Autenticación de clave pública de dispositivo unido al dominio
Kerberos ha agregado compatibilidad con dispositivos unidos a un dominio para iniciar sesión con un certificado que comienza por Windows Server 2012 y Windows 8. Este cambio permite a los proveedores de terceros crear soluciones para aprovisionar e inicializar certificados para que los dispositivos unidos a un dominio los usen para la autenticación de dominio.
Aprovisionamiento automático de claves públicas
A partir de Windows 10 versión 1507 y Windows Server 2016, los dispositivos unidos a un dominio aprovisionan automáticamente una clave pública enlazada a un controlador de dominio de Windows Server 2016. Una vez aprovisionada una clave, Windows puede usar la autenticación de clave pública en el dominio.
Generación de la clave
Si el dispositivo ejecuta Credential Guard, se crea un par de claves pública y privada protegido por Credential Guard.
Si Credential Guard no está disponible y un TPM sí lo está, se crea un par de claves pública o privada protegido por el TPM.
Si ninguno está disponible, no se genera ningún par de claves y el dispositivo solo se puede autenticar con contraseña.
Aprovisionamiento de la clave pública de la cuenta del equipo
Cuando se inicia Windows, comprueba si se aprovisiona una clave pública para su cuenta de equipo. Si no es así, genera una clave pública enlazada y la configura para su cuenta en AD mediante un controlador de dominio de Windows Server 2016 o posterior. Si todos los controladores de dominio son de nivel inferior, no se aprovisiona ninguna clave.
Configuración del dispositivo para que solo use la clave pública
Si la opción de directiva de grupo Compatibilidad con la autenticación de dispositivos mediante el certificado se establece en Forzar, el dispositivo debe buscar un controlador de dominio que ejecute Windows Server 2016 o posterior para autenticarse. La opción está en Plantillas administrativas > Sistema > Kerberos.
Configuración del dispositivo para que solo use contraseña
Si la opción de directiva de grupo Compatibilidad con la autenticación de dispositivos mediante el certificado está deshabilitada, siempre se usa la contraseña. La opción está en Plantillas administrativas > Sistema > Kerberos.
Autenticación de dispositivos unidos a un dominio mediante clave pública
Cuando Windows tiene un certificado para el dispositivo unido a un dominio, Kerberos se autentica primero mediante el certificado y, en los reintentos después de un error, con la contraseña. Esto permite que el dispositivo se autentique en controladores de dominio de nivel inferior.
Dado que las claves públicas aprovisionadas automáticamente tienen un certificado autofirmado, se produce un error en la validación de certificados en los controladores de dominio que no admiten la asignación de cuentas de confianza de clave. De forma predeterminada, Windows reintenta la autenticación mediante la contraseña de dominio del dispositivo.