1

我需要做的是用户像往常一样输入他的域/用户名/密码,但还要输入一个额外的令牌,我可以在登录过程中以某种方式拦截,对其进行身份验证,并允许登录或不登录。因此,有效地,用户只有在 Windows 允许的情况下才能登录,并且此辅助身份验证过程允许它。

Windows 是否为此提供支持?一些实现这一点的机制?

4

1 回答 1

1

所有现代版本的 Windows(自 XP 起)都对双重身份验证提供不同程度的本机支持。您的要求不是很具体,但如果您只需要本地工作站身份验证(意味着域用户需要 2FA 才能登录特定 PC),那么您可以使用任何 Yubikey 产品轻松完成此操作。他们的 20 美元 USB 令牌可以使用他们的免费软件和内置的 Microsoft 控件与工作站上的用户相关联。

如果您想要 Active Directory 域级身份验证,那么您将需要像 Authlite 这样的产品来对用户进行身份验证。基本上,您通过 GPO 向所有资源推出一个简单的 .MSI,您可以集中注册用户或用户可以自己注册。密钥对存储在 Active Directory 应用程序分区中,并且所有操作都非常无缝。适用于 32 位或 64 位 Windows,一直到 Windows 8/Server 2012。目前,Authlite 的每位用户费用总计 48 美元,没有经常性费用。每个用户都需要一个 USB 或 NFC 令牌。

马克林戈

于 2013-02-14T17:15:13.007 回答