Πιστοποιηση Windows

Οριστε τη συγκεκριμενη πιστοποιηση οταν χρησιμοποιειτε τον ελεγκτή domain Windows για να πιστοποιήσετε χρήστες που διαθετουν τους δικους τους λογαριασμους στον διακομιστή καταλογου (directory). Οι χρήστες δεν μπορουν να πιστοποιηθουν, εάν δεν διαθετουν τους δικους τους λογαριασμους στον διακομιστή καταλογου(directory). Στο πλαισιο της πιστοποιησης Windows, μπορειτε να ορισετε το οριο προσβασης για κάθε ομάδα που ειναι καταχωρημενη στον διακομιστή καταλογου(directory). Μπορειτε να καταχωρήσετε στο μηχάνημα το Βιβλιο Διευθυνσεων που ειναι αποθηκευμενο στον διακομιστή καταλογου(directory), ενεργοποιωντας την πιστοποιηση χρηστων χωρις να ειναι απαραιτητη εκ των προτερων η χρήση του μηχανήματος για την καταχωρηση των μεμονωμενων ρυθμισεων στο Βιβλιο Διευθυνσεων.

Την πρωτη φορά που αποκτάτε προσβαση στο μηχάνημα μπορειτε να χρησιμοποιήσετε τις λειτουργιες που ειναι διαθεσιμες για την ομάδα σας. Εάν δεν ειστε καταχωρημενοι σε ομάδα, μπορειτε να χρησιμοποιήσετε τις λειτουργιες που διατιθενται στην "*Προεπιλεγμενη Ομάδα". Για να περιορισετε λειτουργιες που ειναι διαθεσιμες μονο σε ορισμενους χρήστες, οριστε πρωτα τις ρυθμισεις εκ των προτερων στο Βιβλιο Διευθυνσεων.

Για να καταχωρήσετε αυτοματα πληροφοριες χρήστη στη πιστοποιηση Windows, συνιστάται να γινει κρυπτογράφηση της επικοινωνιας μεταξυ του μηχανήματος και του ελεγκτή τομεα (domain) μεσω SSL. Για να το κάνετε αυτο, πρεπει να δημιουργήσετε πιστοποιητικο διακομιστή για τον ελεγκτή τομεα (domain). Για λεπτομερειες σχετικά με τη δημιουργια πιστοποιητικου διακομιστή, ανατρεξτε στη Δημιουργια του πιστοποιητικου διακομιστή.

Σημαντικό

  • Αν χρησιμοποιειτε πιστοποιηση Windows, οι πληροφοριες χρήστη που ειναι καταχωρημενες στο διακομιστή καταλογου καταχωρουνται αυτοματα στο βιβλιο διευθυνσεων του μηχανήματος. Ακομα και αν οι πληροφοριες χρήστη που καταχωρήθηκαν αυτοματα στο βιβλιο διευθυνσεων του μηχανήματος υποστουν επεξεργασια στο μηχάνημα, αντικαθιστανται απο τις πληροφοριες που προερχονται απο το διακομιστή καταλογου, μολις εκτελεστει η πιστοποιηση.

  • Οι χρήστες των οποιων η διαχειριση πραγματοποιειται σε άλλους τομεις (domain) υποκεινται σε πιστοποιηση χρηστων, αλλά δεν μπορουν να λάβουν στοιχεια, οπως ονοματα χρηστων.

  • Εάν δημιουργήσατε νεο χρήστη στον ελεγκτή domain και στη διαμορφωση παραμετρων κωδικου προσβασης επιλεξατε "Ο χρήστης πρεπει να αλλάξει κωδικο κατά την επομενη συνδεση", συνδεθειτε πρωτα στον υπολογιστή και αλλάξτε τον κωδικο.

  • Εάν ο διακομιστής πιστοποιησης υποστηριζει μονο NTLM, οταν στο μηχάνημα εχει επιλεγει πιστοποιηση Kerberos, η μεθοδος πιστοποιησης θα αλλάξει αυτοματα σε NTLM.

  • Αν ειναι ενεργοποιημενος ο λογαριασμος επισκεπτη "Guest" στον διακομιστή Windows, οι χρήστες που δεν ειναι καταχωρημενοι στον ελεγκτή τομεα μπορουν να πιστοποιουνται. οταν αυτος ο λογαριασμος ειναι ενεργοποιημενος, οι χρήστες καταχωρουνται στο Βιβλιο Διευθυνσεων και μπορουν να χρησιμοποιουν τις λειτουργιες που διατιθενται στην "*Προεπιλεγμενη Ομάδα".

Η πιστοποιηση Windows μπορει να πραγματοποιηθει με τη χρήση μιας απο τις δυο μεθοδους πιστοποιησης: πιστοποιηση NTLM ή Kerberos. Παρακάτω παρατιθενται οι λειτουργικες απαιτήσεις και για τις δυο μεθοδους:

Λειτουργικες απαιτήσεις για πιστοποιηση NTLM

Για τον ορισμο πιστοποιησης NTLM, πρεπει να ικανοποιουνται οι ακολουθες απαιτήσεις:

  • Το παρον μηχάνημα υποστηριζει πιστοποιηση NTLMv1 και πιστοποιηση NTLMv2.

  • Ρυθμιστε εναν ελεγκτή τομεα στον τομεα (domain) που θελετε να χρησιμοποιήσετε.

  • Αυτή η λειτουργια υποστηριζεται απο τα λειτουργικά συστήματα που παρατιθενται παρακάτω. Για τη λήψη πληροφοριων σχετικά με το χρήστη οταν εκτελειται το Active Directory, χρησιμοποιήστε LDAP. Εάν χρησιμοποιειτε LDAP, σας συνιστουμε να χρησιμοποιειτε SSL για την κρυπτογράφηση της επικοινωνιας μεταξυ του μηχανήματος και του διακομιστή LDAP. Η κρυπτογράφηση μεσω SSL ειναι εφικτή μονο εφοσον ο διακομιστής LDAP υποστηριζει TLSv1 ή SSLv3.

    • Windows Server 2008/2008 R2

    • Windows Server 2012/2012 R2

    • Windows Server 2016

Λειτουργικες απαιτήσεις για την πιστοποιηση Kerberos

Για την επιλογή της πιστοποιησης Kerberos, πρεπει να ικανοποιουνται οι ακολουθες απαιτήσεις:

  • Ρυθμιστε εναν ελεγκτή τομεα στον τομεα (domain) που θελετε να χρησιμοποιήσετε.

  • Το λειτουργικο συστημα πρεπει να υποστηριζει KDC (Κεντρο Διανομής Κλειδιων). Για τη λήψη πληροφοριων σχετικά με το χρήστη οταν εκτελειται το Active Directory, χρησιμοποιήστε LDAP. Εάν χρησιμοποιειτε LDAP, σας συνιστουμε να χρησιμοποιειτε SSL για την κρυπτογράφηση της επικοινωνιας μεταξυ του μηχανήματος και του διακομιστή LDAP. Η κρυπτογράφηση μεσω SSL ειναι εφικτή μονο εφοσον ο διακομιστής LDAP υποστηριζει TLSv1 ή SSLv3. Παρακάτω παρατιθενται τα συμβατά λειτουργικά συστήματα:

    • Windows Server 2008/2008 R2

    • Windows Server 2012/2012 R2

    • Windows Server 2016

    Για να χρησιμοποιήσετε την Πιστοποιηση Kerberos σε Windows Server 2008, εγκαταστήστε το Service Pack 2 ή νεοτερη εκδοση.

  • Αν εχει ενεργοποιηθει η πιστοποιηση Kerberos, η μετάδοση δεδομενων μεταξυ του μηχανήματος και του διακομιστή KDC ειναι κρυπτογραφημενη. Για πληροφοριες σχετικά με τον ορισμο κρυπτογραφημενης μετάδοσης, ανατρεξτε στη Ρυθμιση κρυπτογράφησης πιστοποιησης Kerberos.

Σημείωση

  • Για τους χαρακτήρες που μπορουν να χρησιμοποιηθουν για τα ονοματα χρήστη και τους κωδικους συνδεσης, ανατρεξτε στη Χαρακτήρες τους οποιους μπορειτε να χρησιμοποιήσετε για ονοματα χρήστη και κωδικους.

  • Κατά τη προσβαση στο μηχάνημα, μπορειτε να χρησιμοποιήσετε ολες τις λειτουργιες που ειναι διαθεσιμες στην ομάδα σας και σε εσάς ως μεμονωμενο χρήστη.

  • Οι χρήστες που ειναι καταχωρημενοι σε πολλαπλες ομάδες μπορουν να χρησιμοποιουν ολες τις λειτουργιες που ειναι διαθεσιμες στις συγκεκριμενες ομάδες.

  • Στη πιστοποιηση Windows, δεν χρειάζεται να δημιουργήσετε πιστοποιητικο διακομιστή, εκτος αν επιθυμειτε την αυτοματη καταχωρηση πληροφοριων χρήστη, οπως ονοματα χρήστη, μεσω SSL.

Σχετικά θέματα

Ορισμος πιστοποιησης Windows
Εγκατάσταση Internet Information Services (IIS) και Υπηρεσιων Πιστοποιητικου
Δημιουργια του πιστοποιητικου διακομιστή
ΠροηγούμενοΕπόμενο