KDC-ondersteuning voor claims, samengestelde authenticatie en Kerberos-beveiliging

Met deze beleidsinstelling kunt u een domeincontroller zo configureren dat claims en samengestelde authenticatie voor dynamisch toegangsbeheer en Kerberos-beveiliging met behulp van Kerberos-authenticatie worden ondersteund.

Als u deze beleidsinstelling inschakelt, maken de clientcomputers die claims en samengestelde verificatie voor dynamische toegangsregeling ondersteunen en geschikt zijn voor Kerberos-beveiliging, gebruik van de Kerberos-verificatieberichten. Dit beleid dient toegepast te worden op alle domein-controllers om te zorgen voor consistente toepassing van dit beleid in het domein.

Als u deze beleidsinstelling uitschakelt of niet configureert, zal de domeincontroller geen claims, samengestelde verificatie of beveiliging niet ondersteunen.

Als u de optie "Niet ondersteund" configureert, ondersteund de domeincontroller geen claims, samengestelde verificatie of beveiliging, hetgeen de standaard werking is voor domeincontrollers die Windows Server 2008 R2 of eerdere bedrijfssystemen draaien..

Opmerking: de volgende opties van dit KDC-beleid zijn pas van kracht nadat het Kerberos-groepsbeleid 'Kerberos-clientondersteuning voor claims, samengestelde authenticatie en Kerberos-beveiliging' is ingeschakeld op ondersteunde systemen. Als de Kerberos-beleidsinstelling niet is ingeschakeld, worden deze onderdelen niet gebruikt in Kerberos-authenticatieberichten.

Als u Ondersteund configureert, worden claims, samengestelde authenticatie en Kerberos-beveiliging ondersteund op de domeincontroller. Vanaf de domeincontroller wordt aan Kerberos-clientcomputers gemeld dat in het domein claims en samengestelde authenticatie voor dynamisch toegangsbeheer en Kerberos-beveiliging kunnen worden verwerkt.

Functionele domeinniveau-eisen
Wanneer het functionele domeinniveau is ingesteld op Windows Server 2008 R2 of eerder, werken de domeincontrollers voor de opties "Altijd claims aanleveren" en "Onbeveiligd verificatieverzoek mislukt" alsof de optie "Ondersteund"is ingeschakeld.

Wanneer het functionele domeinniveau is ingesteld op Windows Server 2012, meldt de domeincontroller aan de Kerberos-clientcomputers dat het domein in staat is om claims en samengestelde verificatie voor dynamische toegangsregeling en Kerberos-beveiliging te verwerken en:
- indien u de optie "Altijd claims aanleveren" instelt, worden altijd claims voor accounts teruggestuurd en wordt de RFC-werking voor het melden van de flexibele verificatie en secure tunneling (FAST) ondersteund.
- indien u de optie "Onbeveiligd verificatieverzoek mislukt" instelt, worden onbeveiligde Kerberos-berichten geweigerd.

Waarschuwing wanneer de optie "Onbeveiligd verificatieverzoek mislukt" is ingesteld, zal de verificatie van de clientcomputers, die de Kerberos-beveiliging niet ondersteunen, bij de domeincontrollers mislukken.

Om de effectiviteit van deze functie te kunnen garanderen moeten voldoende domeincontrollers worden geïmplementeerd, die claims en samengestelde verificatie voor dynamische toegangsregeling ondersteunen en geschikt zijn voor Kerberos-beveiliging om de verificatieverzoeken te kunnen verwerken. Een onvoldoende aantal domeincontrollers die dit beleid ondersteunen, zal resulteren in mislukte verificaties wanneer dynamische toegangsregeling of Kerberos-beveiliging is vereist (hetgeen van toepassing is wanneer de optie "Ondersteund" is ingeschakeld).

De prestaties van de domeincontroller worden beïnvloed wanneer deze beleidsinstelling is ingeschakeld:
- Wanneer beveiligde Kerberos-domeinen moeten worden opgespoord heeft dit een extra berichtenuitwisseling tot gevolg.
- Claims en samengestelde verificatie voor dynamische toegangsregeling vergroot de hoeveelheid en complexiteit van de data in een bericht, hetgeen resulteert in meer verwerkingstijd en grotere Kerberos-serviceticketafmetingen.
-beveiliging voorziet in het volledig versleutelen van Kerberos-berichten en ondertekenen van Kerberos-fouten, hetgeen resulteert in een langere verwerkingstijd, maar de grootte van het serviceticket niet veranderd.

Ondersteund op: Minimaal Windows Server 2012, Windows 8 of Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Value NameEnableCbacAndArmor
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Claims, samengestelde verificatie voor dynamische toegangsregeling en Kerberos-beveiligingsopties.


  1. Niet ondersteund
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value0
  2. Ondersteund
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value1
  3. Altijd claims opgeven
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value2
  4. Onbewapende aanvragen voor authenticatie doen mislukken
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value3


kdc.admx

Beheersjablonen (computers)

Beheersjablonen (gebruikers)