Di 'questo:
Un server NPS che concede l'accesso agli utenti utilizzando i certificati client (EAP-TLS).
Quindi, ad esempio, qualcuno è riuscito a strappare la password dell'amministratore del dominio e accedono al computer utilizzando il nome utente e la password dell'amministratore del dominio. Quindi, utilizzando il loro regolare certificato utente, il server NPS garantisce loro l'accesso alla rete e, in base al loro certificato, li colloca in una normale VLAN Utenti . Quella VLAN Users sarebbe in grado di accedere al controller di dominio, altrimenti nessun utente del dominio potrebbe accedere.
Quindi ora che questa persona ha accesso alla rete, possono accedere al controller di dominio come amministratore anche se non hanno il certificato dell'amministratore. Tutto ciò di cui avevano bisogno era conoscere la password dell'amministratore. Quindi qui i certificati sono sostanzialmente inutili.
Perché non esiste un modo per accedere a un controller di dominio diverso dall'utilizzo di una password semplice? (So che ci sono le smart card, ma sono troppo complicate e costose da configurare). Mi piace perché non riesci a fare in modo che gli utenti del registro del controller di dominio utilizzino i loro certificati?