Ogranicz delegowanie poświadczeń do serwerów zdalnych

W trybie administracji z ograniczeniami lub w trybie zdalnej funkcji Credential Guard uczestniczące aplikacje nie uwidaczniają użytych podczas logowania lub dostarczonych poświadczeń hostowi zdalnemu. W trybie administracji z ograniczeniami dostęp z hosta zdalnego do zasobów znajdujących się na innych serwerach lub w innych sieciach jest ograniczany, ponieważ poświadczenia nie są delegowane. Zdalna funkcja Credential Guard nie ogranicza dostępu do zasobów, ponieważ przekierowuje wszystkie żądania z powrotem na urządzenie klienckie.

Aplikacje uczestniczące:
Klient pulpitu zdalnego

Jeśli włączysz to ustawienie zasad, będą obsługiwane następujące opcje:
 
Ogranicz delegowanie poświadczeń: aplikacje uczestniczące muszą używać trybu administracji z ograniczeniami lub zdalnej funkcji Credential Guard, aby nawiązywać połączenia z hostami zdalnymi.
 
Wymagaj zdalnej funkcji Credential Guard: aplikacje uczestniczące muszą używać zdalnej funkcji Credential Guard, aby nawiązywać połączenia z hostami zdalnymi.
 
Wymagaj administracji z ograniczeniami: aplikacje uczestniczące muszą używać trybu administracji z ograniczeniami, aby nawiązywać połączenia z hostami zdalnymi.

Jeśli wyłączysz to ustawienie zasad albo go nie skonfigurujesz, używanie trybu administracji z ograniczeniami lub zdalnej funkcji Credential Guard nie będzie wymuszane, przez co aplikacje uczestniczące będą mogły delegować poświadczenia na urządzenia zdalne.

Uwaga: W celu wyłączenia delegowania większości uprawnień może być wystarczające ustawienie odmowy delegowania w ustawieniach protokołu CredSPP (Credential Security Support Provider). Można to zrobić, modyfikując ustawienia w szablonie administracyjnym (znajduje się w lokalizacji Konfiguracja komputera\Szablony administracyjne\System\Delegowanie poświadczeń).

Uwaga: Włączenie tej zasady w systemach Windows 8.1 i Windows Server 2012 R2 spowoduje wymuszenie używania trybu administracji z ograniczeniami, niezależnie od wybranego trybu. Te wersje nie obsługują zdalnej funkcji Credential Guard.

Obsługiwane na: Co najmniej system Windows Server 2012 R2, Windows 8.1 lub Windows RT 8.1

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
Value NameRestrictedRemoteAdministration
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Użyj następującego trybu ograniczania:


  1. Ogranicz delegowanie poświadczeń
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
    Value NameRestrictedRemoteAdministrationType
    Value TypeREG_DWORD
    Value3
  2. Wymagaj zdalnej funkcji Credential Guard
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
    Value NameRestrictedRemoteAdministrationType
    Value TypeREG_DWORD
    Value2
  3. Wymagaj administracji z ograniczeniami
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
    Value NameRestrictedRemoteAdministrationType
    Value TypeREG_DWORD
    Value1


credssp.admx

Szablony administracyjne (Komputery)

Szablony administracyjne (Użytkownicy)