Перемещение учетных данных позволяет организациям хранить сертификаты и закрытые ключи в доменных службах Active Directory отдельно от сведений о конфигурации и состоянии приложений.
Как происходит перемещение учетных данных
При перемещении учетных данных используются имеющиеся механизмы входа в систему и автоматической регистрации, которые позволяют надежно и безопасно загружать сертификаты и ключи на локальный компьютер при входе пользователя и, если потребуется, удалять их при выходе пользователя. Кроме того, целостность таких учетных данных поддерживается при любых условиях, например при обновлении сертификатов и при одновременном входе пользователя с нескольких компьютеров.
Далее приведено описание процесса перемещения учетных данных.
- Пользователь выполняет вход на клиентском компьютере,
подключенном к домену Active Directory.
- Групповая политика перемещения учетных данных применяется на
клиентском компьютере как часть процесса входа.
- Если перемещение учетных данных применяется в первый раз,
сертификаты из пользовательского хранилища на клиентском компьютере
копируются в доменные службы Active Directory.
- Если у пользователя уже имеются сертификаты в доменных службах
Active Directory, то сертификаты, сохраняемые в пользовательском
хранилище на клиентском компьютере, сравниваются с сертификатами
этого пользователя, хранящимися в доменных службах Active
Directory.
- Если сертификаты из пользовательского хранилища являются самыми
новыми, дальнейшие действия не выполняются. Если для данного
пользователя в доменных службах Active Directory хранятся более
новые сертификаты, учетные данные копируются на клиентский
компьютер. Если более новые сертификаты для данного пользователя
хранятся на клиентском компьютере, учетные данные копируются в
доменные службы Active Directory.
- Если на клиентском компьютере требуются дополнительные
сертификаты, то обрабатываются невыполненные запросы автоматической
регистрации сертификатов.
Примечание Вновь выданные сертификаты сохраняются в хранилище на клиентском компьютере и реплицируются в доменные службы Active Directory.
- Когда пользователь выполняет вход на другой клиентский
компьютер, подключенный к домену, применяется та же групповая
политика, и учетные данные вновь реплицируются из доменных служб
Active Directory. При перемещении учетных данных выполняется
синхронизация и устраняются любые конфликты между сертификатами и
закрытыми ключами для любого количества клиентских компьютеров, на
которые входит пользователь, а также для доменных служб Active
Directory.
Важно! В среде с несколькими доменами и в доменах с несколькими контроллерами домена возможна следующая ситуация: если между выдачей сертификата на компьютере, который проверяет подлинность пользователя на одном контроллере домена, и входом пользователя в сеть с использованием другого контроллера домена прошло мало времени, учетные данные не всегда бывают доступны сразу. Учетные данные станут доступными только после завершения репликации между двумя доменами или контроллерами домена.
- Когда срок действия сертификата пользователя истекает, старый
сертификат автоматически архивируется в профиле пользователя на
компьютере и в доменных службах Active Directory.
Перемещение учетных данных запускается при каждом изменении сертификата или закрытого ключа в локальном хранилище сертификатов пользователя, при каждой блокировке или разблокировании компьютера пользователем и при каждом обновлении групповой политики.
Все относящиеся к сертификатам сеансы связи между компонентами на локальном компьютере и между локальным компьютером и доменными службами Active Directory подписываются и шифруются.