Mithilfe von servergespeicherten Anmeldeinformationen können Organisationen Zertifikate und private Schlüssel in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) getrennt von Anwendungsstatus oder Konfigurationsinformationen speichern.

Funktionsweise von servergespeicherten Anmeldeinformationen

Die Serverspeicherung von Anmeldeinformationen verwendet vorhandene Mechanismen für die Anmeldung und automatische Registrierung, um Zertifikate und Schlüssel auf sichere Weise auf einen lokalen Computer herunterzuladen, wenn sich ein Benutzer anmeldet, und diese ggf. zu entfernen, wenn der Benutzer sich abmeldet. Darüber hinaus wird die Integrität dieser Anmeldeinformationen unter allen Bedingungen aufrechterhalten, z. B. dann, wenn Zertifikate aktualisiert werden oder Benutzer sich an mehreren Computern gleichzeitig anmelden.

In den folgenden Schritten wird die Funktionsweise digitaler servergespeicherter Anmeldeinformationen beschrieben.

  1. Ein Benutzer meldet sich an einem Clientcomputer an, der mit einer Active Directory-Domäne verbunden ist.

  2. Im Rahmen des Anmeldungsprozesses werden Gruppenrichtlinien für servergespeicherte Anmeldeinformationen auf den Computer des Benutzers angewendet.

  3. Werden servergespeicherte Anmeldeinformationen zum ersten Mal verwendet, werden die Zertifikate im Speicher des Benutzers auf dem Clientcomputer in die Active Directory-Domänendienste kopiert.

  4. Verfügt der Benutzer bereits über Zertifikate in den Active Directory-Domänendiensten, werden die Zertifikate im Zertifikatspeicher des Benutzers auf dem Clientcomputer mit den Zertifikaten, die für den Benutzer in den Active Directory-Domänendiensten gespeichert sind, verglichen.

  5. Sind die Zertifikate im Zertifikatspeicher des Benutzers aktuell, werden keine weiteren Aktionen ausgeführt. Sind in den Active Directory-Domänendiensten jedoch aktuellere Zertifikate für den Benutzer gespeichert, werden diese Anmeldeinformationen auf den Clientcomputer kopiert. Sind auf dem Clientcomputer jedoch aktuellere Zertifikate für den Benutzer gespeichert, werden diese Anmeldeinformationen in die Active Directory-Domänendienste kopiert.

  6. Falls weitere Zertifikate auf dem Clientcomputer erforderlich sind, werden ausstehende Anforderungen für die automatische Registrierung von Zertifikaten verarbeitet.

    Hinweis

    Neu ausgestellte Zertifikate werden im Zertifikatspeicher auf dem Clientcomputer gespeichert und an die Active Directory-Domänendienste repliziert.

  7. Wenn sich der Benutzer an einem anderen Clientcomputer anmeldet, der mit der Domäne verbunden ist, wird dieselbe Gruppenrichtlinieneinstellung angewendet und die Anmeldeinformationen werden erneut aus den Active Directory-Domänendiensten repliziert. Mit servergespeicherten Anmeldeinformationen können auf einer beliebigen Anzahl von Clientcomputern, an denen sich der Benutzer anmeldet, sowie in den Active Directory-Domänendiensten Zertifikate und private Schlüssel synchronisiert und Konflikte zwischen ihnen gelöst werden.

    Wichtig

    In Umgebungen mit mehreren Domänen und Domänen mit mehreren Domänencontrollern sind Anmeldeinformationen u. U. nicht direkt verfügbar, wenn sich ein Benutzer mithilfe eines Domänencontrollers am Netzwerk anmeldet, kurz nachdem für ihn ein Zertifikat auf einem Computer ausgestellt wurde, der die Identität des Benutzers anhand eines anderen Domänencontrollers überprüft. Die Anmeldeinformationen werden erst dann verfügbar, wenn die Replikation zwischen den beiden Domänen bzw. Domänencontrollern abgeschlossen ist.

  8. Läuft das Zertifikat des Benutzers ab, wird das alte Zertifikat automatisch im Profil des Benutzers auf dem Computer und in den Active Directory-Domänendiensten archiviert.

Das Speichern von Anmeldeinformationen auf dem Server erfolgt immer dann, wenn sich ein privater Schlüssel oder ein Zertifikat im Zertifikatspeicher des Benutzers ändert, wenn der Benutzer einen Computer sperrt oder die Sperrung aufhebt und wenn Gruppenrichtlinien aktualisiert werden.

Die gesamte Kommunikation im Zusammenhang mit Zertifikaten zwischen Komponenten auf dem lokalen Computer und zwischen dem lokalen Computer und den Active Directory-Domänendiensten ist signiert und verschlüsselt.


Inhaltsverzeichnis