Tämä käytäntöasetus koskee sovelluksia, jotka käyttävät Cred SSP -osaa (esimerkiksi päätepalvelin).
Tätä käytäntöä käytetään, kun palvelimen todennus tehtiin luotettavan X509-varmenteen tai Kerberos-todennuksen avulla.
Jos otat tämän käytäntöasetuksen käyttöön, voit määrittää palvelimet, joille käyttäjän uudet tunnistetiedot voidaan delegoida (uudet tunnistetiedot ovat ne, joita pyydetään sovellusta suoritettaessa).
Jos et määritä tätä käytäntöasetusta (oletusarvon mukaan), oikean molemminpuolisen todennuksen jälkeen uusien tunnistetietojen delegointi on sallittua päätepalvelimelle, joka toimii missä tahansa tietokoneessa (TERMSRV/*).
Jos poistat asetuksen käytöstä tai et määritä sitä, uusien tunnistetietojen delegointia ei sallita millekään tietokoneelle.
Huomautus: Salli uusien tunnistetietojen delegointi -asetus voidaan määrittää yhdelle tai usealle palvelun päänimelle (SPN). Palvelun päänimi edustaa kohdepalvelinta, jolle käyttäjän tunnistetiedot voi delegoida. Palvelun päänimen määrityksessä voidaan käyttää yhtä yleismerkkiä.
Esimerkkejä:
TERMSRV/host.humanresources.fabrikam.com
tietokoneessa host.humanresources.fabrikam.com toimiva päätepalvelin
TERMSRV/* - kaikissa tietokoneissa toimiva päätepalvelin.
TERMSRV/*.humanresources.fabrikam.com - kaikissa kohteessa .humanresources.fabrikam.com olevissa tietokoneissa toimiva päätepalvelin
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Value Name | AllowFreshCredentials |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentials |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Value Name | ConcatenateDefaults_AllowFresh |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |