允許在僅使用 NTLM 的伺服器驗證時委派已儲存的認證

這個原則設定適用於使用 Cred SSP 元件的應用程式 (例如: 遠端桌面連線)。

在已透過 NTLM 完成伺服器認證時才會套用這個原則設定。

如果您啟用這個原則設定,您可以指定使用者已儲存的認證可以委派到哪些伺服器 (已儲存的認證是您使用 Windows 認證管理員選擇儲存/記憶的認證)。

如果 (依預設) 未設定這個原則設定,在正確的相互驗證之後,如果用戶端電腦不是任何網域的成員,就會允許委派已儲存的認證到任何電腦上執行的遠端桌面工作階段主機 (TERMSRV/*)。如果用戶端已加入網域,則預設為不允許委派已儲存的認證到任何電腦。

如果您停用這個原則設定,則不允許委派已儲存的認證到任何伺服器。

注意: 允許在僅使用 NTLM 的伺服器驗證時委派已儲存的認證] 原則設定可設定成一個或多個服務主體名稱 (SPN)。SPN 代表可將使用者認證委派到的目標伺服器。指定 SPN 時允許使用單一萬用字元。

例如:
TERMSRV/host.humanresources.fabrikam.com - 在 host.humanresources.fabrikam.com 電腦上執行的遠端桌面工作階段主機
TERMSRV/* - 在所有電腦上執行的遠端桌面工作階段主機。
TERMSRV/*.humanresources.fabrikam.com - 在 humanresources.fabrikam.com 的所有電腦上執行的遠端桌面工作階段主機

支援的作業系統: 至少需要 Windows Vista

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
Value NameAllowSavedCredentialsWhenNTLMOnly
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

新增伺服器到清單:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly
Value Name{number}
Value TypeREG_SZ
Default Value
使用以上的輸入串連 OS 預設值
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
Value NameConcatenateDefaults_AllowSavedNTLMOnly
Value TypeREG_DWORD
Default Value1
True Value1
False Value0

credssp.admx

系統管理範本 (電腦)

系統管理範本 (使用者)