Чтобы использовать перемещение учетных данных, все контроллеры домена в организации должны работать под управлением операционной системы Windows Server 2008 R2, Windows Server 2008 или Windows Server 2003 с пакетом обновления 1 (SP1). Кроме того, клиенты, используемые для перемещения учетных данных, должны работать под управлением операционной системы Windows 7, Windows Vista, Windows XP с пакетом обновления 2 (SP2), Windows Server 2003 с пакетом обновления 1 (SP1) или Windows Server 2008.

Если в среде Active Directory имеется хотя бы один контроллер домена с операционной системой Windows Server 2008 R2 или Windows Server 2008, для настройки перемещения учетных данных можно использовать групповую политику.

Если ни один из контроллеров домена не работает под управлением операционной системы Windows Server 2008 R2 или Windows Server 2008, перед настройкой перемещения учетных данных с помощью групповой политики необходимо выполнить следующие действия.

  1. Подготовка службы AD DS. Службу AD DS необходимо подготовить для хранения сертификатов пользователей, ключей и основных ключей интерфейса программирования приложений защиты данных (DPAPI).

  2. Исключение каталогов в перемещаемых профилях. При использовании перемещаемых профилей определенные каталоги нужно исключить из перемещения, чтобы избежать конфликтов с перемещением учетных данных.

  3. Установка шаблона ADM групповой политики. Перемещение учетных данных будет включено с помощью шаблона ADM групповой политики, устанавливающего соответствующие значения реестра на клиентском компьютере.

Для получения справки об этих подготовительных шагах в сетях с контроллерами доменов, все еще работающими под управлением операционной системы Windows Server 2003, см. "Настройка и устранение неполадок перемещения учетных данных клиентов службы сертификатов" (https://go.microsoft.com/fwlink/?LinkID=85332).

Для выполнения этой процедуры, как минимум, необходимо членство в группе Администраторы предприятия или Администраторы домена. Для получения дополнительных сведений см. Реализация ролевого администрирования.

Настройка перемещения учетных данных для домена с помощью групповой политики
  1. На контроллере домена под управлением Windows Server 2008 R2 или Windows Server 2008 нажмите кнопку Пуск, выберите пункт Администрирование, а затем пункт Управление групповой политикой.

  2. В дереве консоли дважды щелкните Объекты групповой политики в лесу и домен, содержащий объект групповой политики Политика домена по умолчанию, который нужно изменить.

  3. Щелкните правой кнопкой мыши Политика домена по умолчанию, а затем выберите Изменить.

  4. В оснастке управления групповой политикой (GPMC) последовательно выберите Конфигурация пользователя, Конфигурация Windows, Параметры безопасности, а затем щелкните Политики открытого ключа.

  5. Дважды щелкните Клиент службы сертификации - перемещение учетных данных.

  6. Щелкните Включено , чтобы настроить перемещение учетных данных, или Отключено, чтобы запретить его использование.

  7. Если выбран вариант Включено, можно также настроить следующие параметры:

    • Максимальное время жизни учетных данных до удаления (в днях). Позволяет определить, как долго перемещаемые учетные данные будут сохраняться в службе AD DS для сертификата или ключа, который был удален локально.

    • Максимальное количество перемещаемых учетных данных на пользователя. Позволяет определить максимальное количество сертификатов или ключей, которое может быть использовано при перемещении учетных данных.

    • Максимальный размер (байт) перемещаемых учетных данных. Позволяет ограничить перемещение для учетных данных, превышающих заданный размер.

    • Перемещать сохраненные имена пользователей и пароли. Позволяет включить или исключить сохраненные имена и пароли из политики перемещения учетных записей.

  8. Нажмите кнопку ОК, чтобы принять сделанные изменения.

Стандартные параметры для перемещения учетных данных в шаге 7 подойдут для большинства организаций. Но перемещение учетных данных может повлиять на размер базы данных Active Directory, если количество пользователей и учетных данных в организации велико. Для получения сведений, которые могут помочь оценить возможное влияние перемещения учетных записей на базу данных Active Directory, см. "Настройка и устранение неполадок перемещения учетных данных клиентов службы сертификатов" (https://go.microsoft.com/fwlink/?LinkID=85332).


Содержание