拒绝分配保存的凭据

此策略设置适用于使用 Cred SSP 组件的应用程序(例如远程桌面连接)。

如果启用此策略设置,则可以指定不可向其分配用户的保存的凭据的服务器(保存的凭据是通过使用 Windows 凭据管理器来进行选择以保存/记忆的凭据)。

如果禁用或未配置(默认情况下)此策略设置,则此策略设置不会指定任何服务器。

注意: 可以将"拒绝分配保存的凭据"策略设置设置为一个或多个服务主体名称(SPN)。SPN 表示不可向其分配用户凭据的目标服务器。指定 SPN 时允许使用单个通配符。

例如:
TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机
TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。
TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机

此策略设置可与"允许分配保存的凭据"策略设置配合使用,以便为在"允许分配保存的凭据"服务器列表中使用通配符时例外允许的特定服务器定义例外。

支持的平台: Windows Vista 及以上版本

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
Value NameDenySavedCredentials
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

将服务器添加到列表:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation\DenySavedCredentials
Value Name{number}
Value TypeREG_SZ
Default Value
将 OS 默认值与上述输入连接起来
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
Value NameConcatenateDefaults_DenySaved
Value TypeREG_DWORD
Default Value1
True Value1
False Value0

credssp.admx

管理模板(计算机)

管理模板(用户)