此策略设置适用于使用 Cred SSP 组件的应用程序(例如: 终端服务器)。
此策略在通过 NTLM 实现服务器身份验证时适用。
如果启用此策略设置,则可以指定可向其中分配用户新的凭据的服务器(新的凭据是执行应用程序时提示您输入的凭据)。
如果没有配置(默认情况下)此策略设置,则在正确的相互身份验证之后,允许向运行在任何计算机上的终端服务器 (TERMSRV/*) 指定新的凭据。
如果禁用此策略设置,则不允许对任何计算机分配新的凭据。
注意: 可以对一个或多个服务主体名称(SPN)设置"允许分配新的凭据用于仅 NTLM 服务器身份验证"。SPN 代表可以将用户凭据分配到的目标服务器。指定 SPN 时允许使用单个通配符。
例如:
TERMSRV/host.humanresources.fabrikam.com 表示运行在 host.humanresources.fabrikam.com 计算机上的终端服务器
TERMSRV/* 表示运行在所有计算机上的终端服务器。
TERMSRV/*.humanresources.fabrikam.com 表示运行在 humanresources.fabrikam.com 中的所有计算机上的终端服务器
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Value Name | AllowFreshCredentialsWhenNTLMOnly |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Value Name | ConcatenateDefaults_AllowFreshNTLMOnly |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |