Gezici kimlik bilgisi kullanmak için, kuruluşunuzun tüm etki alanı denetleyicilerinin Windows Server 2008 R2, Windows Server 2008 veya Windows Server 2003 Service Pack 1 (SP1) çalıştırıyor olması gerekir. Ayrıca, gezici kimlik bilgisi için kullanılan istemcilerin de Windows 7, Windows Vista, Windows XP Service Pack 2 (SP2), Windows Server 2003 SP1 veya Windows Server 2008 çalıştırıyor olması gerekir.
Active Directory ortamınızda Windows Server 2008 R2 veya Windows Server 2008 çalıştıran en az bir etki alanı denetleyiciniz varsa, gezici kimlik bilgisi yapılandırmak için Grup İlkesi kullanabilirsiniz.
Windows Server 2008 R2 veya Windows Server 2008 çalıştıran etki alanı denetleyiciniz yoksa, Grup İlkesi aracılığıyla gezici kimlik bilgisi yapılandırmadan önce aşağıdaki adımları tamamlamanız gerekir:
-
Active Directory Etki Alanı Hizmetleri'ni (AD DS) Hazırlama. AD DS'nin kullanıcı sertifikalarını, anahtarlarını ve Veri Koruma uygulama programlama arabirimi (DPAPI) anahtarlarını depolamak için hazırlanması gerekir.
-
Dizinleri dolaşım profilleri dışında tutma. Dolaşım profilleri kullanılırsa, kimlik bilgisi dolaşımıyla çakışma olmaması için belirli dizinlerin dolaşım dışında tutulması gerekir.
-
Grup İlkesi ADM şablonunu yükleme. Kimlik bilgisi dolaşımı, istemci bir bilgisayarda uygun kayıt defteri değerlerini ayarlayan bir Grup İlkesi ADM şablonu kullanılarak etkinleştirilir.
Halen Windows Server 2003 çalıştıran eki alanı denetleyicileri bulunan ağlarda bu hazırlık adımları hakkında yardım için bkz. Sertifika Hizmetleri İstemci Kimlik Bilgisi Dolaşımını Yapılandırma ve Sorun Giderme (
Enterprise Admins veya Domain Admins veya eşdeğer bir gruptaki üyelik, bu yordamı tamamlamak için gereken en düşük üyeliktir. Daha fazla bilgi için bkz. Rol Tabanlı Yönetim Uygulama.
Grup İlkesi kullanarak etki alanı için kimlik bilgisi dolaşımı yapılandırma |
Windows Server 2008 R2 veya Windows Server 2008 çalıştıran bir etki alanı denetleyicisinde, Başlat'ı tıklatın, Yönetimsel Araçlar'ın üzerine gelin ve Grup İlkesi Yönetimi'ni tıklatın.
Konsol ağacında, düzenlemek istediğiniz Grup İlkesi nesnesi (GPO) Varsayılan Etki Alanı İlkesi'ni içeren ormanda ve etki alanında Grup İlkesi Nesneleri'ni çift tıklatın.
Varsayılan Etki Alanı İlkesi GPO'sunu sağ tıklatın ve Düzenle'yi tıklatın.
Grup İlkesi Yönetim Konsolu'nda (GPMC), Kullanıcı Yapılandırması, Windows Ayarları, Güvenlik Ayarları'na gidin ve Ortak Anahtar İlkeleri'ni tıklatın.
Sertifika Hizmetleri İstemcisi - Kimlik Bilgisi Dolaşımı'nı çift tıklatın.
Kimlik bilgisi dolaşımını etkinleştirmek için Etkin'i veya kullanımını engellemek için Devre Dışı'yı tıklatın.
Etkin'i tıklatırsanız, aşağıdaki seçenekleri de yapılandırabilirsiniz:
-
Kimlik bilgisi kaldırıldı işareti süresi üst sınırı (gün olarak). Dolaşımdaki bir kimlik bilgisinin, yerel olarak silinen bir sertifika veya anahtar için AD DS'de kadar süreyle kalacağını belirlemenize olanak sağlar.
-
Kullanıcı başına en yüksek gezici kimlik bilgisi sayısı. Kimlik bilgisi dolaşımıyla kullanılabilecek en fazla sertifika ve anahtar sayısını tanımlamanıza olanak sağlar.
-
En yüksek gezici kimlik bilgisi boyutu (bayt olarak). Tanımlanan boyutu aşan kimlik bilgileri için dolaşımı sınırlamanıza olanak sağlar.
-
Depolanan kullanıcı adlarını ve parolaları dolaştır. Depolanan kullanıcı adlarını ve parolaları gezici kimlik bilgisi ilkesine dahil etmenize veya gezici kimlik bilgisi dışında bırakmanıza olanak sağlar.
-
Kimlik bilgisi kaldırıldı işareti süresi üst sınırı (gün olarak). Dolaşımdaki bir kimlik bilgisinin, yerel olarak silinen bir sertifika veya anahtar için AD DS'de kadar süreyle kalacağını belirlemenize olanak sağlar.
Değişiklerinizi kabul etmek için Tamam’ı tıklatın.
Adım 7'deki kimlik bilgisi dolaşımıyla ilgili varsayılan seçenekler birçok kuruluş için uygundur. Bununla birlikte, bir kuruluşta çok sayıda kullanıcı ve kimlik bilgisi varsa, kimlik bilgisi dolaşımı Active Directory veritabanının boyutunu etkileyebilir. Kimlik bilgisi dolaşımının Active Directory veritabanınız üzerindeki olası etkisini tahmin etmenize yardımcı olabilecek bilgiler için bkz. Sertifika Hizmetleri İstemci Kimlik Bilgisi Dolaşımını Yapılandırma ve Sorun Giderme (