我有一个凭据提供程序,它没有按照我想要的方式行事。它提供辅助身份验证,但它的范围是针对主机范围内的所有交互式 Windows 登录,而不是针对特定用户。
除了凭据提供程序之外,还安装了凭据提供程序过滤器。凭据提供程序过滤器将登录屏幕上的凭据提供程序的使用限制为仅此凭据提供程序。但是,如果凭证提供者过滤器被删除(通过删除下面的键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters),那么用户可以将凭证提供者更改为任何其他可用的凭证提供者(包括我们的好老朋友PasswordProvider)。
我的意图是强制对某些用户使用凭据提供程序。例如,如果该用户尝试使用另一个凭据提供程序登录,那很好,但我希望 AD 拒绝此请求……仅在从正确的凭据提供程序调用请求时才允许请求。
这可能吗?我希望有一种方法可以在 AD 中配置用户对象以限制可接受的凭据提供程序。
谢谢
好问题。正如这里所指出的,如果没有更好的来源,答案似乎是否定的。
引用:
因为:
也就是说,它们是客户端机制。
还描述了一种最佳实践,即不要完全禁止访问至少一个主机范围的提供程序,以免导致完全锁定:
所以......建议似乎不排除对主机范围提供程序的访问。如果您想限制任何简单的解决方案:不要授予用户删除注册表项的权限。
受保护的用户安全组不会按照您的要求执行,而是强化身份验证过程服务器端的一种方式。