Fournisseur de services de configuration de stratégie - ADMX_kdc
Astuce
Ce csp contient des stratégies ADMX qui nécessitent un format SyncML spécial pour activer ou désactiver. Vous devez spécifier le type de données dans syncML en tant que <Format>chr</Format>
. Pour plus d’informations, consultez Présentation des stratégies adossées à ADMX.
La charge utile de SyncML doit être encodée en XML ; pour cet encodage XML, vous pouvez utiliser un large éventail d’encodeurs en ligne. Pour éviter d’encoder la charge utile, vous pouvez utiliser CDATA si votre GPM la prend en charge. Pour plus d’informations, consultez Sections CDATA.
CbacAndArmor
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/CbacAndArmor
Ce paramètre de stratégie vous permet de configurer un contrôleur de domaine pour prendre en charge les revendications et l’authentification composée pour le contrôle d’accès dynamique et le blindage Kerberos à l’aide de l’authentification Kerberos.
Si vous activez ce paramètre de stratégie, les ordinateurs clients qui prennent en charge les revendications et l’authentification composée pour le contrôle d’accès dynamique et qui prennent en charge l’armure Kerberos utilisent cette fonctionnalité pour les messages d’authentification Kerberos. Cette stratégie doit être appliquée à tous les contrôleurs de domaine pour garantir une application cohérente de cette stratégie dans le domaine.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le contrôleur de domaine ne prend pas en charge les revendications, l’authentification composée ou le blindage.
Si vous configurez l’option « Non pris en charge », le contrôleur de domaine ne prend pas en charge les revendications, l’authentification composée ou le blindage, ce qui est le comportement par défaut pour les contrôleurs de domaine exécutant Windows Server 2008 R2 ou des systèmes d’exploitation antérieurs.
Remarque
Pour que les options suivantes de cette stratégie KDC soient efficaces, la stratégie de groupe Kerberos « Prise en charge du client Kerberos pour les revendications, l’authentification composée et le blindage Kerberos » doit être activée sur les systèmes pris en charge. Si le paramètre de stratégie Kerberos n’est pas activé, les messages d’authentification Kerberos n’utilisent pas ces fonctionnalités.
Si vous configurez « Pris en charge », le contrôleur de domaine prend en charge les revendications, l’authentification composée et le blindage Kerberos. Le contrôleur de domaine annonce aux ordinateurs clients Kerberos que le domaine est capable de revendications et d’authentification composée pour le contrôle d’accès dynamique et le blindage Kerberos.
Exigences au niveau fonctionnel du domaine.
Pour les options « Toujours fournir des revendications » et « Échec des demandes d’authentification sans authentification », lorsque le niveau fonctionnel du domaine est défini sur Windows Server 2008 R2 ou une version antérieure, les contrôleurs de domaine se comportent comme si l’option « Pris en charge » était sélectionnée.
Lorsque le niveau fonctionnel du domaine est défini sur Windows Server 2012, le contrôleur de domaine annonce aux ordinateurs clients Kerberos que le domaine est capable de revendications et d’authentification composée pour le contrôle d’accès dynamique et le blindage Kerberos, et :
Si vous définissez l’option « Toujours fournir des revendications », retourne toujours des revendications pour les comptes et prend en charge le comportement RFC pour la publicité du tunneling sécurisé d’authentification flexible (FAST).
Si vous définissez l’option « Échec des demandes d’authentification non spécifiées », rejette les messages Kerberos non attachés.
Warning
Lorsque l’option « Échec des demandes d’authentification sans authentification » est définie, les ordinateurs clients qui ne prennent pas en charge le blindage Kerberos ne parviennent pas à s’authentifier auprès du contrôleur de domaine.
Pour garantir l’efficacité de cette fonctionnalité, déployez suffisamment de contrôleurs de domaine qui prennent en charge les revendications et l’authentification composée pour le contrôle d’accès dynamique et qui prennent en charge l’armure Kerberos pour gérer les demandes d’authentification. Un nombre insuffisant de contrôleurs de domaine prenant en charge cette stratégie entraîne des échecs d’authentification chaque fois que le contrôle d’accès dynamique ou le blindage Kerberos est requis (autrement dit, l’option « Pris en charge » est activée).
Impact sur les performances du contrôleur de domaine lorsque ce paramètre de stratégie est activé :
La découverte des fonctionnalités de domaine Kerberos sécurisées est requise, ce qui entraîne des échanges de messages supplémentaires.
Les revendications et l’authentification composée pour le contrôle d’accès dynamique augmentent la taille et la complexité des données dans le message, ce qui entraîne plus de temps de traitement et une plus grande taille de ticket de service Kerberos.
Le blindage Kerberos chiffre entièrement les messages Kerberos et signe les erreurs Kerberos, ce qui entraîne une augmentation du temps de traitement, mais ne modifie pas la taille du ticket de service.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | CbacAndArmor |
Nom convivial | Prise en charge des KDC pour les revendications, l’authentification composée et le blindage Kerberos |
Localisation | Configuration ordinateur |
Chemin d'accès | KDC système > |
Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Nom de la valeur de Registre | EnableCbacAndArmor |
Nom du fichier ADMX | kdc.admx |
emitlili
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/emitlili
Ce paramètre de stratégie contrôle si le contrôleur de domaine fournit des informations sur les connexions précédentes aux ordinateurs clients.
- Si vous activez ce paramètre de stratégie, le contrôleur de domaine fournit le message d’informations sur les connexions précédentes.
Pour que l’ouverture de session Windows tire parti de cette fonctionnalité, le paramètre de stratégie « Afficher les informations sur les connexions précédentes pendant l’ouverture de session utilisateur » situé dans le nœud Options d’ouverture de session Windows sous Composants Windows doit également être activé.
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le contrôleur de domaine ne fournit pas d’informations sur les ouvertures de session précédentes, sauf si le paramètre de stratégie « Afficher les informations sur les ouvertures de session précédentes lors de l’ouverture de session de l’utilisateur » est activé.
Remarque
Les informations sur les connexions précédentes sont fournies uniquement si le niveau fonctionnel du domaine est Windows Server 2008. Dans les domaines dont le niveau fonctionnel de domaine est Windows Server 2003, Windows 2000 natif ou Windows 2000 mixte, les contrôleurs de domaine ne peuvent pas fournir d’informations sur les connexions précédentes, et l’activation de ce paramètre de stratégie n’affecte rien.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | emitlili |
Nom convivial | Fournir des informations sur les connexions précédentes aux ordinateurs clients |
Localisation | Configuration ordinateur |
Chemin d'accès | KDC système > |
Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Nom de la valeur de Registre | EmitLILI |
Nom du fichier ADMX | kdc.admx |
ForestSearch
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/ForestSearch
Ce paramètre de stratégie définit la liste des forêts d’approbation que le Centre de distribution de clés (KDC) recherche lors de la tentative de résolution des noms de principal de service en deux parties.
Si vous activez ce paramètre de stratégie, le KDC effectue une recherche dans les forêts de cette liste s’il n’est pas en mesure de résoudre un SPN en deux parties dans la forêt locale. La recherche de forêt est effectuée à l’aide d’un catalogue global ou d’indicateurs de suffixe de nom. Si une correspondance est trouvée, le KDC retourne un ticket de référence au client pour le domaine approprié.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le KDC ne recherche pas dans les forêts répertoriées pour résoudre le SPN. Si le KDC ne parvient pas à résoudre le SPN parce que le nom est introuvable, l’authentification NTLM peut être utilisée.
Pour garantir un comportement cohérent, ce paramètre de stratégie doit être pris en charge et défini de manière identique sur tous les contrôleurs de domaine du domaine.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | ForestSearch |
Nom convivial | Utiliser l’ordre de recherche de forêt |
Localisation | Configuration ordinateur |
Chemin d'accès | KDC système > |
Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Nom de la valeur de Registre | UseForestSearch |
Nom du fichier ADMX | kdc.admx |
PKINITFreshness
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/PKINITFreshness
La prise en charge de l’extension PKInit Freshness nécessite le niveau fonctionnel de domaine (DFL) Windows Server 2016. Si le domaine du contrôleur de domaine ne se trouve pas dans Windows Server 2016 DFL ou version ultérieure, cette stratégie ne sera pas appliquée.
Ce paramètre de stratégie vous permet de configurer un contrôleur de domaine (DC) pour prendre en charge l’extension PKInit Freshness.
- Si vous activez ce paramètre de stratégie, les options suivantes sont prises en charge :
Pris en charge : l’extension PKInit Freshness est prise en charge sur demande. Les clients Kerberos qui s’authentifient correctement avec l’extension PKInit Freshness obtiennent le NOUVEAU SID d’identité de clé publique.
Obligatoire : l’extension PKInit Freshness est requise pour une authentification réussie. Les clients Kerberos qui ne prennent pas en charge l’extension PKInit Freshness échouent toujours lors de l’utilisation des informations d’identification de clé publique.
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le contrôleur de domaine n’offre jamais l’extension PKInit Freshness et n’accepte pas les demandes d’authentification valides sans vérifier l’actualisation. Les utilisateurs ne recevront jamais le NOUVEAU SID d’identité de clé publique.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | PKINITFreshness |
Nom convivial | Prise en charge de KDC pour l’extension PKInit Freshness |
Localisation | Configuration ordinateur |
Chemin d'accès | KDC système > |
Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Nom du fichier ADMX | kdc.admx |
RequestCompoundId
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/RequestCompoundId
Ce paramètre de stratégie vous permet de configurer un contrôleur de domaine pour demander une authentification composée.
Remarque
Pour qu’un contrôleur de domaine demande une authentification composée, la stratégie « Prise en charge du KDC pour les revendications, l’authentification composée et le blindage Kerberos » doit être configurée et activée.
Si vous activez ce paramètre de stratégie, les contrôleurs de domaine demandent une authentification composée. Le ticket de service retourné contient l’authentification composée uniquement lorsque le compte est configuré explicitement. Cette stratégie doit être appliquée à tous les contrôleurs de domaine pour garantir une application cohérente de cette stratégie dans le domaine.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les contrôleurs de domaine retournent les tickets de service qui contiennent l’authentification composée chaque fois que le client envoie une demande d’authentification composée, quelle que soit la configuration du compte.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | RequestCompoundId |
Nom convivial | Demander une authentification composée |
Localisation | Configuration ordinateur |
Chemin d'accès | KDC système > |
Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Nom de la valeur de Registre | RequestCompoundId |
Nom du fichier ADMX | kdc.admx |
TicketSizeThreshold
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/TicketSizeThreshold
Ce paramètre de stratégie vous permet de configurer à quelle taille les tickets Kerberos déclencheront l’événement d’avertissement émis lors de l’authentification Kerberos. Les avertissements de taille de ticket sont enregistrés dans le journal système.
Si vous activez ce paramètre de stratégie, vous pouvez définir la limite de seuil pour le ticket Kerberos qui déclenche les événements d’avertissement. Si la valeur est trop élevée, des échecs d’authentification peuvent se produire même si les événements d’avertissement ne sont pas enregistrés. Si la valeur est trop faible, il y aura trop d’avertissements de ticket dans le journal pour être utiles à l’analyse. Cette valeur doit être définie sur la même valeur que la stratégie Kerberos « Définir la taille maximale de la mémoire tampon du jeton de contexte SSPI Kerberos » ou la plus petite MaxTokenSize utilisée dans votre environnement si vous ne configurez pas à l’aide de la stratégie de groupe.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, la valeur de seuil est définie par défaut sur 12 000 octets, ce qui correspond à la valeur par défaut de Kerberos MaxTokenSize pour Windows 7, Windows Server 2008 R2 et les versions antérieures.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | TicketSizeThreshold |
Nom convivial | Avertissement pour les tickets Kerberos volumineux |
Localisation | Configuration ordinateur |
Chemin d'accès | KDC système > |
Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Nom de la valeur de Registre | EnableTicketSizeThreshold |
Nom du fichier ADMX | kdc.admx |