Tämä käytäntöasetus koskee sovelluksia, jotka käyttävät Cred SSP -osaa (esimerkiksi päätepalvelin).
Tätä käytäntöä käytetään, kun palvelimen todennus tehtiin NTLM:n avulla.
Jos otat tämän käytäntöasetuksen käyttöön, voit määrittää palvelimet, joille käyttäjän uudet tunnistetiedot voidaan delegoida (uudet tunnistetiedot ovat ne, joita pyydetään sovellusta suoritettaessa).
Jos et määritä tätä käytäntöasetusta (oletusarvon mukaan), oikean molemminpuolisen todennuksen jälkeen uusien tunnistetietojen delegointi on sallittua päätepalvelimelle, joka toimii missä tahansa tietokoneessa (TERMSRV/*).
Jos poistat tämän käytäntöasetuksen käytöstä tai et määritä sitä, uusien tunnistetietojen delegointia ei sallita millekään tietokoneelle.
Huomautus: Salli uudet tunnistetiedot vain NTLM-palvelintodennuksen kanssa -asetus voidaan määrittää yhdelle tai usealle palvelun päänimelle (SPN). Palvelun päänimi edustaa kohdepalvelinta, jolle käyttäjän tunnistetiedot voi delegoida. Palvelun päänimen määrityksessä voidaan käyttää yhtä yleismerkkiä.
Esimerkkejä:
TERMSRV/host.humanresources.fabrikam.com - tietokoneessa host.humanresources.fabrikam.com toimiva päätepalvelin
TERMSRV/* - kaikissa tietokoneissa toimiva päätepalvelin.
TERMSRV/*.humanresources.fabrikam.com - kaikissa kohteessa humanresources.fabrikam.com olevissa tietokoneissa toimiva päätepalvelin
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Value Name | AllowFreshCredentialsWhenNTLMOnly |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Value Name | ConcatenateDefaults_AllowFreshNTLMOnly |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |