Υποστήριξη KDC για ισχυρισμούς, σύνθετο έλεγχο ταυτότητας και προστασία Kerberos

Αυτή η ρύθμιση πολιτικής σάς επιτρέπει να ρυθμίζετε τις παραμέτρους ενός ελεγκτή τομέα, ώστε να υποστηρίζει ισχυρισμούς, σύνθετο έλεγχο ταυτότητας για δυναμικό έλεγχο πρόσβασης και προστασία Kerberos με χρήση ελέγχου ταυτότητας Kerberos.

Αν ενεργοποιήσετε αυτήν τη ρύθμιση πολιτικής, οι υπολογιστές-πελάτες που υποστηρίζουν ισχυρισμούς και σύνθετο έλεγχο ταυτότητας για δυναμικό έλεγχο πρόσβασης και έχουν επίγνωση της προστασίας Kerberos θα χρησιμοποιούν αυτήν τη δυνατότητα για μηνύματα ελέγχου ταυτότητας Kerberos. Αυτή η πολιτική θα πρέπει να εφαρμόζεται σε όλους τους ελεγκτές τομέα, για να διασφαλιστεί συνεπής εφαρμογή αυτής της πολιτικής στον τομέα.

Αν απενεργοποιήσετε αυτήν τη ρύθμιση πολιτικής ή δεν ρυθμίσετε τις παραμέτρους της, ο ελεγκτής τομέα δεν υποστηρίζει ισχυρισμούς, σύνθετο έλεγχο ταυτότητας ή προστασία.

Αν ρυθμίσετε τις παραμέτρους τις επιλογής "Δεν υποστηρίζεται", ο ελεγκτής τομέα δεν υποστηρίζει ισχυρισμούς, σύνθετο έλεγχο ταυτότητας ή προστασία, συμπεριφορά η οποία αποτελεί την προεπιλογή για ελεγκτές τομέα που εκτελούν Windows Server 2008 R2 ή προηγούμενα λειτουργικά συστήματα.

Σημείωση: Για να έχουν αποτέλεσμα οι παρακάτω επιλογές αυτής της πολιτικής KDC, πρέπει να είναι ενεργοποιημένη η ομάδα πολιτικής Kerberos "Υποστήριξη προγράμματος-πελάτη Kerberos για ισχυρισμούς, σύνθετο έλεγχο ταυτότητας και προστασία Kerberos" στα υποστηριζόμενα συστήματα. Εάν η ρύθμιση πολιτικής Kerberos δεν είναι ενεργοποιημένη, τα μηνύματα ελέγχου ταυτότητας του Kerberos δεν θα χρησιμοποιούν αυτές τις δυνατότητες.

Αν ρυθμίσετε την παράμετρο "Υποστηρίζεται", ο ελεγκτής τομέα υποστηρίζει ισχυρισμούς, σύνθετο έλεγχο ταυτότητας και προστασία Kerberos. Ο ελεγκτής τομέα κοινοποιεί στους υπολογιστές-πελάτες Kerberos ότι ο τομέας έχει δυνατότητα ισχυρισμών, σύνθετου ελέγχου ταυτότητας για δυναμικό έλεγχο πρόσβασης και προστασίας Kerberos.

Απαιτήσεις λειτουργικού επιπέδου τομέα
Για τις επιλογές "Να παρέχονται πάντα ισχυρισμοί" και "Αποτυχία αιτήσεων ελέγχου ταυτότητας χωρίς προστασία", όταν το λειτουργικό επίπεδο τομέα έχει οριστεί σε Windows Server 2008 R2 ή προηγούμενη έκδοση, τότε οι ελεγκτές τομέα συμπεριφέρονται σαν να ήταν ενεργοποιημένη η επιλογή "Υποστηρίζεται".

Όταν το λειτουργικό επίπεδο τομέα έχει οριστεί σε Windows Server 2012, τότε ο ελεγκτής τομέα κοινοποιεί στους υπολογιστές-πελάτες Kerberos ότι ο τομέας έχει δυνατότητα ισχυρισμών, σύνθετου ελέγχου ταυτότητας για δυναμικό έλεγχο πρόσβασης και προστασίας Kerberos και:
- Αν ορίσετε την επιλογή "Να παρέχονται πάντα ισχυρισμοί", επιστρέφει πάντα ισχυρισμούς για λογαριασμούς και υποστηρίζει τη συμπεριφορά RFC για την κοινοποίηση της ασφαλούς διοχέτευσης ευέλικτου ελέγχου ταυτότητας (FAST).
Αν ορίσετε την επιλογή "Αποτυχία αιτήσεων ελέγχου ταυτότητας χωρίς προστασία", απορρίπτει τα μηνύματα Kerberos χωρίς προστασία.

Προειδοποίηση: Όταν ορίζετε την επιλογή "Αποτυχία αιτήσεων ελέγχου ταυτότητας χωρίς προστασία", ο έλεγχος ταυτότητας των υπολογιστών-πελατών που δεν υποστηρίζουν προστασία Kerberos θα αποτυγχάνει στον ελεγκτή τομέα.

Για να διασφαλίσετε ότι αυτή η δυνατότητα είναι ενεργή, αναπτύξτε αρκετούς ελεγκτές τομέα που υποστηρίζουν ισχυρισμούς και σύνθετο έλεγχο ταυτότητας για δυναμικό έλεγχο πρόσβασης και έχουν επίγνωση της προστασίας Kerberos για το χειρισμό των αιτήσεων ελέγχου ταυτότητας. Ο μη επαρκής αριθμός ελεγκτών τομέα που υποστηρίζουν αυτήν τη ρύθμιση πολιτικής έχει ως αποτέλεσμα αποτυχίες ελέγχου ταυτότητας όποτε απαιτείται δυναμικός έλεγχος πρόσβασης ή προστασία Kerberos (δηλαδή, είναι ενεργοποιημένη η επιλογή "Υποστηρίζεται").

Επιπτώσεις στις επιδόσεις των ελεγκτών τομέα όταν είναι ενεργοποιημένη αυτή η ρύθμιση πολιτικής:
- Απαιτείται ασφαλής εντοπισμός δυνατοτήτων τομέα Kerberos, ο οποίος έχει ως αποτέλεσμα πρόσθετες ανταλλαγές μηνυμάτων.
- Οι ισχυρισμοί και ο σύνθετος έλεγχος ταυτότητας για το δυναμικό έλεγχο πρόσβασης αυξάνουν το μέγεθος και την πολυπλοκότητα των δεδομένων στο μήνυμα, γεγονός που έχει ως αποτέλεσμα περισσότερο χρόνο επεξεργασίας και μεγαλύτερο μέγεθος δελτίου υπηρεσίας Kerberos.
- Η προστασία Kerberos κρυπτογραφεί πλήρως τα μηνύματα Kerberos και υπογράφει τα σφάλματα Kerberos, γεγονός το οποίο έχει ως αποτέλεσμα αυξημένο χρόνο επεξεργασίας, αλλά δεν αλλάζει το μέγεθος του δελτίου υπηρεσίας.

Υποστηρίζεται σε: Τουλάχιστον Windows Server 2012, Windows 8 ή Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Value NameEnableCbacAndArmor
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Ισχυρισμοί, σύνθετος έλεγχος ταυτότητας για δυναμικό έλεγχο πρόσβασης και επιλογές προστασίας Kerberos:


  1. Δεν υποστηρίζεται
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value0
  2. Υποστηρίζεται
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value1
  3. Να παρέχονται πάντα ισχυρισμοί
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value2
  4. Αποτυχία αιτήσεων ελέγχου ταυτότητας χωρίς προστασία
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value3


kdc.admx

Πρότυπα διαχείρισης (Υπολογιστές)

Πρότυπα διαχείρισης (Χρήστες)