加入網域的裝置公開金鑰驗證
Kerberos 已新增已加入網域的裝置支援,以使用從 Windows Server 2012 和 Windows 8 開始的憑證登入。 這項變更可讓協力廠商廠商建立解決方案,為加入網域的裝置佈建和初始化憑證,以用於網域驗證。
自動公開金鑰佈建
從 Windows 10 版本 1507 和 Windows Server 2016 開始,加入網域的裝置會自動將繫結的公開金鑰佈建至 Windows Server 2016 網域控制站 (DC)。 佈建金鑰之後,Windows 就可以對網域使用公開金鑰驗證。
產生金鑰
如果裝置執行 Credential Guard,則會建立受 Credential Guard 保護的公開/私密金鑰組。
如果 Credential Guard 不可用,而 TPM 可用,則建立受 TPM 保護的公開/私密金鑰組。
如果兩者都無法使用,則不會產生金鑰組,且裝置只能使用密碼進行驗證。
佈建電腦帳戶公開金鑰
當 Windows 啟動時,它會檢查是否已為其電腦帳戶佈建公開金鑰。 如果沒有,則會產生繫結的公開金鑰,並使用 Windows Server 2016 或更新版本的 DC 在 AD 中為其帳戶進行設定。 如果所有 DC 都是下層,則不會佈建任何金鑰。
將裝置設定為只使用公開金鑰
如果群組原則設定使用憑證進行裝置驗證的支援設定為 Force,則裝置必須尋找執行 Windows Server 2016 或更新版本的 DC 以進行驗證。 此設定位於 [系統管理範本] > [系統] > [Kerberos] 底下。
將裝置設定為只使用密碼
如果群組原則設定已停用使用憑證進行裝置驗證的支援,則一律會使用密碼。 此設定位於 [系統管理範本] > [系統] > [Kerberos] 底下。
使用公開金鑰加入網域的裝置驗證
當 Windows 有已加入網域裝置的憑證時,Kerberos 會先使用憑證進行驗證,並在失敗時重試密碼。 這可讓裝置向下層 DC 進行驗證。
由於自動佈建的公開金鑰具有自我簽署憑證,因此不支援金鑰信任帳戶對應的網域控制站上的憑證驗證失敗。 根據預設,Windows 會使用裝置的網域密碼重試驗證。