登录拦截限制
CA ControlMinder 子身份验证方法仅支持在 Windows 上的登录拦截。
cminder12901cn
CA ControlMinder 子身份验证方法仅支持在 Windows 上的登录拦截。
您无法通过内核设置登录拦截。 因此,您应考虑以下情况:
- 由于子身份验证组件在域控制器 (DC) 级别运行,它靠操作系统来决定对用户的登录事件执行身份验证(并触发 CA ControlMinder 子身份验证模块)的 DC;在 Windows 域环境中,需要在每个 DC 上安装 CA ControlMinder。
- 在 Windows 域环境中工作时,CA ControlMinder 登录策略(TERMINAL 规则)需要位于 DC 上,但并不一定需要在目标服务器上。例如,如果希望保护或审核文件服务器上由域用户生成的登录事件,而该服务器属于 Windows 域,但不是 DC,则 CA ControlMinder 登录策略需要在 DC 而不是目标文件服务器上定义。 这是因为当域用户访问共享文件目录时,登录授权会出现在 DC 而不是文件服务器上。
- 存在多个 DC 时,可能会在其中一个 DC 上处理 CA ControlMinder 登录授权。 因此,建议您将所有 DC 之间的 CA ControlMinder 登录策略同步。您可以通过策略模型机制(其中所有 DC 都是 PMDB 的订户),或使用高级策略管理将所有 DC 添加到主机组并部署公用策略来实现此目的。
- 部分与登录事件对应的用户属性在事件授权期间的运行时得到更新。 这些属性可能不同步,原因是登录授权仅在其中一个 DC 上发生。 这些属性是“Gracelogins”、“上次访问日期”和“上次访问时间”。这就是说,例如,很有可能不同 DC 之间的用户属性“上次访问时间”值不同,因为 CA ControlMinder 子身份验证由其中一个 DC 而不是所有 DC 触发。
- 要强制执行本地用户(即,非域用户)登录事件,需要将 CA ControlMinder 安装在本地用户需要访问的本地计算机上。 这是因为本地计算机被用作域计算机(域为本地计算机)。
- 像在之前的 CA ControlMinder 版本中一样,远程桌面协议 (RDP) / 终端服务登录事件在目标服务器上强制实施。 但是,对于 RDP 登录事件,应在目标服务器上定义 CA ControlMinder 登录策略。