Roaming af id-oplysninger gør det muligt for organisationer at gemme certifikater og nøgler i AD DS (Active Directory Domain Services) adskilt fra oplysninger om programtilstand og konfiguration.

Sådan fungerer roaming af legitimationsoplysninger

Roaming af legitimationsoplysninger bruger eksisterende mekanismer til logon og automatisk registrering for at kunne hente certifikater og nøgler til en lokal computer på en sikker måde, når en bruger logger på, og eventuelt fjerne dem, når brugeren logger af. Derudover bevares legitimationsoplysningernes integritet under alle forhold, f.eks. når certifikaterne opdateres, og når brugerne logger på mere end én computer ad gangen.

I det følgende beskrives, hvordan roaming af digitale legitimationsoplysninger fungerer.

  1. En bruger logger på en klientcomputer, der har forbindelse til et Active Directory-domæne.

  2. Som en del af logonprocessen anvendes der gruppepolitik for roaming af legitimationsoplysninger på brugerens computer.

  3. Hvis det er første gang, der bruges roaming af legitimationsoplysninger, kopieres certifikaterne i brugerens lager på klientcomputeren til AD DS.

  4. Hvis brugeren allerede har certifikater i AD DS, sammenlignes certifikaterne i brugerens certifikatlager på klientcomputeren med de certifikater, der er gemt for brugeren i Active Directory.

  5. Hvis certifikaterne i brugerens certifikatlager er aktuelle, udføres der ikke flere handlinger. Hvis der imidlertid er gemt flere nyere certifikater for brugeren i AD DS, kopieres disse legitimationsoplysninger til klientcomputeren. Hvis der er gemt flere nyere certifikater for brugeren på klientcomputeren, kopieres disse legitimationsoplysninger til AD DS.

  6. Hvis der er behov for flere certifikater på klientcomputeren, behandles udestående anmodninger om automatisk certifikatregistrering.

    Bemærk!

    Nyudstedte certifikater gemmes i certifikatlageret på klientcomputeren og replikeres til AD DS.

  7. Når brugeren logger på en anden klientcomputer, der har forbindelse til domænet, anvendes den samme gruppepolitik, og legitimationsoplysningerne replikeres igen fra AD DS. Roaming af legitimationsoplysninger synkroniserer og løser eventuelle konflikter mellem certifikater og private nøgler på de klientcomputere, brugeren logger på, samt i AD DS.

    Vigtigt!

    I miljøer med flere domæner og domæner med flere domænecontrollere, er legitimationsoplysninger muligvis ikke straks tilgængelige, når en bruger logger på netværket ved hjælp af én domænecontroller, kort efter at der er udstedt et certifikat på en computer, der validerer brugerens identitet mod en anden domænecontroller. Legitimationsoplysningerne bliver først tilgængelige, når der er udført replikering mellem to domæner eller domænecontrollere.

  8. Når brugerens certifikat udløber, arkiveres det gamle certifikat automatisk i brugerens profil på computeren og i AD DS.

Roaming af legitimationsoplysninger udføres, hver gang en privat nøgle eller et certifikat i brugerens lokale certifikatlager ændres, hver gang brugeren låser computeren eller låser den op, og hver gang gruppepolitik opdateres.

Enhver certifikatrelateret kommunikation mellem komponenter på den lokale computer og mellem den lokale computer og AD DS er signeret og krypteret.


Indholdsfortegnelse