KDC 支援宣告、複合驗證以及 Kerberos 保護

這個原則設定可以讓您設定網域控制站,以使用 Kerberos 驗證來支援宣告、動態存取控制的複合驗證以及 Kerberos 保護。

如果您啟用這個原則設定,可感知支援宣告、動態存取控制的複合驗證以及 Kerberos 保護的用戶端電腦,將會針對 Kerberos 驗證訊息使用此功能。這個原則應套用至所有網域控制站,以確保網域中都一致套用了此原則。

如果您停用或未設定這個原則設定,網域控制站不會支援宣告、複合驗證或保護。

如果您設定 [不支援] 選項,網域控制站不會支援宣告、複合驗證或保護,這是執行 Windows Server 2008 R2 或之前作業系統的網域控制站預設行為。

注意: 為了讓這個 KDC 原則的下列選項能夠生效,支援的系統上必須啟用 [Kerberos 用戶端支援宣告、複合驗證以及 Kerberos 保護] Kerberos 群組原則。如果未啟用 Kerberos 原則設定,Kerberos 驗證訊息將不會使用這些功能。

如果您設定 [支援],則網域控制站會支援宣告、複合驗證以及 Kerberos 保護。網域控制站會向 Kerberos 用戶端電腦公告,網域具備宣告、動態存取控制的複合驗證以及 Kerberos 保護功能。

網域功能層級需求
對於 [永遠提供宣告] 和 [未受保護的驗證要求失敗] 選項,當網域功能層級設為 Windows Server 2008 R2 或之前的版本,則網域控制站的行為會如同選取 [支援] 選項一樣。

網域功能層級設為 Windows Server 2012 時,則網域控制站會向 Kerberos 用戶端電腦公告,網域具備宣告、動態存取控制的複合驗證以及 Kerberos 保護功能,以及:
- 如果您設定 [永遠提供宣告] 選項,則一律傳回帳戶的宣告,並支援 RFC 行為,以公告彈性驗證安全通道 (FAST)。
- 如果您設定 [未受保護的驗證要求失敗] 選項,則會拒絕未受保護的 Kerberos 訊息。

警告: 設定 [未受保護的驗證要求失敗] 選項時,不支援 Kerberos 保護的用戶端電腦對網域控制站的驗證將會失敗。

若要確保這個功能有效,請部署數量足夠且可感知支援宣告、動態存取控制的複合驗證以及 Kerberos 保護的網域控制站,來處理驗證要求。如果支援這個原則的網域控制站數量不足,每當需要動態存取控制或 Kerberos 保護 (也就是啟用 [支援] 選項) 時,都會導致驗證失敗。

這個原則設定啟用之後,會影響網域控制站的效能:
- 必要的安全 Kerberos 網域功能探索會導致額外的訊息交換。
- 宣告和動態存取控制的複合驗證會增加訊息中資料的大小和複雜度,而需要更長的處理時間,並產生更大的 Kerberos 服務票證大小。
- Kerberos 保護會將 Kerberos 訊息完全加密,並簽署 Kerberos 錯誤,這樣會導致處理時間增加,但是不會變更服務票證大小。

支援的作業系統: 至少需要 Windows Server 2012、Windows 8 或 Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Value NameEnableCbacAndArmor
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

宣告、動態存取控制的複合驗證以及 Kerberos 保護選項:


  1. 不支援
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value0
  2. 支援
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value1
  3. 永遠提供宣告
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value2
  4. 未受保護的驗證要求失敗
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value3


kdc.admx

系統管理範本 (電腦)

系統管理範本 (使用者)