Di que tienes esto:
Un servidor NPS que otorga acceso a los usuarios mediante certificados de cliente (EAP-TLS).
Entonces, por ejemplo, alguien logró arrebatar la contraseña del administrador del dominio e iniciar sesión en la computadora con el nombre de usuario y la contraseña del administrador del dominio. Luego, utilizando su certificado de usuario regular, el servidor NPS les otorga acceso a la red y, según su certificado, los coloca en una VLAN Users regular. Ese Usuarios VLAN podría acceder al controlador de dominio, de lo contrario ningún usuario del dominio podría iniciar sesión.
Entonces, ahora que esta persona tiene acceso a la red, puede iniciar sesión en el controlador de dominio como administrador aunque no tenga el certificado del administrador. Todo lo que necesitaban era saber la contraseña del administrador. Así que los certificados aquí son esencialmente inútiles.
¿Por qué no hay una manera de iniciar sesión en un controlador de dominio que no sea simplemente usando una contraseña simple? (Sé que hay tarjetas inteligentes, pero son demasiado complicadas y caras de configurar). ¿Por qué no puedes hacer que el controlador de dominio logre que los usuarios usen sus certificados?