Ограничить делегирование учетных данных удаленным серверам

При работе в режиме ограниченного администрирования или удаленного Credential Guard, участвующие приложения не предоставляют используемые или предоставленные учетные данные удаленному узлу. Режим ограниченного администрирования ограничивает доступ к ресурсам, расположенным на других серверах или в сетях от удаленного узла, так как учетные данные не делегируются. Удаленный Credential Guard не ограничивает доступ к ресурсам, поскольку он перенаправляет все запросы обратно на клиентское устройство.

Участвующие приложения:
Клиент удаленного рабочего стола

Если этот параметр политики включен, поддерживаются следующие параметры:
 
Ограничить делегирование учетных данных: участвующие приложения должны использовать ограниченное администрирование или удаленный Credential Guard для подключения к удаленным узлам.
 
Требуется удаленный Credential Guard: участвующие приложения должны использовать удаленный Credential Guard для подключения к удаленным узлам.
 
Требуется ограниченное администрирование: участвующие приложения должны использовать ограниченное администрирование для подключения к удаленным узлам.

Если этот параметр политики отключен или не настроен, режимы ограниченного администрирования и удаленного Credential Guard не применяются, а участвующие приложения могут делегировать учетные данные удаленным устройствам.

Примечание. Для отключения большинства видов делегирования учетных данных может быть достаточно запретить делегирование в поставщике службы безопасности учетных данных (CredSSP), изменив параметры административного шаблона (раздел "Конфигурация компьютера\Административные шаблоны\Система\Делегирование учетных данных").

Обратите внимание! В Windows 8.1 и Windows Server 2012 R2, если включить эту политику, будет применен режим ограниченного администрирования, независимо от выбранного режима. Эти версии не поддерживают использование удаленного Credential Guard.

Поддерживается: Не ниже Windows Server 2012 R2, Windows 8.1 или Windows RT 8.1

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
Value NameRestrictedRemoteAdministration
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Использовать следующий ограниченный режим:


  1. Ограничить делегирование учетных данных
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
    Value NameRestrictedRemoteAdministrationType
    Value TypeREG_DWORD
    Value3
  2. Требуется удаленный Credential Guard
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
    Value NameRestrictedRemoteAdministrationType
    Value TypeREG_DWORD
    Value2
  3. Требуется ограниченное администрирование
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
    Value NameRestrictedRemoteAdministrationType
    Value TypeREG_DWORD
    Value1


credssp.admx

Административные шаблоны (компьютеры)

Административные шаблоны (пользователи)