A jogcímek, az összetett hitelesítés és a Kerberos-védelem KDC általi támogatása

Ezzel a házirend-beállítással úgy konfigurálhat egy adott tartományvezérlőt, hogy az támogassa a jogcímek és az összetett hitelesítés használatát a dinamikus hozzáférés-vezérlés esetében, valamint a Kerberos-védelmet a Kerberos hitelesítés használatával.

Ha engedélyezi ezt a házirend-beállítást, akkor a dinamikus hozzáférés-vezérléshez tartozó jogcímeket és összetett hitelesítést támogató, valamint a Kerberos-védelem felismerésére képes ügyfélszámítógépek ezt a szolgáltatást használják a Kerberos hitelesítési üzenetekhez. A házirend teljes tartományban való egységes érvényesítése érdekében a házirendet az összes tartományvezérlőre alkalmazni kell.

Ha letiltja vagy nem konfigurálja ezt a házirend-beállítást, akkor a tartományvezérlő nem támogatja a jogcímek, az összetett hitelesítés és a Kerberos-védelem használatát.

Ha a konfigurálás során a „Nem támogatott" értéket adja meg, a tartományvezérlő nem támogatja a jogcímek, az összetett hitelesítés és a Kerberos-védelem használatát; a Windows Server 2008 R2 vagy régebbi operációs rendszert futtató tartományvezérlők esetében ez az alapértelmezett működés.

Megjegyzés: ahhoz, hogy e KDC-házirend következő beállításai érvénybe lépjenek, „A jogcímek, az összetett hitelesítés és a Kerberos-védelem Kerberos-ügyfelek általi támogatása" Kerberos-csoportházirendet engedélyezni kell a támogatott rendszerekben. Ha a Kerberos-csoportházirend nincs engedélyezve, a Kerberos-alapú hitelesítési üzenetek nem használják ezeket a funkciókat.

Ha a „Támogatott" értéket adja meg, a tartományvezérlő támogatja a jogcímek, az összetett hitelesítés és a Kerberos-védelem használatát. A tartományvezérlő tájékoztatja a Kerberos-ügyfélszámítógépeket arról, hogy a tartomány képes a dinamikus hozzáférés-vezérléshez tartozó jogcímek és összetett hitelesítés, valamint a Kerberos-védelem használatára.

Tartományi működési szint követelmények
Amikor a „Jogcímek megadása mindig" és a „ Nem védett hitelesítési kérelmek elutasítása" beállítások esetén a tartomány működési szintjének beállítása Windows Server 2008 R2 vagy korábbi verzió, akkor a tartományvezérlők beállításai megegyeznek a „Támogatott" lehetőség kiválasztásakor érvényes beállításokkal.

Ha a tartomány működési szintje Windows Server 2012, a tartományvezérlő tájékoztatja a Kerberos-ügyfélszámítógépeket arról, hogy a tartomány képes a dinamikus hozzáférés-vezérléshez tartozó jogcímek és összetett hitelesítés, valamint a Kerberos-védelem használatára; továbbá:
- Ha a „Jogcímek megadása mindig" beállítás van megadva, a tartományvezérlő mindig ellátja a fiókokat jogcímekkel, és támogatja az RFC-működést a FAST szolgáltatással kapcsolatos tájékoztatás esetén.
- Ha „A nem védett hitelesítési kérelmek elutasítása" beállítást adja meg, akkor a tartományvezérlő visszautasítja a nem védett Kerberos-üzeneteket.

Figyelmeztetés: Ha „A nem védett hitelesítési kérések elutasítása" beállítás van megadva, akkor a Kerberos-védelmet nem támogató ügyfélszámítógépek hitelesítése a tartományvezérlő felé sikertelen lesz.

A szolgáltatás hatékonysága érdekében telepítsen a hitelesítési kérelmek kezeléséhez elegendő számú tartományvezérlőt, amelyek támogatják a dinamikus hozzáférés-vezérléshez tartozó jogcímeket és összetett hitelesítést, valamint felismerik a Kerberos-védelmet. Ha nincs elegendő, a házirendet támogató tartományvezérlő, a dinamikus hozzáférés-vezérlés vagy a Kerberos-védelem használatát igénylő hitelesítési műveletek sikertelenek lesznek (ha a „Támogatott" beállítás engedélyezve van).

A házirend-beállítás engedélyezésének hatása a tartományvezérlők teljesítményére:
- A biztonságos Kerberos tartományképesség felderítése szükséges, ami több üzenetváltást eredményez.
- A dinamikus hozzáférés-vezérléshez tartozó jogcímek és összetett hitelesítés növeli az üzenetben szereplő adatok méretét és összetettségét, így a feldolgozási idő és a Kerberos-jegy mérete nagyobb lesz.
- A Kerberos-védelem teljes mértékben titkosítja a Kerberos-üzeneteket és jelzi a Kerberos-hibákat, így a feldolgozási idő hosszabb lesz, de a szolgáltatásjegy mérete nem változik.

Támogatott a következőn: Legalább Windows Server 2012, Windows 8 vagy Windows RT

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Value NameEnableCbacAndArmor
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

A jogcímek, a dinamikus hozzáférés-vezérléshez tartozó összetett hitelesítés és a Kerberos-védelem beállításai:


  1. Nem támogatott
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value0
  2. Támogatott
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value1
  3. Jogcímek megadása mindig
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value2
  4. Nem védett hitelesítési kérelmek elutasítása
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NameCbacAndArmorLevel
    Value TypeREG_DWORD
    Value3


kdc.admx

Felügyeleti sablonok (számítógépek)

Felügyeleti sablonok (felhasználók)