Roaming pověření umožňuje organizacím kromě stavu použití a informací o konfiguraci ukládat také certifikáty a privátní klíče ve službě AD DS (Active Directory Domain Services).
Funkce předávání pověření
Roaming pověření využívá mechanizmy stávajícího přihlášení a automatický zápis k bezpečnému stahování certifikátů a klíčů do místního počítače při každém přihlášení uživatele a v případě potřeby je odebírat při jeho odhlášení. Navíc je za všech podmínek udržována integrita těchto pověření, například při aktualizaci certifikátů a při současném přihlášení uživatele do více počítačů.
V následujících krocích je popsána funkce předávání digitálních pověření.
-
Uživatel se přihlásí do klientského počítače, který je připojen do domény služby Active Directory.
-
Na počítač uživatele se jako součást procesu přihlašování použijí zásady skupiny roamingu pověření.
-
Při prvním použití roamingu pověření se certifikáty v úložišti uživatele v klientském počítači zkopírují do služby AD DS.
-
Pokud uživatel již má své certifikáty ve službě AD DS, certifikáty v úložišti uživatele v klientském počítači se porovnají s certifikáty uživatele uloženými ve službě AD DS.
-
Jsou-li certifikáty v úložišti certifikátů uživatele aktuální, neprovede se žádná další akce. Jestliže však jsou ve službě AD DS uloženy novější certifikáty uživatele, zkopírují se tato pověření do klientského počítače. Pokud jsou v klientském počítači uloženy novější certifikáty uživatele, jsou tato pověření zkopírována do služby AD DS.
-
Jestliže jsou v klientském počítači vyžadovány další certifikáty, jsou zpracovány nevyřízené žádosti o automatický zápis certifikátů.
Poznámka Nově vystavené certifikáty jsou uloženy v úložišti certifikátů v klientském počítači a replikovány do služby AD DS.
-
Pokud se později uživatel přihlásí do jiného klientského počítače připojeného do domény, použije se totéž nastavení zásad skupiny a pověření se opět replikují ze služby AD DS. Roaming pověření synchronizuje a řeší veškeré konflikty mezi certifikáty a privátními klíči z libovolného počtu klientských počítačů, k nimž se uživatel přihlašuje, a také ve službě AD DS.
Důležité informace V prostředí s více doménami a v doménách s více řadiči domén nemusejí být pověření okamžitě k dispozici, pokud se uživatel přihlásí k síti pomocí jednoho řadiče domény krátce poté, co byl v počítači vydán certifikát, který ověřuje identitu uživatele vůči jinému řadiči domény. Pověření budou dostupná až po dokončení replikace mezi oběma doménami nebo řadiči domény.
-
Jakmile vyprší platnost certifikátu uživatele, starý certifikát se automaticky archivuje v profilu uživatele v počítači a ve službě AD DS.
Roaming pověření se aktivuje při každé změně privátního klíče nebo certifikátu v místním úložišti certifikátů uživatele, při zamknutí nebo odemknutí počítače a při aktualizaci zásad skupiny.
Veškerá komunikace mezi součástmi v místním počítači a mezi místním počítačem a službou AD DS, která souvisí s certifikáty, je podepsána a zašifrována.