Compartir a través de


CSP de directiva: Kerberos

Sugerencia

Este CSP contiene directivas respaldadas por ADMX que requieren un formato SyncML especial para habilitar o deshabilitar. Debe especificar el tipo de datos en SyncML como <Format>chr</Format>. Para obtener más información, consulte Descripción de las directivas respaldadas por ADMX.

La carga de SyncML debe estar codificada en XML; para esta codificación XML, hay una variedad de codificadores en línea que puede usar. Para evitar la codificación de la carga, puede usar CDATA si su MDM lo admite. Para obtener más información, vea Secciones de CDATA.

AllowForestSearchOrder

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Kerberos/AllowForestSearchOrder

Esta configuración de directiva define la lista de bosques de confianza que busca el cliente Kerberos al intentar resolver nombres de entidades de servicio (SPN) de dos partes.

  • Si habilita esta configuración de directiva, el cliente Kerberos busca en los bosques de esta lista si no puede resolver un SPN de dos partes. Si se encuentra una coincidencia, el cliente Kerberos solicita un vale de referencia al dominio adecuado.

  • Si deshabilita o no configura esta configuración de directiva, el cliente Kerberos no busca en los bosques enumerados para resolver el SPN. Si el cliente Kerberos no puede resolver el SPN porque no se encuentra el nombre, se podría usar la autenticación NTLM.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre Valor
Nombre ForestSearch
Nombre descriptivo Uso del orden de búsqueda del bosque
Ubicación Configuración del equipo
Ruta de acceso Kerberos del sistema >
Nombre de la clave del Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nombre del valor de registro UseForestSearch
Nombre de archivo ADMX Kerberos.admx

CloudKerberosTicketRetrievalEnabled

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled

Esta configuración de directiva permite recuperar el vale de concesión de vales de Kerberos Microsoft Entra durante el inicio de sesión.

  • Si deshabilita o no establece esta configuración de directiva, el vale de concesión de vales de Kerberos Microsoft Entra no se recupera durante el inicio de sesión.

  • Si habilita esta configuración de directiva, se recupera el vale de concesión de vales de Kerberos Microsoft Entra durante el inicio de sesión.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Deshabilitado.
1 Habilitado.

Asignación de directivas de grupo:

Nombre Valor
Nombre CloudKerberosTicketRetrievalEnabled
Nombre descriptivo Permitir recuperar el vale de concesión de vales kerberos de Azure AD durante el inicio de sesión
Ubicación Configuración del equipo
Ruta de acceso Kerberos del sistema >
Nombre de la clave del Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nombre del valor de registro CloudKerberosTicketRetrievalEnabled
Nombre de archivo ADMX Kerberos.admx

KerberosClientSupportsClaimsCompoundArmor

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Kerberos/KerberosClientSupportsClaimsCompoundArmor

Esta configuración de directiva controla si un dispositivo solicitará notificaciones y autenticación compuesta para la Access Control dinámica y la protección de Kerberos mediante la autenticación Kerberos con dominios que admiten estas características.

  • Si habilita esta configuración de directiva, los equipos cliente solicitarán notificaciones, proporcionarán la información necesaria para crear la autenticación compuesta y proteger los mensajes Kerberos en dominios que admiten notificaciones y autenticación compuesta para la Access Control dinámica y la protección de Kerberos.

  • Si deshabilita o no configura esta configuración de directiva, los dispositivos cliente no solicitarán notificaciones y proporcionarán la información necesaria para crear la autenticación compuesta y proteger los mensajes kerberos. Los servicios hospedados en el dispositivo no podrán recuperar notificaciones para clientes mediante la transición del protocolo Kerberos.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre Valor
Nombre EnableCbacAndArmor
Nombre descriptivo Compatibilidad del cliente kerberos con notificaciones, autenticación compuesta y protección de Kerberos
Ubicación Configuración del equipo
Ruta de acceso Kerberos del sistema >
Nombre de la clave del Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nombre del valor de registro EnableCbacAndArmor
Nombre de archivo ADMX Kerberos.admx

PKInitHashAlgorithmConfiguration

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 22H2 [10.0.22621] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration

Esta configuración de directiva controla los algoritmos hash o suma de comprobación utilizados por el cliente Kerberos al realizar la autenticación de certificados.

  • Si habilita esta directiva, podrá configurar uno de los cuatro estados para cada algoritmo:

  • "Default" establece el algoritmo en el estado recomendado.

  • "Compatible" permite el uso del algoritmo. Habilitar algoritmos que se han deshabilitado de forma predeterminada puede reducir la seguridad.

  • "Auditado" permite el uso del algoritmo e informa de un evento (id. 206) cada vez que se usa. Este estado está pensado para comprobar que el algoritmo no se está usando y se puede deshabilitar de forma segura.

  • "No compatible" deshabilita el uso del algoritmo. Este estado está pensado para algoritmos que se consideran inseguros.

  • Si deshabilita o no configura esta directiva, cada algoritmo asumirá el estado "Predeterminado".

Eventos generados por esta configuración: 205, 206, 207 y 208.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Deshabilitado o no configurado.
1 Habilitado.

Asignación de directivas de grupo:

Nombre Valor
Nombre PKInitHashAlgorithmConfiguration
Nombre descriptivo Configuración de algoritmos hash para el inicio de sesión de certificado
Ubicación Configuración del equipo
Ruta de acceso Kerberos del sistema >
Nombre de la clave del Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nombre del valor de registro PKInitHashAlgorithmConfigurationEnabled
Nombre de archivo ADMX Kerberos.admx

PKInitHashAlgorithmSHA1

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 22H2 [10.0.22621] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA1

Esta configuración de directiva controla la configuración del algoritmo SHA1 que usa el cliente Kerberos al realizar la autenticación de certificados. Esta directiva solo se aplica si Kerberos/PKInitHashAlgorithmConfiguration está habilitado. Puede configurar uno de los cuatro estados para este algoritmo:

  • 0- No compatible: este estado deshabilita el uso del algoritmo. Este estado está pensado para algoritmos que se consideran inseguros.
  • 1: valor predeterminado: este estado establece el algoritmo en el estado recomendado.
  • 2 - Auditado: este estado permite el uso del algoritmo e informa de un evento (id. 206) cada vez que se usa. Este estado está pensado para comprobar que el algoritmo no se está usando y se puede deshabilitar de forma segura.
  • 3- Compatible: este estado permite el uso del algoritmo. Habilitar algoritmos que se han deshabilitado de forma predeterminada puede reducir la seguridad.

Si no configura esta directiva, el algoritmo SHA1 asumirá el estado Predeterminado .

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1
Dependencia [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Tipo de dependencia: DependsOn
URI de dependencia: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Valor permitido de dependencia: [1]
Tipo de valor permitido de dependencia: Range

Valores permitidos:

Valor Descripción
0 No se admite.
1 (valor predeterminado) Predeterminado.
2 Auditado.
3 Compatible.

Asignación de directivas de grupo:

Nombre Valor
Nombre PKInitHashAlgorithmConfiguration
Nombre descriptivo Configuración de algoritmos hash para el inicio de sesión de certificado
Ubicación Configuración del equipo
Ruta de acceso Kerberos del sistema >
Nombre de la clave del Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nombre del valor de registro PKInitHashAlgorithmConfigurationEnabled
Nombre de archivo ADMX Kerberos.admx

PKInitHashAlgorithmSHA256

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 22H2 [10.0.22621] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA256

Esta configuración de directiva controla la configuración del algoritmo SHA256 que usa el cliente Kerberos al realizar la autenticación de certificados. Esta directiva solo se aplica si Kerberos/PKInitHashAlgorithmConfiguration está habilitado. Puede configurar uno de los cuatro estados para este algoritmo:

  • 0- No compatible: este estado deshabilita el uso del algoritmo. Este estado está pensado para algoritmos que se consideran inseguros.
  • 1: valor predeterminado: este estado establece el algoritmo en el estado recomendado.
  • 2 - Auditado: este estado permite el uso del algoritmo e informa de un evento (id. 206) cada vez que se usa. Este estado está pensado para comprobar que el algoritmo no se está usando y se puede deshabilitar de forma segura.
  • 3- Compatible: este estado permite el uso del algoritmo. Habilitar algoritmos que se han deshabilitado de forma predeterminada puede reducir la seguridad.

Si no configura esta directiva, el algoritmo SHA256 asumirá el estado Predeterminado .

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1
Dependencia [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Tipo de dependencia: DependsOn
URI de dependencia: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Valor permitido de dependencia: [1]
Tipo de valor permitido de dependencia: Range

Valores permitidos:

Valor Descripción
0 No se admite.
1 (valor predeterminado) Predeterminado.
2 Auditado.
3 Compatible.

Asignación de directivas de grupo:

Nombre Valor
Nombre PKInitHashAlgorithmConfiguration
Nombre descriptivo Configuración de algoritmos hash para el inicio de sesión de certificado
Ubicación Configuración del equipo
Ruta de acceso Kerberos del sistema >
Nombre de la clave del Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nombre del valor de registro PKInitHashAlgorithmConfigurationEnabled
Nombre de archivo ADMX Kerberos.admx

PKInitHashAlgorithmSHA384

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 22H2 [10.0.22621] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA384

Esta configuración de directiva controla la configuración del algoritmo SHA384 que usa el cliente Kerberos al realizar la autenticación de certificados. Esta directiva solo se aplica si Kerberos/PKInitHashAlgorithmConfiguration está habilitado. Puede configurar uno de los cuatro estados para este algoritmo:

  • 0- No compatible: este estado deshabilita el uso del algoritmo. Este estado está pensado para algoritmos que se consideran inseguros.
  • 1: valor predeterminado: este estado establece el algoritmo en el estado recomendado.
  • 2 - Auditado: este estado permite el uso del algoritmo e informa de un evento (id. 206) cada vez que se usa. Este estado está pensado para comprobar que el algoritmo no se está usando y se puede deshabilitar de forma segura.
  • 3- Compatible: este estado permite el uso del algoritmo. Habilitar algoritmos que se han deshabilitado de forma predeterminada puede reducir la seguridad.

Si no configura esta directiva, el algoritmo SHA384 asumirá el estado Predeterminado .

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1
Dependencia [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Tipo de dependencia: DependsOn
URI de dependencia: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Valor permitido de dependencia: [1]
Tipo de valor permitido de dependencia: Range

Valores permitidos:

Valor Descripción
0 No se admite.
1 (valor predeterminado) Predeterminado.
2 Auditado.
3 Compatible.

Asignación de directivas de grupo:

Nombre Valor
Nombre PKInitHashAlgorithmConfiguration
Nombre descriptivo Configuración de algoritmos hash para el inicio de sesión de certificado
Ubicación Configuración del equipo
Ruta de acceso Kerberos del sistema >
Nombre de la clave del Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nombre del valor de registro PKInitHashAlgorithmConfigurationEnabled
Nombre de archivo ADMX Kerberos.admx

PKInitHashAlgorithmSHA512

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 22H2 [10.0.22621] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA512

Esta configuración de directiva controla la configuración del algoritmo SHA512 que usa el cliente Kerberos al realizar la autenticación de certificados. Esta directiva solo se aplica si Kerberos/PKInitHashAlgorithmConfiguration está habilitado. Puede configurar uno de los cuatro estados para este algoritmo:

  • 0- No compatible: este estado deshabilita el uso del algoritmo. Este estado está pensado para algoritmos que se consideran inseguros.
  • 1: valor predeterminado: este estado establece el algoritmo en el estado recomendado.
  • 2 - Auditado: este estado permite el uso del algoritmo e informa de un evento (id. 206) cada vez que se usa. Este estado está pensado para comprobar que el algoritmo no se está usando y se puede deshabilitar de forma segura.
  • 3- Compatible: este estado permite el uso del algoritmo. Habilitar algoritmos que se han deshabilitado de forma predeterminada puede reducir la seguridad.

Si no configura esta directiva, el algoritmo SHA512 asumirá el estado Predeterminado .

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1
Dependencia [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Tipo de dependencia: DependsOn
URI de dependencia: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Valor permitido de dependencia: [1]
Tipo de valor permitido de dependencia: Range

Valores permitidos:

Valor Descripción
0 No se admite.
1 (valor predeterminado) Predeterminado.
2 Auditado.
3 Compatible.

Asignación de directivas de grupo:

Nombre Valor
Nombre PKInitHashAlgorithmConfiguration
Nombre descriptivo Configuración de algoritmos hash para el inicio de sesión de certificado
Ubicación Configuración del equipo
Ruta de acceso Kerberos del sistema >
Nombre de la clave del Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nombre del valor de registro PKInitHashAlgorithmConfigurationEnabled
Nombre de archivo ADMX Kerberos.admx

RequireKerberosArmoring

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireKerberosArmoring

Esta configuración de directiva controla si un equipo requiere que los intercambios de mensajes Kerberos estén blindados al comunicarse con un controlador de dominio.

Advertencia

Cuando un dominio no admite la protección de Kerberos al habilitar "Compatibilidad con la protección dinámica de Access Control y Kerberos", toda la autenticación de todos sus usuarios producirá un error en los equipos con esta configuración de directiva habilitada.

  • Si habilita esta configuración de directiva, los equipos cliente del dominio aplican el uso de la protección kerberos solo en los intercambios de mensajes del servicio de autenticación (AS) y del servicio de concesión de vales (TGS) con los controladores de dominio.

Nota

El directiva de grupo kerberos "Compatibilidad con clientes kerberos para notificaciones, autenticación compuesta y protección de Kerberos" también debe estar habilitado para admitir la protección de Kerberos.

  • Si deshabilita o no establece esta configuración de directiva, los equipos cliente del dominio aplicarán el uso de la protección kerberos siempre que sea posible, según sea compatible con el dominio de destino.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre Valor
Nombre ClientRequireFast
Nombre descriptivo Error en las solicitudes de autenticación cuando la protección de Kerberos no está disponible
Ubicación Configuración del equipo
Ruta de acceso Kerberos del sistema >
Nombre de la clave del Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nombre del valor de registro RequireFast
Nombre de archivo ADMX Kerberos.admx

RequireStrictKDCValidation

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireStrictKDCValidation

Esta configuración de directiva controla el comportamiento del cliente Kerberos al validar el certificado KDC para el inicio de sesión de tarjeta inteligente y certificado del sistema.

  • Si habilita esta configuración de directiva, el cliente Kerberos requiere que el certificado X.509 del KDC contenga el identificador de objeto de propósito de clave KDC en las extensiones de uso extendido de claves (EKU) y que el certificado X.509 del KDC contenga una extensión subjectAltName (SAN) dNSName que coincida con el nombre DNS del dominio. Si el equipo está unido a un dominio, el cliente Kerberos requiere que el certificado X.509 del KDC debe estar firmado por una entidad de certificación (CA) en el almacén NTAuth. Si el equipo no está unido a un dominio, el cliente Kerberos permite que el certificado de ca raíz de la tarjeta inteligente se use en la validación de ruta de acceso del certificado X.509 del KDC.

  • Si deshabilita o no configura esta configuración de directiva, el cliente Kerberos solo requiere que el certificado KDC contenga el identificador de objeto de propósito de autenticación del servidor en las extensiones EKU que se pueden emitir a cualquier servidor.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre Valor
Nombre ValidateKDC
Nombre descriptivo Requerir validación estricta de KDC
Ubicación Configuración del equipo
Ruta de acceso Kerberos del sistema >
Nombre de la clave del Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nombre del valor de registro KdcValidation
Nombre de archivo ADMX Kerberos.admx

SetMaximumContextTokenSize

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Kerberos/SetMaximumContextTokenSize

Esta configuración de directiva permite establecer el valor devuelto a las aplicaciones que solicitan el tamaño máximo del tamaño del búfer del token de contexto de SSPI.

El tamaño del búfer de token de contexto determina el tamaño máximo de los tokens de contexto SSPI que una aplicación espera y asigna. Según el procesamiento de solicitudes de autenticación y las pertenencias a grupos, el búfer podría ser menor que el tamaño real del token de contexto de SSPI.

  • Si habilita esta configuración de directiva, el cliente o servidor Kerberos usa el valor configurado o el valor máximo permitido localmente, lo que sea menor.

  • Si deshabilita o no establece esta configuración de directiva, el cliente o servidor Kerberos usa el valor configurado localmente o el valor predeterminado.

Nota

Esta configuración de directiva configura el valor del Registro MaxTokenSize existente en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters, que se agregó en Windows XP y Windows Server 2003, con un valor predeterminado de 12 000 bytes. A partir de Windows 8 el valor predeterminado es de 48 000 bytes. Debido a la codificación base64 de HTTP de tokens de contexto de autenticación, no se recomienda establecer este valor en más de 48 000 bytes.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre Valor
Nombre MaxTokenSize
Nombre descriptivo Establecimiento del tamaño máximo del búfer de token de contexto de SSPI de Kerberos
Ubicación Configuración del equipo
Ruta de acceso Kerberos del sistema >
Nombre de la clave del Registro System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Nombre del valor de registro EnableMaxTokenSize
Nombre de archivo ADMX Kerberos.admx

UPNNameHints

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/Kerberos/UPNNameHints

Los dispositivos unidos a Microsoft Entra ID en un entorno híbrido necesitan interactuar con controladores de Dominio de Active Directory, pero carecen de la capacidad integrada de encontrar un controlador de dominio que tenga un dispositivo unido a un dominio. Esto puede provocar errores cuando un dispositivo de este tipo necesita resolver un UPN de Microsoft Entra en una entidad de seguridad de Active Directory. Este parámetro agrega una lista de dominios con los que un dispositivo unido a Microsoft Entra debe intentar ponerse en contacto si, de lo contrario, no puede resolver un UPN en una entidad de seguridad.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos List (Delimitador: 0xF000)

Proveedor de servicios de configuración de directivas