Перемещение учетных данных позволяет организациям хранить сертификаты и закрытые ключи в доменных службах Active Directory отдельно от сведений о конфигурации и состоянии приложений.
Как происходит перемещение учетных данных
При перемещении учетных данных используются имеющиеся механизмы входа в систему и автоматической регистрации, которые позволяют надежно и безопасно загружать сертификаты и ключи на локальный компьютер при входе пользователя и, если потребуется, удалять их при выходе пользователя. Кроме того, целостность таких учетных данных поддерживается при любых условиях, например при обновлении сертификатов и при одновременном входе пользователя с нескольких компьютеров.
Далее приведено описание процесса перемещения учетных данных.
-
Пользователь выполняет вход на клиентском компьютере, подключенном к домену Active Directory.
-
Групповая политика перемещения учетных данных применяется на клиентском компьютере как часть процесса входа.
-
Если перемещение учетных данных применяется в первый раз, сертификаты из пользовательского хранилища на клиентском компьютере копируются в доменные службы Active Directory.
-
Если у пользователя уже имеются сертификаты в доменных службах Active Directory, то сертификаты, сохраняемые в пользовательском хранилище на клиентском компьютере, сравниваются с сертификатами этого пользователя, хранящимися в доменных службах Active Directory.
-
Если сертификаты из пользовательского хранилища являются самыми новыми, дальнейшие действия не выполняются. Если для данного пользователя в доменных службах Active Directory хранятся более новые сертификаты, учетные данные копируются на клиентский компьютер. Если более новые сертификаты для данного пользователя хранятся на клиентском компьютере, учетные данные копируются в доменные службы Active Directory.
-
Если на клиентском компьютере требуются дополнительные сертификаты, то обрабатываются невыполненные запросы автоматической регистрации сертификатов.
Примечание Вновь выданные сертификаты сохраняются в хранилище на клиентском компьютере и реплицируются в доменные службы Active Directory.
-
Когда пользователь выполняет вход на другой клиентский компьютер, подключенный к домену, применяется та же групповая политика, и учетные данные вновь реплицируются из доменных служб Active Directory. При перемещении учетных данных выполняется синхронизация и устраняются любые конфликты между сертификатами и закрытыми ключами для любого количества клиентских компьютеров, на которые входит пользователь, а также для доменных служб Active Directory.
Важно! В среде с несколькими доменами и в доменах с несколькими контроллерами домена возможна следующая ситуация: если между выдачей сертификата на компьютере, который проверяет подлинность пользователя на одном контроллере домена, и входом пользователя в сеть с использованием другого контроллера домена прошло мало времени, учетные данные не всегда бывают доступны сразу. Учетные данные станут доступными только после завершения репликации между двумя доменами или контроллерами домена.
-
Когда срок действия сертификата пользователя истекает, старый сертификат автоматически архивируется в профиле пользователя на компьютере и в доменных службах Active Directory.
Перемещение учетных данных запускается при каждом изменении сертификата или закрытого ключа в локальном хранилище сертификатов пользователя, при каждой блокировке или разблокировании компьютера пользователем и при каждом обновлении групповой политики.
Все относящиеся к сертификатам сеансы связи между компонентами на локальном компьютере и между локальным компьютером и доменными службами Active Directory подписываются и шифруются.