Wanneer deelnemende apps in de modus Beperkt beheer of Externe Credential Guard worden uitgevoerd, worden door deze apps geen aangemelde of opgegeven referenties beschikbaar gesteld aan externe hosts. De modus Beperkt beheer beperkt de toegang tot bronnen die zich op andere servers of netwerken dan de externe host bevinden, omdat de referenties niet worden gedelegeerd. Met Externe Credential Guard wordt de toegang tot bronnen niet beperkt, omdat alle aanvragen worden teruggeleid naar het clientapparaat.
Deelnemende apps:
Extern-bureaubladclient
Als u deze beleidsinstelling inschakelt, worden de volgende opties ondersteund:
Delegeren van referenties beperken: deelnemende toepassingen moeten de modus Beperkt beheer of Externe Credential Guard gebruiken om verbinding te maken met externe hosts.
Externe Credential Guard vereisen: deelnemende toepassingen moeten de modus Externe Credential Guard gebruiken om verbinding te maken met externe hosts.
Beperkt beheer vereisen: deelnemende toepassingen moeten de modus Beperkt beheer gebruiken om verbinding te maken met externe hosts.
Als u deze beleidsinstelling uitschakelt of niet configureert, worden de modi Beperkt beheer en Externe Credential Guard niet afgedwongen en kunnen deelnemende apps referenties naar externe apparaten delegeren.
Opmerking: als u het delegeren van de meeste referenties wilt uitschakelen, kan het voldoende zijn om het delegeren te weigeren in CredSSP (Credential Security Support Provider) door de instellingen van beheersjablonen (te vinden onder Computerconfiguratie\Beheersjablonen\Systeem\Delegeren van referenties) aan te passen.
Opmerking: als dit beleid wordt ingeschakeld in Windows 8.1 en Windows Server 2012 R2, wordt de modus Beperkt beheer afgedwongen, ongeacht de modus die u kiest. Deze versies bieden geen ondersteuning voor Externe Credential Guard.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Value Name | RestrictedRemoteAdministration |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Value Name | RestrictedRemoteAdministrationType |
Value Type | REG_DWORD |
Value | 3 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Value Name | RestrictedRemoteAdministrationType |
Value Type | REG_DWORD |
Value | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Value Name | RestrictedRemoteAdministrationType |
Value Type | REG_DWORD |
Value | 1 |