Roaming pověření umožňuje organizacím kromě stavu použití a informací o konfiguraci ukládat také certifikáty a privátní klíče ve službě AD DS (Active Directory Domain Services).

Funkce předávání pověření

Roaming pověření využívá mechanizmy stávajícího přihlášení a automatický zápis k bezpečnému stahování certifikátů a klíčů do místního počítače při každém přihlášení uživatele a v případě potřeby je odebírat při jeho odhlášení. Navíc je za všech podmínek udržována integrita těchto pověření, například při aktualizaci certifikátů a při současném přihlášení uživatele do více počítačů.

V následujících krocích je popsána funkce předávání digitálních pověření.

  1. Uživatel se přihlásí do klientského počítače, který je připojen do domény služby Active Directory.

  2. Na počítač uživatele se jako součást procesu přihlašování použijí zásady skupiny roamingu pověření.

  3. Při prvním použití roamingu pověření se certifikáty v úložišti uživatele v klientském počítači zkopírují do služby AD DS.

  4. Pokud uživatel již má své certifikáty ve službě AD DS, certifikáty v úložišti uživatele v klientském počítači se porovnají s certifikáty uživatele uloženými ve službě AD DS.

  5. Jsou-li certifikáty v úložišti certifikátů uživatele aktuální, neprovede se žádná další akce. Jestliže však jsou ve službě AD DS uloženy novější certifikáty uživatele, zkopírují se tato pověření do klientského počítače. Pokud jsou v klientském počítači uloženy novější certifikáty uživatele, jsou tato pověření zkopírována do služby AD DS.

  6. Jestliže jsou v klientském počítači vyžadovány další certifikáty, jsou zpracovány nevyřízené žádosti o automatický zápis certifikátů.

    Poznámka

    Nově vystavené certifikáty jsou uloženy v úložišti certifikátů v klientském počítači a replikovány do služby AD DS.

  7. Pokud se později uživatel přihlásí do jiného klientského počítače připojeného do domény, použije se totéž nastavení zásad skupiny a pověření se opět replikují ze služby AD DS. Roaming pověření synchronizuje a řeší veškeré konflikty mezi certifikáty a privátními klíči z libovolného počtu klientských počítačů, k nimž se uživatel přihlašuje, a také ve službě AD DS.

    Důležité informace

    V prostředí s více doménami a v doménách s více řadiči domén nemusejí být pověření okamžitě k dispozici, pokud se uživatel přihlásí k síti pomocí jednoho řadiče domény krátce poté, co byl v počítači vydán certifikát, který ověřuje identitu uživatele vůči jinému řadiči domény. Pověření budou dostupná až po dokončení replikace mezi oběma doménami nebo řadiči domény.

  8. Jakmile vyprší platnost certifikátu uživatele, starý certifikát se automaticky archivuje v profilu uživatele v počítači a ve službě AD DS.

Roaming pověření se aktivuje při každé změně privátního klíče nebo certifikátu v místním úložišti certifikátů uživatele, při zamknutí nebo odemknutí počítače a při aktualizaci zásad skupiny.

Veškerá komunikace mezi součástmi v místním počítači a mezi místním počítačem a službou AD DS, která souvisí s certifikáty, je podepsána a zašifrována.

Obsah