Перемещение учетных данных позволяет организациям хранить сертификаты и закрытые ключи в доменных службах Active Directory отдельно от сведений о конфигурации и состоянии приложений.

Как происходит перемещение учетных данных

При перемещении учетных данных используются имеющиеся механизмы входа в систему и автоматической регистрации, которые позволяют надежно и безопасно загружать сертификаты и ключи на локальный компьютер при входе пользователя и, если потребуется, удалять их при выходе пользователя. Кроме того, целостность таких учетных данных поддерживается при любых условиях, например при обновлении сертификатов и при одновременном входе пользователя с нескольких компьютеров.

Далее приведено описание процесса перемещения учетных данных.

  1. Пользователь выполняет вход на клиентском компьютере, подключенном к домену Active Directory.

  2. Групповая политика перемещения учетных данных применяется на клиентском компьютере как часть процесса входа.

  3. Если перемещение учетных данных применяется в первый раз, сертификаты из пользовательского хранилища на клиентском компьютере копируются в доменные службы Active Directory.

  4. Если у пользователя уже имеются сертификаты в доменных службах Active Directory, то сертификаты, сохраняемые в пользовательском хранилище на клиентском компьютере, сравниваются с сертификатами этого пользователя, хранящимися в доменных службах Active Directory.

  5. Если сертификаты из пользовательского хранилища являются самыми новыми, дальнейшие действия не выполняются. Если для данного пользователя в доменных службах Active Directory хранятся более новые сертификаты, учетные данные копируются на клиентский компьютер. Если более новые сертификаты для данного пользователя хранятся на клиентском компьютере, учетные данные копируются в доменные службы Active Directory.

  6. Если на клиентском компьютере требуются дополнительные сертификаты, то обрабатываются невыполненные запросы автоматической регистрации сертификатов.

    Примечание

    Вновь выданные сертификаты сохраняются в хранилище на клиентском компьютере и реплицируются в доменные службы Active Directory.

  7. Когда пользователь выполняет вход на другой клиентский компьютер, подключенный к домену, применяется та же групповая политика, и учетные данные вновь реплицируются из доменных служб Active Directory. При перемещении учетных данных выполняется синхронизация и устраняются любые конфликты между сертификатами и закрытыми ключами для любого количества клиентских компьютеров, на которые входит пользователь, а также для доменных служб Active Directory.

    Важно!

    В среде с несколькими доменами и в доменах с несколькими контроллерами домена возможна следующая ситуация: если между выдачей сертификата на компьютере, который проверяет подлинность пользователя на одном контроллере домена, и входом пользователя в сеть с использованием другого контроллера домена прошло мало времени, учетные данные не всегда бывают доступны сразу. Учетные данные станут доступными только после завершения репликации между двумя доменами или контроллерами домена.

  8. Когда срок действия сертификата пользователя истекает, старый сертификат автоматически архивируется в профиле пользователя на компьютере и в доменных службах Active Directory.

Перемещение учетных данных запускается при каждом изменении сертификата или закрытого ключа в локальном хранилище сертификатов пользователя, при каждой блокировке или разблокировании компьютера пользователем и при каждом обновлении групповой политики.

Все относящиеся к сертификатам сеансы связи между компонентами на локальном компьютере и между локальным компьютером и доменными службами Active Directory подписываются и шифруются.