這個原則設定適用於使用 Cred SSP 元件的應用程式 (例如: 終端機伺服器)。
在已透過 NTLM 完成伺服器認證時才會套用這個原則。
如果啟用這個原則設定,您可以指定使用者已儲存的認證可以委派到哪些伺服器 (已儲存的認證是您使用 Windows 認證管理員選擇儲存/記憶的認證)。
如果 (依預設) 未設定這個原則設定,在正確的相互驗證之後,如果用戶端電腦不是任何網域的成員,就會允許委派已儲存的認證到任何電腦上執行的終端機伺服器 (TERMSRV/*)。如果用戶端已加入網域,則預設為不允許委派已儲存的認證到任何電腦。
如果停用這個原則設定,則不允許委派已儲存的認證到任何伺服器。
注意:「允許在僅使用 NTLM 的伺服器驗證時委派已儲存的認證」可設定成一個或多個服務主要名稱 (SPN)。SPN 代表可將使用者認證委派到的目標伺服器。指定 SPN 時允許使用單一萬用字元。
例如
TERMSRV/host.humanresources.fabrikam.com - 在 host.humanresources.fabrikam.com 電腦上執行的終端機伺服器
TERMSRV/* - 在所有電腦上執行的終端機伺服器。
TERMSRV/*.humanresources.fabrikam.com - 在 humanresources.fabrikam.com 的所有電腦上執行的終端機伺服器
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Value Name | AllowSavedCredentialsWhenNTLMOnly |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCredentialsWhenNTLMOnly |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\Windows\CredentialsDelegation |
Value Name | ConcatenateDefaults_AllowSavedNTLMOnly |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |