KDC admite notificaciones, autenticación compuesta y protección de Kerberos

Esta configuración de directiva le permite establecer un controlador de dominio que admita notificaciones y autenticación compuesta para el control de acceso dinámico y la protección de Kerberos mediante la autenticación Kerberos.

Si habilita esta configuración de directiva, los equipos cliente que admiten notificaciones y autenticación compuesta para el control de acceso dinámico y que reconocen la protección de Kerberos usarán esta característica para los mensajes de autenticación Kerberos. Esta directiva debe aplicarse a todos los controladores de dominio para garantizar una aplicación coherente en el dominio.

Si deshabilita o no establece esta configuración de directiva, el controlador de dominio no admitirá notificaciones, autenticación compuesta ni protección.

Si configura la opción "No compatible", el controlador de dominio no admitirá notificaciones, autenticación compuesta ni protección, que es el comportamiento predeterminado de los controladores de dominio que ejecutan Server 2008 R2 o sistemas operativos anteriores.

Nota: para que las siguientes opciones de esta directiva KDC sean efectivas, la directiva de grupo Kerberos "El cliente Kerberos admite notificaciones, autenticación compuesta y protección de Kerberos" debe estar habilitada en los sistemas compatibles. Si la configuración de directiva Kerberos no está habilitada, los mensajes de autenticación Kerberos no usarán estas funciones.

Si establece la opción "Compatible", el controlador de dominio admitirá notificaciones, autenticación compuesta y protección de Kerberos. El controlador de dominio anunciará a los equipos cliente Kerberos que el dominio admite notificaciones y autenticación compuesta para el control de acceso dinámico y protección de Kerberos.

Requisitos del nivel funcional del dominio
Para las opciones "Siempre proporcionar notificaciones" y "Generar error en solicitudes de autenticación sin blindar", cuando el nivel funcional del dominio se establece en Windows Server 2008 R2 o versiones anteriores, los controladores de dominio se comportarán como si se hubiera seleccionado la opción "Compatible".

Cuando el nivel funcional del dominio se establece en Windows Server 2012, el controlador de dominio anunciará a los equipos cliente Kerberos que el dominio admite notificaciones y autenticación compuesta para el control de acceso dinámico y protección de Kerberos, y:
- Si establece la opción "Siempre proporcionar notificaciones", siempre devolverá notificaciones para las cuentas y admitirá el comportamiento RFC para anunciar el túnel seguro de autenticación flexible (FAST).
- Si establece la opción "Generar error en solicitudes de autenticación sin blindar", rechazará los mensajes Kerberos sin blindar.

Advertencia: cuando se establece "Generar error en solicitudes de autenticación sin blindar", los equipos cliente que no admiten la protección de Kerberos no se podrán autenticar con el controlador de dominio.

Para garantizar la eficacia de esta característica, implemente suficientes controladores de dominio que admitan notificaciones y autenticación compuesta para el control de acceso dinámico y que reconozcan la protección de Kerberos para que atiendan las solicitudes de autenticación. Si no hay suficientes controladores de dominio para admitir esta directiva, se producirán errores de autenticación siempre que se requiera el control de acceso dinámico o la protección de Kerberos (es decir, que la opción "Compatible" esté habilitada).

Impacto en el rendimiento del controlador de dominio cuando esta configuración de directiva está habilitada:
- Es necesaria la detección de la funcionalidad de dominio Kerberos seguro, lo que provoca intercambios de mensajes adicionales.
- Las notificaciones y la autenticación compuesta para el control de acceso dinámico aumentan el tamaño y la complejidad de los datos del mensaje, lo que provoca un tiempo de procesamiento más prolongado y un mayor tamaño de los vales de servicio Kerberos.
- La protección de Kerberos cifra completamente los mensajes Kerberos y firma los errores de Kerberos, lo que provoca un tiempo de procesamiento más prolongado, pero no cambia el tamaño de los valores de servicio.

Compatible con: Al menos Windows Server 2012, Windows 8 o Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Value NameEnableCbacAndArmor
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Opciones de notificaciones, autenticación compuesta para el control de acceso dinámico y protección de Kerberos:


  1. No compatible
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value0
  2. Compatible
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value1
  3. Siempre proporcionar notificaciones
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value2
  4. Generar error en solicitudes de autenticación sin blindar
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value3


kdc.admx

Plantillas administrativas (equipos)

Plantillas administrativas (usuarios)