Двойная регистрация

• Применяется к:

  ✅ Windows 11, ✅ Windows 10

В этой статье описаны функциональные возможности и сценарии Windows Hello для бизнеса, которые применяются к:

• Тип развертывания: групповой политики,
• Тип доверия..
• Тип соединения., присоединенные к домену. к Microsoft Entra.

---

Важно.

Двойная регистрация не заменяет и не обеспечивает ту же безопасность, что и функция рабочих станций с привилегированным доступом. Корпорация Майкрософт рекомендует организациям использовать рабочие станции с привилегированным доступом для пользователей с привилегированными учетными данными. Организации могут рассмотреть возможность двойной регистрации Windows Hello для бизнеса в ситуациях, когда невозможно использовать функцию привилегированного доступа. Дополнительные сведения см. в статье Рабочие станции с привилегированным доступом.

Двойная регистрация позволяет администраторам выполнять административные функции с повышенными привилегиями, регистрируя на устройстве как непривилегированные, так и привилегированные учетные данные.

По умолчанию Windows не перечисляет всех пользователей Windows Hello для бизнеса из сеанса пользователя. С помощью параметра групповой политики Разрешить перечисление эмулированных смарт-карт для всех пользователей можно настроить устройство для перечисления всех зарегистрированных учетных данных Windows Hello для бизнеса на выбранных устройствах.

С помощью этого параметра пользователи с правами администратора могут входить в Windows, используя свои непривилегированные учетные данные Windows Hello для обычного рабочего потока, например электронной почты, но могут запускать консоли управления (MMC), клиенты служб удаленных рабочих столов и другие приложения, выбрав Запуск от имени другого пользователя или Запуск от имени администратора, выбрав привилегированную учетную запись пользователя и указав пин-код. Администраторы также могут воспользоваться преимуществами этой функции в приложениях командной строки, используя runas.exe сочетание с аргументом /smartcard . Это позволяет администраторам выполнять повседневные операции без необходимости входа и выхода, а также использовать быстрое переключение пользователей при чередовке между привилегированными и непривилегированных рабочими нагрузками.

Важно.

Необходимо настроить двойную регистрацию на компьютере Windows Hello для бизнеса, прежде чем пользователь (привилегированный или не привилегированный) подготовит Windows Hello для бизнеса. Двойная регистрация — это специальный параметр, который настраивается в контейнере Windows Hello во время создания.

Настройка двойной регистрации Windows Hello для бизнеса

Ниже описано, как включить двойную регистрацию.

• Настройка Active Directory для поддержки регистрации администратора домена
• Настройка двойной регистрации с помощью групповой политики

Настройка Active Directory для поддержки регистрации администратора домена

Разработанная конфигурация Windows Hello для бизнеса предоставляет Key Admins группе разрешения на чтение и запись атрибута msDS-KeyCredentialsLink . Вы предоставили эти разрешения в корне домена и используете наследование объектов, чтобы обеспечить применение разрешений ко всем пользователям в домене, независимо от их расположения в иерархии домена.

Доменные службы Active Directory используют AdminSDHolder для защиты привилегированных пользователей и групп от непреднамеренного изменения путем сравнения и замены безопасности привилегированных пользователей и групп в соответствии с параметрами, определенными в объекте AdminSDHolder в почасовом цикле. Для Windows Hello для бизнеса учетная запись администратора домена может получать разрешения, но они исчезают из объекта пользователя, если вы не предоставите AdminSDHolder атрибуту msDS-KeyCredential разрешения на чтение и запись.

Войдите в контроллер домена или рабочую станцию управления с доступом, эквивалентным администратору домена.

1. Введите следующую команду, чтобы добавить разрешения на чтение и запись свойств для атрибута msDS-KeyCredentialLink для Key Admins группы объекта AdminSDHolder

   dsacls "CN=AdminSDHolder,CN=System,DC=domain,DC=com" /g "[domainName\keyAdminGroup]":RPWP;msDS-KeyCredentialLink
   

   где DC=domain,DC=com — это путь LDAP к домену Active Directory, а domainName\keyAdminGroup — NetBIOS-имя вашего домена и имя группы, используемой для предоставления доступа к ключам на основе развертывания. Пример:

   dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=mstepdemo,DC=net" /g "mstepdemo\Key Admins":RPWP;msDS-KeyCredentialLink
   

2. Чтобы активировать распространение дескриптора безопасности, откройте ldp.exe

3. Выберите Подключение и выберите Подключиться... Рядом с полем Сервер введите имя контроллера домена, который содержит роль PDC для домена. Рядом с полем Порт введите 389 и нажмите кнопку ОК.

4. Выберите Подключение и привязать... Нажмите кнопку ОК , чтобы выполнить привязку в качестве текущего пользователя, выполнившего вход.

5. Выберите Браузер и выберите Изменить. Оставьте поле DN пустым. Рядом с полем Атрибут введите RunProtectAdminGroupsTask. Рядом с полем Значения введите 1. Нажмите клавишу ВВОД, чтобы добавить его в список записей.

6. Нажмите кнопку Выполнить , чтобы запустить задачу.

7. Закрыть LDP

Настройка двойной регистрации с помощью групповой политики

Вы настраиваете Windows для поддержки двойной регистрации с помощью части конфигурации компьютера объекта групповой политики:

1. С помощью консоли управления групповыми политиками (GPMC) создайте объект групповой политики на основе домена и свяжите его с подразделением, содержащим объекты компьютеров Active Directory, используемые привилегированными пользователями.
2. Изменение объекта групповой политики на шаге 1
3. Включите параметр политики Разрешить перечисление эмулированных смарт-карт для всех пользователей , расположенный в разделе Конфигурация компьютера-Административные> шаблоны-Компоненты> Windows-Windows> Hello для бизнеса
4. Закройте редактор управления групповыми политиками, чтобы сохранить объект групповой политики. Закрытие GPMC
5. Перезагрузите компьютеры, предназначенные для этого объекта групповой политики

Компьютер готов к двойной регистрации. Сначала войдите в качестве привилегированного пользователя и зарегистрируйтесь в Windows Hello для бизнеса. После завершения выйдите и войдите в качестве непривилегированного пользователя и зарегистрируйтесь в Windows Hello для бизнеса. Теперь вы можете использовать привилегированные учетные данные для выполнения привилегированных задач без использования пароля и без необходимости переключать пользователей.