Bu ilke ayarı, Cred SSP bileşenini kullanan uygulamalar (örneğin: Terminal Server) için geçerlidir.
Bu ilke, sunucu kimlik doğrulaması güvenilen bir X509 sertifikası veya Kerberos aracılığıyla gerçekleştirildikten sonra uygulanır.
Bu ilke ayarını etkinleştirirseniz, kullanıcıların yeni kimlik bilgilerinin yetkisinin aktarılabileceği sunucuları belirtebilirsiniz (yeni kimlik bilgileri uygulama yürütülürken sorulan bilgilerdir).
Bu ilke ayarını yapılandırmazsanız (varsayılan), düzgün şekilde karşılıklı kimlik doğrulandıktan sonra, herhangi bir makinede çalışan Terminal Server'a (TERMSRV/*) yeni kimlik bilgilerinin yetkisinin aktarılmasına izin verilir.
Bu ilke ayarını devre dışı bırakırsanız, herhangi bir makineye yeni kimlik bilgilerinin yetkisinin aktarılmasına izin verilmez.
Not: "Yeni Kimlik Bilgilerinin Yetki Aktarımına İzin Ver", bir veya daha fazla Hizmet Asıl Adına (SPN) ayarlanabilir. SPN, kullanıcı kimlik bilgilerinin yetkisinin aktarılabileceği hedef sunucuyu temsil eder. SPN belirtilirken, tek bir joker karakter kullanılmasına izin verilir.
Örneğin:
TERMSRV/anabilgisayar.insankaynaklari.fabrikam.com
anabilgisayar.insankaynaklari.fabrikam.com makinesinde çalışan terminal sunucusu
TERMSRV/* Tüm makinelerde çalışan terminal sunucusu
TERMSRV/*.insankaynaklari.fabrikam.com .insankaynaklari.fabrikam.com'daki tüm makinelerde çalışan terminal sunucusu
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Value Name | AllowFreshCredentials |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentials |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Value Name | ConcatenateDefaults_AllowFresh |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |