Windows-godkendelse

Brug denne godkendelsesmetode, hvis Windows-domænecontrolleren skal anvendes til godkendelse af brugere, der har deres konti på directory-serveren. Brugere kan ikke godkendes, hvis de ikke har en konto på directory-serveren. Ved Windows-godkendelse kan man angive adgangsbegrænsninger for de enkelte grupper, som er registreret på directory-serveren. Den lagrede adressebog i directory-serveren kan registreres for maskinen, så brugere kan godkendes uden først at skulle angive individuelle indstillinger i adressebogen via betjeningspanelet.

Første gang du får adgang til maskinen, kan du bruge de funktioner, der er tilgængelige for din gruppe. Hvis du ikke er registreret i en gruppe, kan du bruge de funktioner, der er tilgængelige under "*Standardgruppe". Hvis du ønsker at begrænse tilgængelige funktioner til bestemte brugere, skal du først angive indstillingerne i adressebogen.

Hvis brugeroplysningerne skal registreres automatisk under Windows-godkendelse, anbefales det, at kryptere kommunikationen mellem maskinen og domænekontrolleren vha. SSL. For at gøre dette skal du oprette et servercertifikat for domænecontrolleren. For detaljer om oprettelse af et servercertifikat, se Oprettelse af servercertifikat.

Vigtigt

  • Hvis du bruger Windows-godkendelse, bliver de registrerede brugeroplysninger i mappeserveren automatisk registreret i maskinens adressekartotek. Hvis de automatisk registrerede brugeroplysninger redigeres på maskinen, vil de blive overskrevet af oplysningerne fra directory-serveren, når der foretages godkendelse.

  • Brugere, der styres på andre domæner, er underlagt brugergodkendelse, men de kan ikke hente informationer som f.eks. brugernavne.

  • Hvis du oprettede en ny bruger i domænecontrolleren og valgte "Bruger skal ændre password ved næste login" ved konfiguration af password, skal du først logge på computeren og ændre passwordet.

  • Hvis den server, der udfører godkendelsen, kun understøtter NTLM, og Kerberos-godkendelse er valgt på maskinen, vil godkendelsesmetoden automatisk skifte til NTLM.

  • Hvis gæstekontoen i Windows-serveren er aktiveret, kan brugere, der ikke er registreret i domænecontrolleren, blive godkendt. Når denne konto er aktiveret, er brugerne registreret i adressebogen og kan bruge de funktioner, der er tilgængelige under "*Standardgruppe".

Windows-godkendelse kan udføres ved brug af følgende to godkendelsesmetoder: NTLM- eller Kerberos-godkendelse. De driftsmæssige krav for begge metoder er anført herunder:

Driftskrav for NTLM-godkendelse

For at du kan angive NTLM-godkendelse, skal følgende krav være opfyldt:

  • NTLMv1-godkendelse og NTLMv2-godkendelse understøttes på denne maskine

  • En domænecontroller skal sættes op i det domæne, du ønsker at anvende

  • Denne funktion understøttes af nedenstående operativsystemer. Brug LDAP til at indhente brugeroplysninger, når Active Directory køres. Hvis du bruger LDAP, anbefaler vi, at du anvender SSL til kryptering af kommunikationen mellem maskinen og LDAP-serveren. SSL-kryptering er kun mulig, hvis LDAP-serveren understøtter TLSv1 eller SSLv3.

    • Windows Server 2008/2008 R2

    • Windows Server 2012/2012 R2

    • Windows Server 2016

Driftskrav for Kerberos-godkendelse

For at du kan angive Kerberos-godkendelse, skal følgende krav være opfyldt:

  • En domænecontroller skal sættes op i det domæne, du ønsker at anvende

  • Operativsystemet skal kunne understøtte KDC (Key Distribution Center). Brug LDAP til at indhente brugeroplysninger, når Active Directory køres. Hvis du bruger LDAP, anbefaler vi, at du anvender SSL til kryptering af kommunikationen mellem maskinen og LDAP-serveren. SSL-kryptering er kun mulig, hvis LDAP-serveren understøtter TLSv1 eller SSLv3. Kompatible operativsystemer vises herunder:

    • Windows Server 2008/2008 R2

    • Windows Server 2012/2012 R2

    • Windows Server 2016

    For at bruge Kerberos-godkendelse under Windows Server 2008 skal Service Pack 2 eller en nyere version installeres.

  • Datatransmission mellem maskinen og KDC-serveren er krypteret, hvis Kerberos-godkendelse er aktiveret. For detaljer om angivelse af krypteret transmission, se Krypteringsindstillinger for Kerberos-godkendelse.

Bemærk

  • For detaljer om tegn, der kan anvendes til brugernavne og -passwords, se Tegn der kan anvendes til brugernavne og passwords.

  • Når du efterfølgende går ind på maskinen, kan du bruge alle de funktioner, der er tilgængelige for din gruppe og for dig som individuel bruger.

  • Brugere, der er registreret under flere grupper, kan bruge alle funktioner, der er tilgængelige for disse grupper.

  • Når der er angivet Windows-godkendelse, behøver du ikke oprette et servercertifikat, medmindre oplysninger som brugernavne skal registreres vha. SSL.

Relaterede emner

Angivelse af Windows-godkendelse
Installation af Internet Information Services (IIS) og Certificate Services
Oprettelse af servercertifikat
ForrigeNæste