拒絕委派預設認證

這個原則設定適用於使用 Cred SSP 元件的應用程式 (例如: 遠端桌面連線)。

如果您啟用這個原則設定,您可以指定使用者預設認證不可以委派到哪些伺服器 (預設認證是您第一次登入 Windows 時所使用的認證)。

如果停用或 (依預設) 未設定這個原則設定,這個原則設定不會指定任何伺服器。

注意: [拒絕委派預設認證] 原則設定可設定成一個或多個服務主體名稱 (SPN)。SPN 代表不可將使用者認證委派到的目標伺服器。指定 SPN 時允許使用單一萬用字元。

例如:
TERMSRV/host.humanresources.fabrikam.com - 在 host.humanresources.fabrikam.com 電腦上執行的遠端桌面工作階段主機
TERMSRV/* - 在所有電腦上執行的遠端桌面工作階段主機。
TERMSRV/*.humanresources.fabrikam.com - 在 .humanresources.fabrikam.com 所有電腦上執行的遠端桌面工作階段主機

這個原則設定可以和 [允許委派預設認證] 原則設定一起搭配使用,用以定義特定伺服器的例外狀況,否則會在 [允許委派預設認證] 伺服器清單允許使用萬用字元。

支援的作業系統: 至少需要 Windows Vista

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
Value NameDenyDefaultCredentials
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

新增伺服器到清單:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation\DenyDefaultCredentials
Value Name{number}
Value TypeREG_SZ
Default Value
使用以上的輸入串連 OS 預設值
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
Value NameConcatenateDefaults_DenyDefault
Value TypeREG_DWORD
Default Value1
True Value1
False Value0

credssp.admx

系統管理範本 (電腦)

系統管理範本 (使用者)