Richtlinien-CSP – ADMX_kdc
Tipp
Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.
Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.
CbacAndArmor
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/CbacAndArmor
Mit dieser Richtlinieneinstellung können Sie einen Domänencontroller konfigurieren, um Ansprüche und Verbundauthentifizierung für dynamische Zugriffssteuerung und Kerberos-Armoring mithilfe der Kerberos-Authentifizierung zu unterstützen.
Wenn Sie diese Richtlinieneinstellung aktivieren, verwenden Clientcomputer, die Anspruchs- und Verbundauthentifizierung für die dynamische Zugriffssteuerung unterstützen und kerberos-fähig sind, dieses Feature für Kerberos-Authentifizierungsmeldungen. Diese Richtlinie sollte auf alle Domänencontroller angewendet werden, um eine konsistente Anwendung dieser Richtlinie in der Domäne sicherzustellen.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, unterstützt der Domänencontroller keine Ansprüche, verbundbasierte Authentifizierung oder Armoring.
Wenn Sie die Option "Nicht unterstützt" konfigurieren, unterstützt der Domänencontroller keine Ansprüche, Verbundauthentifizierung oder Armoring, was das Standardverhalten für Domänencontroller mit Windows Server 2008 R2 oder früheren Betriebssystemen ist.
Hinweis
Damit die folgenden Optionen dieser KDC-Richtlinie wirksam sind, muss die Kerberos-Gruppenrichtlinie "Kerberos-Clientunterstützung für Ansprüche, Verbundauthentifizierung und Kerberos-Armoring" auf unterstützten Systemen aktiviert sein. Wenn die Kerberos-Richtlinieneinstellung nicht aktiviert ist, verwenden Kerberos-Authentifizierungsmeldungen diese Features nicht.
Wenn Sie "Unterstützt" konfigurieren, unterstützt der Domänencontroller Ansprüche, Verbundauthentifizierung und Kerberos-Armoring. Der Domänencontroller kündigt Kerberos-Clientcomputern an, dass die Domäne Anspruchs- und Verbundauthentifizierung für dynamische Zugriffssteuerung und Kerberos-Armoring ermöglicht.
Anforderungen an die Domänenfunktionsebene.
Wenn die Domänenfunktionsebene auf Windows Server 2008 R2 oder früher festgelegt ist, verhalten sich Domänencontroller für die Optionen "Ansprüche immer bereitstellen" und "Nicht bewaffnete Authentifizierungsanforderungen nicht ausführen".
Wenn die Domänenfunktionsebene auf Windows Server 2012 festgelegt ist, kündigt der Domänencontroller kerberos-Clientcomputern an, dass die Domäne Ansprüche und Verbundauthentifizierung für dynamische Zugriffssteuerung und Kerberos-Armoring fähig ist, und:
Wenn Sie die Option "Immer Ansprüche bereitstellen" festlegen, gibt immer Ansprüche für Konten zurück und unterstützt das RFC-Verhalten für die Ankündigung des flexiblen sicheren Authentifizierungstunnelings (FAST).
Wenn Sie die Option "Nicht bewaffnete Authentifizierungsanforderungen nicht ausführen" festlegen, lehnt nicht bewaffnete Kerberos-Nachrichten ab.
Warnung
Wenn "Fail unarmored authentication requests" (Nicht bewaffnete Authentifizierungsanforderungen fehlschlagen) festgelegt ist, können sich Clientcomputer, die kerberos armoring nicht unterstützen, nicht beim Domänencontroller authentifizieren.
Um sicherzustellen, dass dieses Feature effektiv ist, stellen Sie genügend Domänencontroller bereit, die Anspruchs- und Verbundauthentifizierung für die dynamische Zugriffssteuerung unterstützen und kerberos-fähig sind, um die Authentifizierungsanforderungen zu verarbeiten. Eine unzureichende Anzahl von Domänencontrollern, die diese Richtlinie unterstützen, führt immer dann zu Authentifizierungsfehlern, wenn dynamische Zugriffssteuerung oder Kerberos-Armoring erforderlich ist (d. a. die Option "Unterstützt" ist aktiviert).
Auswirkungen auf die Leistung des Domänencontrollers, wenn diese Richtlinieneinstellung aktiviert ist:
Eine sichere Kerberos-Domänenfunktionsermittlung ist erforderlich, was zu zusätzlichem Nachrichtenaustausch führt.
Ansprüche und Verbundauthentifizierung für die dynamische Zugriffssteuerung erhöhen die Größe und Komplexität der Daten in der Nachricht, was zu mehr Verarbeitungszeit und einer größeren Kerberos-Dienstticketgröße führt.
Kerberos Armoring verschlüsselt Kerberos-Nachrichten vollständig und signiert Kerberos-Fehler, was zu einer längeren Verarbeitungszeit führt, aber die Größe des Diensttickets nicht ändert.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | CbacAndArmor |
| Anzeigename | KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos-Armoring |
| Position | Computerkonfiguration |
| Pfad | System > KDC |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Name des Registrierungswertes | EnableCbacAndArmor |
| ADMX-Dateiname | kdc.admx |
emitlili
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/emitlili
Diese Richtlinieneinstellung steuert, ob der Domänencontroller Informationen zu früheren Anmeldungen an Clientcomputern bereitstellt.
- Wenn Sie diese Richtlinieneinstellung aktivieren, stellt der Domänencontroller die Informationsmeldung zu vorherigen Anmeldungen bereit.
Damit Windows-Anmeldung dieses Feature nutzen kann, muss auch die Richtlinieneinstellung "Informationen zu vorherigen Anmeldungen während der Benutzeranmeldung anzeigen" im Knoten Windows-Anmeldeoptionen unter Windows-Komponenten aktiviert werden.
- Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, stellt der Domänencontroller keine Informationen zu vorherigen Anmeldungen bereit, es sei denn, die Richtlinieneinstellung "Informationen zu vorherigen Anmeldungen während der Benutzeranmeldung anzeigen" ist aktiviert.
Hinweis
Informationen zu vorherigen Anmeldungen werden nur bereitgestellt, wenn die Domänenfunktionsebene Windows Server 2008 ist. In Domänen mit einer Domänenfunktionsebene von Windows Server 2003, Windows 2000 nativen oder gemischten Windows 2000 können Domänencontroller keine Informationen zu früheren Anmeldungen bereitstellen, und das Aktivieren dieser Richtlinieneinstellung hat keine Auswirkungen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | emitlili |
| Anzeigename | Bereitstellen von Informationen zu früheren Anmeldungen bei Clientcomputern |
| Position | Computerkonfiguration |
| Pfad | System > KDC |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Name des Registrierungswertes | EmitLILI |
| ADMX-Dateiname | kdc.admx |
ForestSearch
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/ForestSearch
Diese Richtlinieneinstellung definiert die Liste der vertrauenswürdigen Gesamtstrukturen, die das Schlüsselverteilungscenter (Key Distribution Center, KDC) durchsucht, wenn versucht wird, zweiteilige Dienstprinzipalnamen (SPNs) aufzulösen.
Wenn Sie diese Richtlinieneinstellung aktivieren, durchsucht das KDC die Gesamtstrukturen in dieser Liste, wenn ein zweiteiliger SPN in der lokalen Gesamtstruktur nicht aufgelöst werden kann. Die Gesamtstruktursuche erfolgt mithilfe eines globalen Katalogs oder Namenssuffixhinweisen. Wenn eine Übereinstimmung gefunden wird, gibt der KDC ein Empfehlungsticket für die entsprechende Domäne an den Client zurück.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, durchsucht das KDC die aufgelisteten Gesamtstrukturen nicht, um den SPN aufzulösen. Wenn der KDC den SPN nicht auflösen kann, weil der Name nicht gefunden wird, kann die NTLM-Authentifizierung verwendet werden.
Um ein konsistentes Verhalten sicherzustellen, muss diese Richtlinieneinstellung auf allen Domänencontrollern in der Domäne unterstützt und identisch festgelegt werden.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | ForestSearch |
| Anzeigename | Verwenden der Gesamtstruktursuchreihenfolge |
| Position | Computerkonfiguration |
| Pfad | System > KDC |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Name des Registrierungswertes | UseForestSearch |
| ADMX-Dateiname | kdc.admx |
PKINITFreshness
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/PKINITFreshness
Für die Unterstützung der PKInit Freshness-Erweiterung ist die Windows Server 2016-Domänenfunktionsebene (DFL) erforderlich. Wenn sich die Domäne des Domänencontrollers nicht auf Windows Server 2016 DFL oder höher befindet, wird diese Richtlinie nicht angewendet.
Mit dieser Richtlinieneinstellung können Sie einen Domänencontroller (DC) für die Unterstützung der PKInit Freshness-Erweiterung konfigurieren.
- Wenn Sie diese Richtlinieneinstellung aktivieren, werden die folgenden Optionen unterstützt:
Unterstützt: Die PKInit Freshness-Erweiterung wird auf Anfrage unterstützt. Kerberos-Clients, die sich erfolgreich mit der PKInit Freshness-Erweiterung authentifizieren, erhalten die sid der identitätsfrischen öffentlichen Schlüssel.
Erforderlich: Die PKInit Freshness-Erweiterung ist für eine erfolgreiche Authentifizierung erforderlich. Kerberos-Clients, die die PKInit Freshness-Erweiterung nicht unterstützen, schlagen immer fehl, wenn Anmeldeinformationen für den öffentlichen Schlüssel verwendet werden.
- Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, bietet der Domänencontroller niemals die PKInit Freshness-Erweiterung an und akzeptiert gültige Authentifizierungsanforderungen ohne Überprüfung auf Aktualität. Benutzer erhalten niemals die neue SID für die Identität des öffentlichen Schlüssels.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | PKINITFreshness |
| Anzeigename | KDC-Unterstützung für pkInit Freshness Extension |
| Position | Computerkonfiguration |
| Pfad | System > KDC |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| ADMX-Dateiname | kdc.admx |
RequestCompoundId
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/RequestCompoundId
Mit dieser Richtlinieneinstellung können Sie einen Domänencontroller konfigurieren, um die Verbundauthentifizierung anzufordern.
Hinweis
Damit ein Domänencontroller verbundbasierte Authentifizierung anfordern kann, muss die Richtlinie "KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring" konfiguriert und aktiviert werden.
Wenn Sie diese Richtlinieneinstellung aktivieren, fordern Domänencontroller die Verbundauthentifizierung an. Das zurückgegebene Dienstticket enthält die Verbundauthentifizierung nur, wenn das Konto explizit konfiguriert ist. Diese Richtlinie sollte auf alle Domänencontroller angewendet werden, um eine konsistente Anwendung dieser Richtlinie in der Domäne sicherzustellen.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, geben Domänencontroller unabhängig von der Kontokonfiguration immer dann Diensttickets zurück, die die Verbundauthentifizierung enthalten.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | RequestCompoundId |
| Anzeigename | Anfordern der Verbundauthentifizierung |
| Position | Computerkonfiguration |
| Pfad | System > KDC |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Name des Registrierungswertes | RequestCompoundId |
| ADMX-Dateiname | kdc.admx |
TicketSizeThreshold
| Bereich | Editionen | Geeignetes Betriebssystem |
|---|---|---|
|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/TicketSizeThreshold
Mit dieser Richtlinieneinstellung können Sie konfigurieren, in welcher Größe Kerberos-Tickets das Warnungsereignis auslösen, das während der Kerberos-Authentifizierung ausgegeben wird. Die Warnungen zur Ticketgröße werden im Systemprotokoll protokolliert.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie den Schwellenwert für das Kerberos-Ticket festlegen, das die Warnungsereignisse auslöst. Wenn die Einstellung zu hoch ist, treten möglicherweise Authentifizierungsfehler auf, obwohl keine Warnungsereignisse protokolliert werden. Wenn der Wert zu niedrig festgelegt ist, gibt es zu viele Ticketwarnungen im Protokoll, um für die Analyse nützlich zu sein. Dieser Wert sollte auf denselben Wert wie die Kerberos-Richtlinie "Set maximum Kerberos SSPI context token buffer size" (Maximale Kerberos-SSPI-Kontexttokenpuffergröße festlegen) oder auf den kleinsten MaxTokenSize-Wert festgelegt werden, der in Ihrer Umgebung verwendet wird, wenn Sie die Konfiguration nicht mithilfe von Gruppenrichtlinien durchführen.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird der Schwellenwert standardmäßig auf 12.000 Byte festgelegt. Dies ist der Standardmäßige Kerberos MaxTokenSize für Windows 7, Windows Server 2008 R2 und frühere Versionen.
Beschreibungsframeworkeigenschaften:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format |
chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | TicketSizeThreshold |
| Anzeigename | Warnung für große Kerberos-Tickets |
| Position | Computerkonfiguration |
| Pfad | System > KDC |
| Registrierungsschlüsselname | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Name des Registrierungswertes | EnableTicketSizeThreshold |
| ADMX-Dateiname | kdc.admx |