既定の資格情報の委任を拒否する

このポリシー設定は、Cred SSP コンポーネントを使用しているアプリケーション (例: リモート デスクトップ接続) に適用されます。

このポリシー設定を有効にした場合、ユーザーの既定の資格情報をどのサーバーに委任できないかを指定できます (既定の資格情報は、Windows へ最初にログオンする際に使用する資格情報です)。

このポリシー設定を無効にした場合、または構成しなかった場合 (既定)、このポリシー設定でどのサーバーも指定されません。

注: "既定の資格情報の委任を拒否する" ポリシー設定は、1 つ以上のサービス プリンシパル名 (SPN) に設定できます。SPN は、ユーザー資格情報を委任できない対象サーバーを表します。SPN を指定する際、単一のワイルドカード文字を使用できます。

例:
TERMSRV/host.humanresources.fabrikam.com host.humanresources.fabrikam.com コンピューターで動作しているリモート デスクトップ セッション ホスト
TERMSRV/* すべてのコンピューターで動作しているリモート デスクトップ セッション ホスト。
TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 内のすべてのコンピューターで動作しているリモート デスクトップ セッション ホスト

このポリシー設定は、"既定の資格情報の委任を許可する" ポリシー設定と組み合わせて使用できます。こうすることにより、"既定の資格情報の委任を許可する" サーバー一覧でワイルドカード文字を使用した場合に許可される特定のサーバーに対し、例外を定義できます。

サポートされるバージョン: Windows Vista 以降

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
Value NameDenyDefaultCredentials
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

サーバーを一覧に追加:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation\DenyDefaultCredentials
Value Name{number}
Value TypeREG_SZ
Default Value
OS の既定値と上記の入力値を連結する
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
Value NameConcatenateDefaults_DenyDefault
Value TypeREG_DWORD
Default Value1
True Value1
False Value0

credssp.admx

管理用テンプレート (コンピューター)

管理用テンプレート (ユーザー)