允许分配新的凭据用于仅 NTLM 服务器身份验证

此策略设置适用于使用 Cred SSP 组件的应用程序(例如: 终端服务器)。

此策略在通过 NTLM 实现服务器身份验证时适用。

如果启用此策略设置,则可以指定可向其中分配用户新的凭据的服务器(新的凭据是执行应用程序时提示您输入的凭据)。

如果没有配置(默认情况下)此策略设置,则在正确的相互身份验证之后,允许向运行在任何计算机上的终端服务器 (TERMSRV/*) 指定新的凭据。

如果禁用此策略设置,则不允许对任何计算机分配新的凭据。

注意: 可以对一个或多个服务主体名称(SPN)设置"允许分配新的凭据用于仅 NTLM 服务器身份验证"。SPN 代表可以将用户凭据分配到的目标服务器。指定 SPN 时允许使用单个通配符。

例如:
TERMSRV/host.humanresources.fabrikam.com 表示运行在 host.humanresources.fabrikam.com 计算机上的终端服务器
TERMSRV/* 表示运行在所有计算机上的终端服务器。
TERMSRV/*.humanresources.fabrikam.com 表示运行在 humanresources.fabrikam.com 中的所有计算机上的终端服务器

支持的平台: Windows Vista 及以上版本

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
Value NameAllowFreshCredentialsWhenNTLMOnly
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

将服务器添加到列表:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly
Value Name{number}
Value TypeREG_SZ
Default Value
将 OS 默认值与上述输入连接起来
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
Value NameConcatenateDefaults_AllowFreshNTLMOnly
Value TypeREG_DWORD
Default Value1
True Value1
False Value0

credssp.admx

管理模板(计算机)

管理模板(用户)