Lors d'une exécution en mode d'administration restreinte ou Credential Guard à distance, les applications participantes n'exposent pas les informations d'identification fournies ou utilisées pour la connexion à un hôte distant. Le mode d'administration restreinte limite l'accès aux ressources situées sur d'autres serveurs ou réseaux vis-à-vis de l'hôte distant car les informations d'identification ne sont pas déléguées. Credential Guard à distance ne limite pas l'accès aux ressources car il redirige de nouveau toutes les demandes vers l'appareil client.
Applications participantes :
Client Bureau à distance
Si vous activez ce paramètre de stratégie, les options suivantes sont prises en charge :
Limiter la délégation d'informations d'identification : les applications participantes doivent utiliser le mode d'administration restreinte ou Credential Guard à distance pour se connecter aux hôtes distants.
Requérir Credential Guard à distance : les applications participantes doivent utiliser Credential Guard à distance pour se connecter aux hôtes distants
Requérir une administration restreinte : les applications participantes doivent utiliser le mode d'administration restreinte pour se connecter aux hôtes distants.
Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le mode d'administration restreinte et Credential Guard à distance ne sont pas appliqués, et les applications participantes peuvent déléguer les informations d'identification aux appareils distants.
Remarque : pour désactiver la délégation de la plupart des informations d'identification, il peut être suffisant de refuser la délégation dans le protocole CredSSP (Credential Security Support Provider) en modifiant les paramètres des modèles d'administration (situés dans Configuration ordinateur\Modèles d'administration\Système\Délégation d'informations d'identification).
Remarque : sur Windows 8.1 et Windows Server 2012 R2, l'activation de cette stratégie applique le mode d'administration restreinte, quel que soit le mode choisi. Ces versions ne prennent pas en charge Credential Guard à distance.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Value Name | RestrictedRemoteAdministration |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Value Name | RestrictedRemoteAdministrationType |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Value Name | RestrictedRemoteAdministrationType |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Value Name | RestrictedRemoteAdministrationType |
Value Type | REG_DWORD |
Value | 1 |