制約付きの委任をどのように設定しますか?
質問者:Vandana Dahman |最終更新日:2020年4月3日
カテゴリ:テクノロジーとコンピューティングコンピュータネットワーク
制約付き委任の有効化
- ドメインコントローラで、管理ツールに移動します。
- ActiveDirectoryユーザーとコンピューターを選択します。
- SpotfireServerサービスアカウントを見つけます。
- アカウントのプロパティを開くには、アカウント名を右クリックして、[プロパティ]をクリックします。
- [委任]タブで、[指定したサービスのみに委任する場合は、このユーザーを信頼する]を選択します。
制約付き委任を設定するには、ドメイン管理者である必要があることに注意してください。
- Active Directoryユーザーとコンピューターで、AnalysisServicesを実行するサービスアカウントを見つけます。
- [委任]タブで、[このユーザーを指定したサービスのみに委任するために信頼する]を選択し、[Kerberosのみを使用する]を選択します。
続いて、質問は、リソースベースの制約付き委任をどのように構成するかです。リソースベースの制約付き委任を構成するには、バックエンドサービスのIDに属性を設定します。この属性は、委任された資格情報をバックエンドIDに送信できるフロントエンドサービスのIDを指定します。この属性を設定するには、PowerShellでActiveDirectoryコマンドレットを使用します。
さらに、制約付き委任はどこに構成されていますか?
リソースベースの制約付き委任は、Windows Server 2012R2およびWindowsServer 2012を実行しているドメインコントローラーでのみ構成できますが、混合モードフォレスト内で適用できます。
Kerberosの制約付き委任とは何ですか?
Kerberosの制約付き委任は、WindowsServerの機能です。この機能により、サービス管理者は、アプリケーションサービスがユーザーに代わって動作できる範囲を制限することにより、アプリケーションの信頼境界を指定して適用することができます。たとえば、ユーザーjsmithがHRアプリケーションにログインするとします。
15の関連する質問の回答が見つかりました
KCD認証とは何ですか?
Kerberos Constrained Delegation( KCD )は、Kerberos認証に対するMicrosoftの拡張機能です。 KCDを使用すると、信頼できるサービスは、パスワードを知らなくても他のユーザーのKerberosチケットを取得できます。 KCDは、信頼できるサービスを、特定のサーバー/サービスのセットへのチケットのみを取得できるように「制限」します。
Kerberosチケットとは何ですか?
Kerberosチケット。この新しい暗号化キーはセッションキーと呼ばれ、 Kerberosチケットを使用してベリファイアに配布します。 Kerberosチケットは、認証サーバーによって発行され、サーバーキーを使用して暗号化された証明書です。
制約のない委任とは何ですか?
制約のない委任
ユーザーがDCから委任が有効になっているサービスにサービスチケット(ST)を要求すると、DCはクライアントのチケット付与チケット(TGT)をコピーし、それをSTに添付します。これは、後でサービスに提示されます。 。 Active Directoryの委任とは何ですか?
Active Directory ( AD )の委任は、多くの組織のITインフラストラクチャの重要な部分です。管理を委任することにより、特権グループ(ドメイン管理者、アカウントオペレーターなど)にユーザーを追加せずに、ユーザーまたはグループに必要な権限のみを付与できます。
クレデンシャル委任とは何ですか?
委任された資格情報は、証明書の所有者がTLSで使用するために委任した短期間のキーです。彼らは成年後見制度のように機能します:あなたのサーバーは私たちのサーバーが限られた時間の間TLSを終了することを許可します。
TGT委任とは何ですか?
制約のないKerberos委任は、ユーザーが自分の資格情報をサービスに送信して、サービスがユーザーに代わってリソースにアクセスできるようにするメカニズムです。
サービスプリンシパル名とは何ですか?
サービスプリンシパル名(SPN)は、サービスインスタンスの一意の識別子です。 SPNは、サービスインスタンスをサービスログオンアカウントに関連付けるためにKerberos認証によって使用されます。これにより、クライアントがアカウント名を持っていない場合でも、クライアントアプリケーションはサービスがアカウントを認証するように要求できます。
Windows ServerのKerberosとは何ですか?
Kerberosは、ユーザーまたはホストのIDを確認するために使用される認証プロトコルです。このトピックには、 Windows Server2012およびWindows8でのKerberos認証に関する情報が含まれています。
どのように超自然を設定しますか?
SPNを追加するには、コマンドプロンプトでsetspn -s service / name hostnameコマンドを使用します。ここで、service / nameは追加するSPNであり、hostnameは更新するコンピューターオブジェクトの実際のホスト名です。
ADで[委任]タブを取得するにはどうすればよいですか?
「スタート」ボタンをクリックして、サーバーマネージャーを起動します。ウィンドウ左側のディレクトリツリーで「役割」をクリックします。 「 ActiveDirectoryユーザー」、「ユーザー」の順にクリックして、ネットワーク上のユーザーを表示します。 [ユーザー]ウィンドウでユーザー名を右クリックし、[プロパティ]をクリックします。 [プロパティ]ウィンドウの[委任]タブをクリックします。
アカウントは機密性が高く、委任できないものとは何ですか?
アカウントタブの設定の1つは、アカウントが機密であり、委任できないことを示すチェックボックスです。これにより、ネットワークサービスがユーザーからの要求を受け入れ、2番目のネットワークサービスへの新しい接続を開始するためにユーザーのIDを想定するときに発生する、委任された認証が防止されます。