Tunnistetietojen käyttö palvelimesta antaa organisaatioiden tallentaa varmenteet ja yksityiset avaimet Active Directory -toimialueen palveluihin (AD DS) sovelluksen tilasta tai määritystiedoista erillisinä.
Tunnistetietojen käyttäminen palvelimesta
Tunnistetietojen käyttö palvelimesta käyttää nykyisiä kirjautumisen ja automaattisen rekisteröimisen mekanismeja varmenteiden ja avainten turvalliseen lataamiseen paikalliseen tietokoneeseen aina, kun käyttäjä kirjautuu sisään. Ne voidaan poistaa tarvittaessa, kun käyttäjä kirjautuu ulos. Lisäksi tunnistetietojen aitous säilyy kaikissa olosuhteissa, esimerkiksi kun varmenteita päivitetään ja kun käyttäjät kirjautuvat useampaan kuin yhteen tietokoneeseen samanaikaisesti.
Seuraavassa annetaan vaiheittaiset ohjeet digitaaliseen tunnistetietojen käyttämiseen palvelimesta.
-
Käyttäjä kirjautuu asiakastietokoneeseen, joka on yhteydessä Active Directory -toimialueeseen.
-
Tunnistetietojen palvelimesta käytön ryhmäkäytäntöä sovelletaan käyttäjän tietokoneeseen osana kirjautumisprosessia.
-
Kun tunnistetietoja käytetään palvelimesta ensimmäistä kertaa, asiakastietokoneen käyttäjän säilössä olevat varmenteet kopioidaan Active Directory -toimialueen palveluihin.
-
Jos käyttäjällä on jo varmenteita Active Directory -toimialueen palveluissa, asiakastietokoneen käyttäjän varmennesäilössä olevia varmenteita verrataan käyttäjää varten Active Directory -toimialueen palveluihin tallennettuihin varmenteisiin.
-
Jos käyttäjän varmennesäilössä olevat varmenteet ovat ajan tasalla, lisätoimia ei tarvita. Jos Active Directory -toimialueen palveluihin on kuitenkin tallennettu käyttäjää varten uudempia varmenteita, kyseiset tunnistetiedot kopioidaan asiakastietokoneeseen. Jos asiakastietokoneeseen on tallennettu käyttäjää varten uudempia varmenteita, kyseiset tunnistetiedot kopioidaan Active Directory -toimialueen palveluihin.
-
Jos asiakastietokoneessa tarvitaan lisävarmenteita, avoimet varmenteiden automaattista rekisteröintiä koskevat pyynnöt käsitellään.
Huomautus Äskettäin myönnetyt varmenteet tallennetaan asiakastietokoneen varmennesäilöön ja replikoidaan Active Directory -toimialueen palveluihin.
-
Samaa ryhmäkäytäntöasetusta käytetään, kun käyttäjä kirjautuu toimialueeseen yhteydessä olevaan toiseen asiakastietokoneeseen, ja tunnistetiedot replikoidaan jälleen Active Directory -toimialueen palveluista. Tunnistetietojen käyttö palvelimesta synkronoi varmenteet ja yksityiset avaimet kaikissa asiakastietokoneissa, joihin käyttäjä kirjautuu, sekä Active Directory -toimialueen palveluissa ja ratkaisee niiden väliset ristiriidat.
Tärkeää Jos ympäristössä on useita toimialueita tai toimialueita, joissa on useita toimialueen ohjauskoneita, tunnistetiedot eivät ehkä ole heti käytettävissä, kun käyttäjä kirjautuu verkkoon toimialueen yhden ohjauskoneen avulla pian sen jälkeen, kun varmenne on myönnetty tietokoneelle, joka vahvistaa käyttäjän tunnistetiedot toisen toimialueen ohjauskoneen kautta. Tunnistetiedot ovat käytettävissä vasta sen jälkeen, kun ne on kopioitu kahden toimialueen tai ohjauskoneen välillä.
-
Kun käyttäjän varmenne vanhentuu, vanha varmenne arkistoidaan automaattisesti käyttäjän profiiliin tietokoneessa ja Active Directory -toimialueen palveluihin.
Tunnistetietojen käyttö palvelimesta käynnistyy aina, kun käyttäjän paikallisessa varmennesäilössä oleva yksityinen avain tai varmenne muuttuu, kun käyttäjä lukitsee tietokoneen tai avaa sen lukituksen ja kun ryhmäkäytäntö päivitetään.
Kaikki varmenteisiin liittyvä tietoliikenne paikallisen tietokoneen osien välillä sekä paikallisen tietokoneen ja Active Directory -toimialueen palveluiden välillä allekirjoitetaan ja salataan.