Eintragsliste hinzuzufügen.

  6. Wählen Sie Ausführen aus, um die Aufgabe zu starten.

  7. LDP schließen

Konfigurieren der dualen Registrierung mit Einer Gruppenrichtlinie

Sie konfigurieren Windows für die Unterstützung der dualen Registrierung mithilfe des Computerkonfigurationsteils eines Gruppenrichtlinie-Objekts:

  1. Erstellen Sie mithilfe der Gruppenrichtlinie Management Console (GPMC) ein neues domänenbasiertes Gruppenrichtlinie-Objekt, und verknüpfen Sie es mit einer Organisationseinheit, die Active Directory-Computerobjekte enthält, die von privilegierten Benutzern verwendet werden.
  2. Bearbeiten des Gruppenrichtlinie-Objekts aus Schritt 1
  3. Aktivieren Sie die Richtlinieneinstellung Enumeration emulierter Smartcards für alle Benutzer zulassen unter Computerkonfiguration-Administrative> Vorlagen-Windows-Komponenten-Windows Hello for Business>>
  4. Schließen Sie die Gruppenrichtlinie Management Editor, um das Gruppenrichtlinie-Objekt zu speichern. Schließen der Gruppenrichtlinien-Verwaltungskonsole
  5. Neustarten von Computern, auf die dieses Gruppenrichtlinie-Objekt abzielt

Der Computer ist bereit für die duale Registrierung. Melden Sie sich zuerst als privilegierter Benutzer an, und registrieren Sie sich für Windows Hello for Business. Melden Sie sich nach Abschluss des Vorgangs ab, melden Sie sich als nicht privilegierter Benutzer an, und registrieren Sie sich für Windows Hello for Business. Sie können jetzt Ihre privilegierten Anmeldeinformationen verwenden, um privilegierte Aufgaben auszuführen, ohne Ihr Kennwort zu verwenden und ohne benutzerwechseln zu müssen.