Kebijakan Autentikasi dan Silo Kebijakan Autentikasi
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016
Topik ini untuk profesional TI menjelaskan silo kebijakan autentikasi dan kebijakan yang dapat membatasi akun untuk silo tersebut. Ini juga menjelaskan bagaimana kebijakan autentikasi dapat digunakan untuk membatasi cakupan akun.
Silo kebijakan autentikasi dan kebijakan yang menyertainya menyediakan cara untuk berisi kredensial hak istimewa tinggi ke sistem yang hanya berkaitan dengan pengguna, komputer, atau layanan yang dipilih. Silo dapat ditentukan dan dikelola di Active Directory Domain Services (AD DS) dengan menggunakan Pusat Administratif Direktori Aktif dan cmdlet Windows PowerShell Direktori Aktif.
Silo kebijakan autentikasi adalah kontainer tempat administrator dapat menetapkan akun pengguna, akun komputer, dan akun layanan. Set akun kemudian dapat dikelola oleh kebijakan autentikasi yang telah diterapkan ke kontainer tersebut. Ini mengurangi kebutuhan administrator untuk melacak akses ke sumber daya untuk akun individual, dan membantu mencegah pengguna berbahaya mengakses sumber daya lain melalui pencurian kredensial.
Kemampuan yang diperkenalkan di Windows Server 2012 R2 , memungkinkan Anda membuat silo kebijakan autentikasi, yang menghosting sekumpulan pengguna dengan hak istimewa tinggi. Anda kemudian dapat menetapkan kebijakan autentikasi untuk kontainer ini untuk membatasi di mana akun istimewa dapat digunakan di domain. Saat akun berada dalam grup keamanan Pengguna Terproteksi, kontrol tambahan diterapkan, seperti penggunaan eksklusif protokol Kerberos.
Dengan kemampuan ini, Anda dapat membatasi penggunaan akun bernilai tinggi ke host bernilai tinggi. Misalnya, Anda dapat membuat silo Administrator Hutan baru yang berisi administrator perusahaan, skema, dan domain. Kemudian Anda dapat mengonfigurasi silo dengan kebijakan autentikasi sehingga kata sandi dan autentikasi berbasis kartu pintar dari sistem selain pengendali domain dan konsol administrator domain akan gagal.
Untuk informasi tentang mengonfigurasi silo kebijakan autentikasi dan kebijakan autentikasi, lihat Cara Mengonfigurasi Akun yang Dilindungi.
Tentang silo kebijakan autentikasi
Silo kebijakan autentikasi mengontrol akun mana yang dapat dibatasi oleh silo dan menentukan kebijakan autentikasi untuk diterapkan kepada anggota. Anda dapat membuat silo berdasarkan persyaratan organisasi Anda. Silo adalah objek Direktori Aktif untuk pengguna, komputer, dan layanan seperti yang didefinisikan oleh skema dalam tabel berikut.
Skema Direktori Aktif untuk silo kebijakan autentikasi
| Nama Tampilan | Deskripsi |
|---|---|
| Silo Kebijakan Autentikasi | Instans kelas ini menentukan kebijakan autentikasi dan perilaku terkait untuk pengguna, komputer, dan layanan yang ditetapkan. |
| Silo Kebijakan Autentikasi | Kontainer kelas ini dapat berisi objek silo kebijakan autentikasi. |
| Silo Kebijakan Autentikasi Diberlakukan | Menentukan apakah silo kebijakan autentikasi diberlakukan. Ketika tidak diberlakukan, kebijakan secara default berada dalam mode audit. Peristiwa yang menunjukkan potensi keberhasilan dan kegagalan dihasilkan, tetapi perlindungan tidak diterapkan ke sistem. |
| Silo Backlink Kebijakan Autentikasi yang Ditetapkan | Atribut ini adalah tautan belakang untuk msDS-AssignedAuthNPolicySilo. |
| Anggota Silo Kebijakan Autentikasi | Menentukan prinsipal mana yang ditetapkan ke AuthNPolicySilo. |
| Backlink Anggota Silo Kebijakan Autentikasi | Atribut ini adalah tautan belakang untuk msDS-AuthNPolicySiloMembers. |
Silo kebijakan autentikasi dapat dikonfigurasi dengan menggunakan Konsol Administratif Direktori Aktif atau Windows PowerShell. Untuk informasi selengkapnya, lihat Cara Mengonfigurasi Akun yang Dilindungi.
Tentang kebijakan autentikasi
Kebijakan autentikasi menentukan properti seumur hidup tiket pemberian tiket (TGT) protokol Kerberos dan kondisi kontrol akses autentikasi untuk jenis akun. Kebijakan ini dibangun dan mengontrol kontainer AD DS yang dikenal sebagai silo kebijakan autentikasi.
Kebijakan autentikasi mengontrol hal berikut:
Masa pakai TGT untuk akun, yang diatur menjadi tidak dapat diperpanjang.
Kriteria yang perlu dipenuhi akun perangkat untuk masuk dengan kata sandi atau sertifikat.
Kriteria yang perlu dipenuhi pengguna dan perangkat untuk mengautentikasi ke layanan yang berjalan sebagai bagian dari akun.
Jenis akun Direktori Aktif menentukan peran pemanggil sebagai salah satu hal berikut:
Pengguna
Pengguna harus selalu menjadi anggota grup keamanan Pengguna Terproteksi, yang secara default menolak upaya autentikasi menggunakan NTLM.
Kebijakan dapat dikonfigurasi untuk mengatur masa pakai TGT akun pengguna ke nilai yang lebih pendek atau membatasi perangkat tempat akun pengguna dapat masuk. Ekspresi kaya dapat dikonfigurasi dalam kebijakan autentikasi untuk mengontrol kriteria yang perlu dipenuhi pengguna dan perangkat mereka untuk mengautentikasi ke layanan.
Untuk informasi selengkapnya, lihat Grup Keamanan Pengguna Terproteksi.
Layanan
Akun layanan terkelola mandiri, akun layanan terkelola grup, atau objek akun kustom yang berasal dari kedua jenis akun layanan ini digunakan. Kebijakan dapat mengatur kondisi kontrol akses perangkat, yang digunakan untuk membatasi kredensial akun layanan terkelola ke perangkat tertentu dengan identitas Direktori Aktif. Layanan tidak boleh menjadi anggota grup keamanan Pengguna Yang Dilindungi karena semua autentikasi masuk akan gagal.
Komputer
Objek akun komputer atau objek akun kustom yang berasal dari objek akun komputer digunakan. Kebijakan dapat mengatur kondisi kontrol akses yang diperlukan untuk mengizinkan autentikasi ke akun berdasarkan properti pengguna dan perangkat. Komputer tidak boleh menjadi anggota grup keamanan Pengguna Terproteksi karena semua autentikasi masuk akan gagal. Secara default, upaya untuk menggunakan autentikasi NTLM ditolak. Masa pakai TGT tidak boleh dikonfigurasi untuk akun komputer.
Catatan
Dimungkinkan untuk menetapkan kebijakan autentikasi pada sekumpulan akun tanpa mengaitkan kebijakan ke silo kebijakan autentikasi. Anda dapat menggunakan strategi ini ketika Anda memiliki satu akun untuk dilindungi.
Skema Direktori Aktif untuk kebijakan autentikasi
Kebijakan untuk objek Direktori Aktif untuk pengguna, komputer, dan layanan ditentukan oleh skema dalam tabel berikut.
| Jenis | Nama Tampilan | Deskripsi |
|---|---|---|
| Kebijakan | Kebijakan Autentikasi | Instans kelas ini mendefinisikan perilaku kebijakan autentikasi untuk prinsipal yang ditetapkan. |
| Kebijakan | Kebijakan Autentikasi | Kontainer kelas ini dapat berisi objek kebijakan autentikasi. |
| Kebijakan | Kebijakan Autentikasi Diberlakukan | Menentukan apakah kebijakan autentikasi diberlakukan. Ketika tidak diberlakukan, kebijakan secara default berada dalam mode audit, dan peristiwa yang menunjukkan potensi keberhasilan dan kegagalan dihasilkan, tetapi perlindungan tidak diterapkan ke sistem. |
| Kebijakan | Backlink Kebijakan Autentikasi yang Ditetapkan | Atribut ini adalah tautan belakang untuk msDS-AssignedAuthNPolicy. |
| Kebijakan | Kebijakan Autentikasi yang Ditetapkan | Menentukan AuthNPolicy mana yang harus diterapkan ke prinsip ini. |
| User | Kebijakan Autentikasi Pengguna | Menentukan AuthNPolicy mana yang harus diterapkan kepada pengguna yang ditetapkan ke objek silo ini. |
| User | Backlink Kebijakan Autentikasi Pengguna | Atribut ini adalah tautan belakang untuk msDS-UserAuthNPolicy. |
| User | ms-DS-User-Allowed-To-Authenticate-To | Atribut ini digunakan untuk menentukan set prinsipal yang diizinkan untuk mengautentikasi ke layanan yang berjalan di bawah akun pengguna. |
| User | ms-DS-User-Allowed-To-Authenticate-From | Atribut ini digunakan untuk menentukan kumpulan perangkat tempat akun pengguna memiliki izin untuk masuk. |
| User | Masa Pakai TGT Pengguna | Menentukan usia maksimum TGT Kerberos yang dikeluarkan untuk pengguna (dinyatakan dalam hitungan detik). TGT yang dihasilkan tidak dapat diperbarui. |
| Komputer | Kebijakan Autentikasi Komputer | Menentukan AuthNPolicy mana yang harus diterapkan ke komputer yang ditetapkan ke objek silo ini. |
| Komputer | Backlink Kebijakan Autentikasi Komputer | Atribut ini adalah tautan belakang untuk msDS-ComputerAuthNPolicy. |
| Komputer | ms-DS-Computer-Allowed-To-Authenticate-To | Atribut ini digunakan untuk menentukan set prinsipal yang diizinkan untuk mengautentikasi ke layanan yang berjalan di bawah akun komputer. |
| Komputer | Masa Pakai TGT Komputer | Menentukan usia maksimum TGT Kerberos yang dikeluarkan untuk komputer (dinyatakan dalam hitungan detik). Tidak disarankan untuk mengubah pengaturan ini. |
| Service | Kebijakan Autentikasi Layanan | Menentukan AuthNPolicy mana yang harus diterapkan ke layanan yang ditetapkan ke objek silo ini. |
| Service | Backlink Kebijakan Autentikasi Layanan | Atribut ini adalah tautan belakang untuk msDS-ServiceAuthNPolicy. |
| Service | ms-DS-Service-Allowed-To-Authenticate-To | Atribut ini digunakan untuk menentukan set prinsipal yang diizinkan untuk mengautentikasi ke layanan yang berjalan di bawah akun layanan. |
| Service | ms-DS-Service-Allowed-To-Authenticate-From | Atribut ini digunakan untuk menentukan kumpulan perangkat tempat akun layanan memiliki izin untuk masuk. |
| Service | Masa Pakai TGT Layanan | Menentukan usia maksimum TGT Kerberos yang dikeluarkan untuk layanan (dinyatakan dalam hitungan detik). |
Kebijakan autentikasi dapat dikonfigurasi untuk setiap silo dengan menggunakan Konsol Administratif Direktori Aktif atau Windows PowerShell. Untuk informasi selengkapnya, lihat Cara Mengonfigurasi Akun yang Dilindungi.
Cara kerjanya
Bagian ini menjelaskan cara kerja silo kebijakan autentikasi dan kebijakan autentikasi bersama dengan grup keamanan Pengguna Terlindungi dan implementasi protokol Kerberos di Windows.
Akun yang dilindungi
Grup keamanan Pengguna Terproteksi memicu perlindungan yang tidak dapat dikonfigurasi pada perangkat dan komputer host yang menjalankan Windows Server 2012 R2 dan Windows 8.1, dan pada pengendali domain di domain dengan pengendali domain utama yang menjalankan Windows Server 2012 R2 . Bergantung pada tingkat fungsional domain akun, anggota grup keamanan Pengguna Terlindungi dilindungi lebih lanjut karena perubahan metode autentikasi yang didukung di Windows.
Anggota grup keamanan Pengguna Terproteksi tidak dapat mengautentikasi dengan menggunakan delegasi kredensial default NTLM, Digest Authentication, atau CredSSP. Pada perangkat yang menjalankan Windows 8.1 yang menggunakan salah satu Penyedia Dukungan Keamanan (SSP) ini, autentikasi ke domain akan gagal ketika akun adalah anggota grup keamanan Pengguna Terproteksi.
Protokol Kerberos tidak akan menggunakan jenis enkripsi DES atau RC4 yang lebih lemah dalam proses praauthentication. Ini berarti bahwa domain harus dikonfigurasi untuk mendukung setidaknya jenis enkripsi AES.
Akun pengguna tidak dapat didelegasikan dengan delegasi Kerberos yang dibatasi atau tidak dibatasi. Ini berarti bahwa koneksi sebelumnya ke sistem lain mungkin gagal jika pengguna adalah anggota grup keamanan Pengguna Terlindungi.
Pengaturan masa pakai TGT Kerberos default selama empat jam dapat dikonfigurasi dengan menggunakan kebijakan autentikasi dan silo, yang dapat diakses melalui Pusat Administratif Direktori Aktif. Ini berarti bahwa ketika empat jam telah berlalu, pengguna harus mengautentikasi lagi.
Untuk informasi selengkapnya tentang grup keamanan ini, lihat Cara kerja grup Pengguna Terproteksi.
Silo dan kebijakan autentikasi
Silo kebijakan autentikasi dan kebijakan autentikasi memanfaatkan infrastruktur autentikasi Windows yang ada. Penggunaan protokol NTLM ditolak, dan protokol Kerberos dengan jenis enkripsi yang lebih baru digunakan. Kebijakan autentikasi melengkapi grup keamanan Pengguna Yang Dilindungi dengan menyediakan cara untuk menerapkan pembatasan yang dapat dikonfigurasi ke akun, selain memberikan batasan untuk akun untuk layanan dan komputer. Kebijakan autentikasi diberlakukan selama layanan autentikasi protokol Kerberos (AS) atau pertukaran layanan pemberian tiket (TGS). Untuk informasi selengkapnya tentang cara Windows menggunakan protokol Kerberos, dan perubahan apa yang telah dilakukan untuk mendukung silo kebijakan autentikasi dan kebijakan autentikasi, lihat:
Perubahan autentikasi Kerberos (Windows Server 2008 R2 dan Windows 7)
Bagaimana protokol Kerberos digunakan dengan silo dan kebijakan kebijakan autentikasi
Saat akun domain ditautkan ke silo kebijakan autentikasi, dan pengguna masuk, Manajer Akun Keamanan menambahkan jenis klaim Silo Kebijakan Autentikasi yang menyertakan silo sebagai nilai. Klaim pada akun ini menyediakan akses ke silo yang ditargetkan.
Ketika kebijakan autentikasi diberlakukan dan permintaan layanan autentikasi untuk akun domain diterima di pengendali domain, pengendali domain mengembalikan TGT yang tidak dapat diperpanjang dengan masa pakai yang dikonfigurasi (kecuali masa pakai TGT domain lebih pendek).
Catatan
Akun domain harus memiliki masa pakai TGT yang dikonfigurasi dan harus langsung ditautkan ke kebijakan atau secara tidak langsung ditautkan melalui keanggotaan silo.
Ketika kebijakan autentikasi dalam mode audit dan permintaan layanan autentikasi untuk akun domain diterima pada pengendali domain, pengendali domain memeriksa apakah autentikasi diizinkan untuk perangkat sehingga dapat mencatat peringatan jika ada kegagalan. Kebijakan autentikasi yang diaudit tidak mengubah proses, sehingga permintaan autentikasi tidak akan gagal jika tidak memenuhi persyaratan kebijakan.
Catatan
Akun domain harus langsung ditautkan ke kebijakan atau secara tidak langsung ditautkan melalui keanggotaan silo.
Ketika kebijakan autentikasi diberlakukan dan layanan autentikasi dipersenjatai, permintaan layanan autentikasi untuk akun domain diterima di pengendali domain, pengendali domain memeriksa apakah autentikasi diizinkan untuk perangkat. Jika gagal, pengendali domain mengembalikan pesan kesalahan dan mencatat peristiwa.
Catatan
Akun domain harus langsung ditautkan ke kebijakan atau secara tidak langsung ditautkan melalui keanggotaan silo.
Saat kebijakan autentikasi dalam mode audit dan permintaan layanan pemberian tiket diterima oleh pengendali domain untuk akun domain, pengendali domain memeriksa apakah autentikasi diizinkan berdasarkan data Sertifikat Atribut Hak Istimewa (PAC) tiket permintaan, dan mencatat pesan peringatan jika gagal. PAC berisi berbagai jenis data otorisasi, termasuk grup tempat pengguna menjadi anggota, hak yang dimiliki pengguna, dan kebijakan apa yang berlaku untuk pengguna. Informasi ini digunakan untuk menghasilkan token akses pengguna. Jika ini adalah kebijakan autentikasi yang diberlakukan yang memungkinkan autentikasi kepada pengguna, perangkat, atau layanan, pengendali domain memeriksa apakah autentikasi diizinkan berdasarkan data PAC tiket permintaan. Jika gagal, pengendali domain mengembalikan pesan kesalahan dan mencatat peristiwa.
Catatan
Akun domain harus ditautkan secara langsung atau ditautkan melalui keanggotaan silo ke kebijakan autentikasi yang diaudit yang memungkinkan autentikasi kepada pengguna, perangkat, atau layanan,
Anda dapat menggunakan kebijakan autentikasi tunggal untuk semua anggota silo, atau Anda dapat menggunakan kebijakan terpisah untuk pengguna, komputer, dan akun layanan terkelola.
Kebijakan autentikasi dapat dikonfigurasi untuk setiap silo dengan menggunakan Konsol Administratif Direktori Aktif atau Windows PowerShell. Untuk informasi selengkapnya, lihat Cara Mengonfigurasi Akun yang Dilindungi.
Cara kerja pembatasan proses masuk pengguna
Karena kebijakan autentikasi ini diterapkan ke akun, kebijakan tersebut juga berlaku untuk akun yang digunakan oleh layanan. Jika Anda ingin membatasi penggunaan kata sandi untuk layanan ke host tertentu, pengaturan ini berguna. Misalnya, akun layanan terkelola grup dikonfigurasi di mana host diizinkan untuk mengambil kata sandi dari Active Directory Domain Services. Namun, kata sandi tersebut dapat digunakan dari host mana pun untuk autentikasi awal. Dengan menerapkan kondisi kontrol akses, lapisan perlindungan tambahan dapat dicapai dengan membatasi kata sandi hanya untuk kumpulan host yang dapat mengambil kata sandi.
Ketika layanan yang berjalan sebagai sistem, layanan jaringan, atau identitas layanan lokal lainnya terhubung ke layanan jaringan, layanan tersebut menggunakan akun komputer host. Akun komputer tidak dapat dibatasi. Jadi, bahkan jika layanan menggunakan akun komputer yang bukan untuk host Windows, layanan tidak dapat dibatasi.
Membatasi masuk pengguna ke host tertentu mengharuskan pengontrol domain memvalidasi identitas host. Saat menggunakan autentikasi Kerberos dengan armoring Kerberos (yang merupakan bagian dari Dynamic Access Control), Pusat Distribusi Kunci disediakan dengan TGT host tempat pengguna mengautentikasi. Konten TGT lapis baja ini digunakan untuk menyelesaikan pemeriksaan akses untuk menentukan apakah host diizinkan.
Ketika pengguna masuk ke Windows atau memasukkan kredensial domain mereka dalam permintaan kredensial untuk aplikasi, secara default, Windows mengirimkan AS-REQ yang tidak dilaporkan ke pengendali domain. Jika pengguna mengirim permintaan dari komputer yang tidak mendukung armoring, seperti komputer yang menjalankan Windows 7 atau Windows Vista, permintaan gagal.
Daftar berikut ini menjelaskan prosesnya:
Pengendali domain dalam domain yang menjalankan kueri Windows Server 2012 R2 untuk akun pengguna dan menentukan apakah dikonfigurasi dengan kebijakan autentikasi yang membatasi autentikasi awal yang memerlukan permintaan lapis baja.
Pengendali domain akan gagal dalam permintaan.
Karena armoring diperlukan, pengguna dapat mencoba masuk dengan menggunakan komputer yang menjalankan Windows 8.1 atau Windows 8, yang diaktifkan untuk mendukung armoring Kerberos untuk mencoba kembali proses masuk.
Windows mendeteksi bahwa domain mendukung armoring Kerberos dan mengirim AS-REQ lapis baja untuk mencoba kembali permintaan masuk.
Pengendali domain melakukan pemeriksaan akses dengan menggunakan kondisi kontrol akses yang dikonfigurasi dan informasi identitas sistem operasi klien di TGT yang digunakan untuk mempersenjatai permintaan.
Jika pemeriksaan akses gagal, pengendali domain menolak permintaan.
Bahkan ketika sistem operasi mendukung armoring Kerberos, persyaratan kontrol akses dapat diterapkan dan harus dipenuhi sebelum akses diberikan. Pengguna masuk ke Windows atau memasukkan kredensial domain mereka dalam permintaan kredensial untuk aplikasi. Secara default, Windows mengirimkan AS-REQ yang tidak dilaporkan ke pengendali domain. Jika pengguna mengirim permintaan dari komputer yang mendukung armoring, seperti Windows 8.1 atau Windows 8, kebijakan autentikasi dievaluasi sebagai berikut:
Pengendali domain dalam domain yang menjalankan kueri Windows Server 2012 R2 untuk akun pengguna dan menentukan apakah dikonfigurasi dengan kebijakan autentikasi yang membatasi autentikasi awal yang memerlukan permintaan lapis baja.
Pengendali domain melakukan pemeriksaan akses dengan menggunakan kondisi kontrol akses yang dikonfigurasi dan informasi identitas sistem di TGT yang digunakan untuk mempersenjatai permintaan. Pemeriksaan akses berhasil.
Catatan
Jika pembatasan grup kerja warisan dikonfigurasi, pembatasan tersebut juga perlu dipenuhi.
Pengendali domain membalas dengan balasan lapis baja (AS-REP), dan autentikasi berlanjut.
Cara kerja pembatasan penerbitan tiket layanan
Ketika akun tidak diizinkan dan pengguna yang memiliki TGT mencoba terhubung ke layanan (seperti dengan membuka aplikasi yang memerlukan autentikasi ke layanan yang diidentifikasi oleh nama perwakilan layanan layanan (SPN), urutan berikut terjadi:
Dalam upaya untuk menyambungkan ke SPN1 dari SPN, Windows mengirimkan TGS-REQ ke pengendali domain yang meminta tiket layanan ke SPN1.
Pengendali domain di domain yang menjalankan Windows Server 2012 R2 mencari SPN1 untuk menemukan akun Layanan Domain Direktori Aktif untuk layanan dan menentukan bahwa akun dikonfigurasi dengan kebijakan autentikasi yang membatasi penerbitan tiket layanan.
Pengendali domain melakukan pemeriksaan akses dengan menggunakan kondisi kontrol akses yang dikonfigurasi dan informasi identitas pengguna di TGT. Pemeriksaan akses gagal.
Pengendali domain menolak permintaan.
Ketika akun diizinkan karena akun memenuhi kondisi kontrol akses yang ditetapkan oleh kebijakan autentikasi, dan pengguna yang memiliki TGT mencoba menyambungkan ke layanan (seperti dengan membuka aplikasi yang memerlukan autentikasi ke layanan yang diidentifikasi oleh SPN layanan), urutan berikut terjadi:
Dalam upaya untuk menyambungkan ke SPN1, Windows mengirim TGS-REQ ke pengendali domain yang meminta tiket layanan ke SPN1.
Pengendali domain di domain yang menjalankan Windows Server 2012 R2 mencari SPN1 untuk menemukan akun Layanan Domain Direktori Aktif untuk layanan dan menentukan bahwa akun dikonfigurasi dengan kebijakan autentikasi yang membatasi penerbitan tiket layanan.
Pengendali domain melakukan pemeriksaan akses dengan menggunakan kondisi kontrol akses yang dikonfigurasi dan informasi identitas pengguna di TGT. Pemeriksaan akses berhasil.
Pengendali domain membalas permintaan dengan balasan layanan pemberian tiket (TGS-REP).
Pesan peristiwa kesalahan dan informasi terkait
Tabel berikut ini menjelaskan peristiwa yang terkait dengan grup keamanan Pengguna Terproteksi dan kebijakan autentikasi yang diterapkan ke silo kebijakan autentikasi.
Peristiwa dicatat dalam Log Aplikasi dan Layanan di Microsoft\Windows\Authentication.
Untuk langkah-langkah pemecahan masalah yang menggunakan peristiwa ini, lihat Memecahkan Masalah Kebijakan Autentikasi dan Memecahkan Masalah peristiwa yang terkait dengan Pengguna yang Dilindungi.
| ID Peristiwa dan Log | Deskripsi |
|---|---|
| 101 AuthenticationPolicyFailures-DomainController |
Alasan: Kegagalan masuk NTLM terjadi karena kebijakan autentikasi dikonfigurasi. Peristiwa dicatat di pengendali domain untuk menunjukkan bahwa autentikasi NTLM gagal karena pembatasan kontrol akses diperlukan, dan batasan tersebut tidak dapat diterapkan ke NTLM. Menampilkan nama akun, perangkat, kebijakan, dan silo. |
| 105 AuthenticationPolicyFailures-DomainController |
Alasan: Kegagalan pembatasan Kerberos terjadi karena autentikasi dari perangkat tertentu tidak diizinkan. Peristiwa dicatat di pengontrol domain untuk menunjukkan bahwa TGT Kerberos ditolak karena perangkat tidak memenuhi pembatasan kontrol akses yang diberlakukan. Menampilkan akun, perangkat, kebijakan, nama silo, dan masa pakai TGT. |
| 305 AuthenticationPolicyFailures-DomainController |
Alasan: Potensi kegagalan pembatasan Kerberos mungkin terjadi karena autentikasi dari perangkat tertentu tidak diizinkan. Dalam mode audit, peristiwa informasi dicatat di pengendali domain untuk menentukan apakah TGT Kerberos akan ditolak karena perangkat tidak memenuhi batasan kontrol akses. Menampilkan akun, perangkat, kebijakan, nama silo, dan masa pakai TGT. |
| 106 AuthenticationPolicyFailures-DomainController |
Alasan: Kegagalan pembatasan Kerberos terjadi karena pengguna atau perangkat tidak diizinkan untuk mengautentikasi ke server. Peristiwa dicatat di pengendali domain untuk menunjukkan bahwa tiket layanan Kerberos ditolak karena pengguna, perangkat, atau keduanya tidak memenuhi pembatasan kontrol akses yang diberlakukan. Menampilkan nama perangkat, kebijakan, dan silo. |
| 306 AuthenticationPolicyFailures-DomainController |
Alasan: Kegagalan pembatasan Kerberos mungkin terjadi karena pengguna atau perangkat tidak diizinkan untuk mengautentikasi ke server. Dalam mode audit, peristiwa informasi dicatat di pengendali domain untuk menunjukkan bahwa tiket layanan Kerberos akan ditolak karena pengguna, perangkat, atau keduanya tidak memenuhi pembatasan kontrol akses. Menampilkan nama perangkat, kebijakan, dan silo. |
Referensi Tambahan
Cara Mengonfigurasi Akun yang Dilindungi