Aby można było używać mobilnego dostępu do poświadczeń, na wszystkich kontrolerach domeny w danej organizacji powinien być uruchomiony system Windows Server 2008 R2, Windows Server 2008 lub Windows Server 2003 z dodatkiem Service Pack 1 (SP1). Ponadto na klientach używanych do uzyskiwania mobilnego dostępu do poświadczeń musi być również uruchomiony system Windows 7, Windows Vista, Windows XP z dodatkiem Service Pack 2 (SP2), Windows Server 2003 z dodatkiem SP1 lub Windows Server 2008.
Jeśli w środowisku usługi Active Directory znajduje się co najmniej jeden kontroler domeny z systemem Windows Server 2008 R2 lub Windows Server 2008, do skonfigurowania mobilnego dostępu do poświadczeń można użyć przystawki Zasady grupy.
Jeśli nie ma kontrolera domeny z systemem Windows Server 2008 R2 lub Windows Server 2008, przed skonfigurowaniem mobilnego dostępu do poświadczeń za pośrednictwem przystawki Zasady grupy należy wykonać następujące kroki:
-
Przygotowanie usług domenowych w usłudze Active Directory (AD DS). Usługi AD DS wymagają przygotowania w celu magazynowania certyfikatów i kluczy użytkowników oraz kluczy głównych interfejsu programowania aplikacji Ochrona danych (DPAPI, Data Protection application programming interface).
-
Wykluczenie katalogów z profilów mobilnego dostępu. W przypadku używania profilów mobilnego dostępu należy wykluczyć pewne katalogi z mobilnego dostępu, aby uniknąć konfliktów z mobilnym dostępem do poświadczeń.
-
Zainstalowanie szablonu ADM zasad grupy. Mobilny dostęp do poświadczeń zostanie włączony za pośrednictwem szablonu ADM zasad grupy, określającego odpowiednie wartości rejestru na komputerze klienckim.
Aby uzyskać pomoc dotyczącą tych czynności przygotowawczych w sieciach zawierających kontrolery domeny, na których wciąż jest uruchomiony system Windows Server 2003, zobacz artykuł na temat konfigurowania usługi Klient usług certyfikatów pod kątem mobilnego dostępu do poświadczeń i rozwiązywania problemów z tą usługą (
Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Administratorzy przedsiębiorstwa lub Administratorzy domeny albo równoważnej. Aby uzyskać więcej informacji, zobacz temat Implementowanie administrowania opartego na rolach.
Aby skonfigurować mobilny dostęp do poświadczeń dla domeny przy użyciu zasad grupy |
Na kontrolerze domeny z systemem Windows Server 2008 R2 lub Windows Server 2008 kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Zarządzanie zasadami grupy.
W drzewie konsoli kliknij dwukrotnie węzeł Obiekty zasad grupy w lesie i domenę zawierającą obiekt zasad grupy (GPO) Domyślne zasady domeny, który chcesz edytować.
Kliknij prawym przyciskiem myszy obiekt zasad grupy Domyślne zasady domeny, a następnie kliknij polecenie Edytuj.
W Konsoli zarządzania zasadami grupy (GPMC, Group Policy Management Console) przejdź do pozycji Konfiguracja użytkownika, Ustawienia systemu Windows, Ustawienia zabezpieczeń, a następnie kliknij pozycję Zasady kluczy publicznych.
Kliknij dwukrotnie opcję Klient usług certyfikatów - roaming poświadczeń.
Kliknij opcję Włączone, aby skonfigurować mobilny dostęp do poświadczeń, lub Wyłączone, aby zablokować jego używanie.
W przypadku kliknięcia opcji Włączone można również dostosować następujące opcje:
-
Maksymalny okres istnienia poświadczeń reliktu w dniach. Umożliwia zdefiniowanie, jak długo poświadczenie mobilne pozostanie w usługach AD DS w przypadku certyfikatu lub klucza, który został lokalnie usunięty.
-
Maksymalna liczba poświadczeń mobilnych na użytkownika. Umożliwia zdefiniowanie maksymalnej liczby certyfikatów i kluczy, które mogą być używane z mobilnym dostępem do poświadczeń.
-
Maksymalny rozmiar poświadczenia mobilnego (w bajtach). Umożliwia ograniczenie mobilnego dostępu do poświadczeń przekraczających zdefiniowany rozmiar.
-
Mobilny dostęp do zachowanych nazw użytkowników i haseł. Umożliwia uwzględnienie przechowywanych nazw użytkowników i haseł lub wykluczenie ich z zasad mobilnego dostępu do poświadczeń.
-
Maksymalny okres istnienia poświadczeń reliktu w dniach. Umożliwia zdefiniowanie, jak długo poświadczenie mobilne pozostanie w usługach AD DS w przypadku certyfikatu lub klucza, który został lokalnie usunięty.
Kliknij przycisk OK, aby zaakceptować zmiany.
Domyślne opcje mobilnego dostępu do poświadczeń opisane w kroku 7 są akceptowalne w wielu organizacjach. Jednak mobilny dostęp do poświadczeń może wpłynąć na wielkość bazy danych usługi Active Directory, jeśli organizacja ma dużą liczbę użytkowników i poświadczeń. Aby uzyskać informacje mogące pomóc w oszacowaniu potencjalnego wpływu mobilnego dostępu do poświadczeń na bazę danych usługi Active Directory, zobacz artykuł na temat konfigurowania usługi Klient usług certyfikatów pod kątem mobilnego dostępu do poświadczeń i rozwiązywania problemów z tą usługą (