KDC 支持声明、复合身份验证和 Kerberos Armoring

使用此策略设置,可配置域控制器以支持用于动态访问控制的声明和复合身份验证,以及使用 Kerberos 身份验证的 Kerberos Armoring。

如果启用此策略设置,则支持用于动态访问控制的声明和复合身份验证以及 Kerberos Armor 感知的客户端计算机将使用此功能接收 Kerberos 身份验证消息。应将此策略应用于所有域控制器以确保在域中一致应用此策略。

如果禁用或不配置此策略设置,则域控制器不支持声明、复合身份验证或 Armoring。

如果配置"不支持"选项,则域控制器不支持声明、复合身份验证或 Armoring,这是运行 Windows Server 2008 R2 或更早版本的操作系统的域控制器的默认行为。

注意: 为了使此 KDC 策略的以下选项生效,必须在支持的系统上启用 Kerberos 组策略"Kerberos 客户端支持声明、复合身份验证和 Kerberos Armoring"。如果 Kerberos 策略设置未启用,Kerberos 身份验证消息不会使用这些功能。

如果配置"支持",则域控制器支持声明、复合身份验证以及 Kerberos Armoring。域控制器通知 Kerberos 客户端计算机,该域支持用于动态访问控制的声明和复合身份验证以及 Kerberos Armoring。

域功能级别要求
对于选项"始终提供声明"和"失败的非 Armoring 身份验证请求",当域功能级别设置为 Windows Server 2008 R2 或更早版本时,域控制器的行为与选择"支持"选项后的行为一致。

当域功能级别设置为 Windows Server 2012 时,域控制器通知 Kerberos 客户端计算机该域支持用于动态访问控制的声明和复合身份验证以及 Kerberos Armoring,并且:
- 如果设置"始终提供声明"选项,则始终为帐户返回声明并且支持通知灵活身份验证安全隧道(FAST)的 RFC 行为。
- 如果设置"失败的非 Armoring 身份验证请求"选项,则会拒绝非 Kerberos Armoring 消息。

警告: 如果设置"失败的非 Armoring 身份验证请求",则不支持 Kerberos Armoring 的客户端计算机将不能通过域控制器的身份验证。

若要确保该功能有效,请部署支持足够的用于动态访问控制的声明和复合身份验证以及 Kerberos Armor 感知的域控制器来处理身份验证请求。如果支持此策略的域控制器数量不足,则会导致需要动态访问控制或 Kerberos Armoring 时(即启用"支持"选项)身份验证失败。

启用此策略设置后对域控制器性能的影响:
- 若要交换其他消息,则需要安全的 Kerberos 域功能发现。
- 用于动态访问控制的声明和复合身份验证会增加消息中数据的大小和复杂度,从而导致处理时间延长并增加 Kerberos 服务票证大小。
- Kerberos Armoring 完全加密 Kerberos 消息并发出导致处理时间延长,但不更改服务票证大小的 Kerberos 错误。

支持的平台: Windows Server 2012、Windows 8 或 Windows RT 及以上版本

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Value NameEnableCbacAndArmor
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

用于动态访问控制的声明、复合身份验证以及 Kerberos Armoring 选项:


  1. 不支持
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value0
  2. 支持
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value1
  3. 始终提供声明
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value2
  4. 失败的非 Armoring 身份验证请求
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value3


kdc.admx

管理模板(计算机)

管理模板(用户)