Condividi tramite


Provider di servizi di configurazione dei criteri - ADMX_kdc

Suggerimento

Questo provider di servizi di configurazione contiene criteri supportati da ADMX che richiedono un formato SyncML speciale per l'abilitazione o la disabilitazione. È necessario specificare il tipo di dati in SyncML come <Format>chr</Format>. Per informazioni dettagliate, vedere Informazioni sui criteri supportati da ADMX.

Il payload di SyncML deve essere codificato in XML; per questa codifica XML, è possibile usare un'ampia gamma di codificatori online. Per evitare la codifica del payload, è possibile usare CDATA se MDM lo supporta. Per altre informazioni, vedere Sezioni di CDATA.

CbacAndArmor

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/CbacAndArmor

Questa impostazione di criterio consente di configurare un controller di dominio per supportare attestazioni e autenticazione composta per il controllo dinamico degli accessi e la blindatura Kerberos tramite l'autenticazione Kerberos.

  • Se si abilita questa impostazione di criterio, i computer client che supportano attestazioni e autenticazione composta per il controllo dinamico degli accessi e sono compatibili con la blindatura Kerberos useranno questa funzionalità per i messaggi di autenticazione Kerberos. Questo criterio deve essere applicato a tutti i controller di dominio per garantire un'applicazione coerente di questo criterio nel dominio.

  • Se si disabilita o non si configura questa impostazione di criterio, il controller di dominio non supporta attestazioni, autenticazione composta o blindatura.

Se si configura l'opzione "Non supportato", il controller di dominio non supporta attestazioni, autenticazione composta o blindatura, ovvero il comportamento predefinito per i controller di dominio che eseguono Windows Server 2008 R2 o sistemi operativi precedenti.

Nota

Per rendere effettive le opzioni seguenti di questo criterio KDC, è necessario abilitare il criterio di gruppo Kerberos "Supporto client Kerberos per attestazioni, autenticazione composta e blindatura Kerberos" nei sistemi supportati. Se l'impostazione dei criteri Kerberos non è abilitata, i messaggi di autenticazione Kerberos non useranno queste funzionalità.

Se si configura "Supportato", il controller di dominio supporta attestazioni, autenticazione composta e blindatura Kerberos. Il controller di dominio annuncia ai computer client Kerberos che il dominio è in grado di attestazioni e autenticazione composta per il controllo dinamico degli accessi e la blindatura Kerberos.

Requisiti del livello di funzionalità del dominio.

Per le opzioni "Fornire sempre attestazioni" e "Non eseguire correttamente le richieste di autenticazione non memorizzate", quando il livello di funzionalità del dominio è impostato su Windows Server 2008 R2 o versioni precedenti, i controller di dominio si comportano come se fosse selezionata l'opzione "Supportato".

Quando il livello di funzionalità del dominio è impostato su Windows Server 2012, il controller di dominio annuncia ai computer client Kerberos che il dominio è in grado di attestazioni e autenticazione composta per il controllo dinamico degli accessi e la blindatura Kerberos e:

  • Se si imposta l'opzione "Fornisci sempre attestazioni", restituisce sempre attestazioni per gli account e supporta il comportamento RFC per la pubblicità del tunneling sicuro dell'autenticazione flessibile (FAST).

  • Se si imposta l'opzione "Fail unarmored authentication requests", rifiuta i messaggi Kerberos non memorizzati.

Warning

Quando viene impostato "Fail unarmored authentication requests", i computer client che non supportano la blindatura Kerberos non potranno eseguire l'autenticazione al controller di dominio.

Per garantire l'efficacia di questa funzionalità, distribuire un numero sufficiente di controller di dominio che supportano attestazioni e autenticazione composta per il controllo dinamico degli accessi e che siano compatibili con la blindatura Kerberos per gestire le richieste di autenticazione. Il numero insufficiente di controller di dominio che supportano questo criterio comporta errori di autenticazione ogni volta che è necessario il controllo dinamico degli accessi o la blindatura Kerberos, ovvero l'opzione "Supportata" è abilitata.

Impatto sulle prestazioni del controller di dominio quando questa impostazione di criterio è abilitata:

  • L'individuazione sicura delle funzionalità del dominio Kerberos è necessaria, con conseguente scambio di messaggi aggiuntivo.

  • Le attestazioni e l'autenticazione composta per il controllo dinamico degli accessi aumentano le dimensioni e la complessità dei dati nel messaggio, con conseguente maggiore tempo di elaborazione e maggiori dimensioni del ticket di servizio Kerberos.

  • La blindatura Kerberos crittografa completamente i messaggi Kerberos e firma gli errori Kerberos, con conseguente aumento del tempo di elaborazione, ma non modifica le dimensioni del ticket di servizio.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome CbacAndArmor
Nome descrittivo Supporto KDC per attestazioni, autenticazione composta e blindatura Kerberos
Posizione Configurazione computer
Percorso KDC di sistema >
Nome della chiave del Registro di sistema Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Nome del valore del registro EnableCbacAndArmor
Nome file ADMX kdc.admx

emitlili

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/emitlili

Questa impostazione di criterio controlla se il controller di dominio fornisce informazioni sugli accessi precedenti ai computer client.

  • Se si abilita questa impostazione di criterio, il controller di dominio fornisce il messaggio informativo sugli accessi precedenti.

Affinché l'accesso a Windows sfrutti questa funzionalità, è necessario abilitare anche l'impostazione dei criteri "Visualizza informazioni sugli accessi precedenti durante l'accesso utente" nel nodo Opzioni di accesso di Windows in Componenti di Windows.

  • Se si disabilita o non si configura questa impostazione di criterio, il controller di dominio non fornisce informazioni sugli accessi precedenti a meno che non sia abilitata l'impostazione dei criteri "Visualizza informazioni sugli accessi precedenti durante l'accesso utente".

Nota

Le informazioni sugli accessi precedenti vengono fornite solo se il livello di funzionalità del dominio è Windows Server 2008. Nei domini con un livello di funzionalità del dominio di Windows Server 2003, Windows 2000 nativo o Windows 2000 misto, i controller di dominio non possono fornire informazioni sugli accessi precedenti e l'abilitazione di questa impostazione di criterio non influisce su nulla.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome emitlili
Nome descrittivo Fornire informazioni sugli accessi precedenti ai computer client
Posizione Configurazione computer
Percorso KDC di sistema >
Nome della chiave del Registro di sistema Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Nome del valore del registro EmitLILI
Nome file ADMX kdc.admx

ForestSearch

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/ForestSearch

Questa impostazione di criterio definisce l'elenco di foreste di attendibilità ricercate dal Centro distribuzione chiavi (KDC) durante il tentativo di risolvere nomi di entità servizio (SPN) in due parti.

  • Se si abilita questa impostazione di criterio, il KDC eseguirà una ricerca nelle foreste in questo elenco se non è in grado di risolvere un nome SPN in due parti nella foresta locale. La ricerca nella foresta viene eseguita usando un catalogo globale o hint per il suffisso del nome. Se viene trovata una corrispondenza, il KDC restituirà un ticket di riferimento al client per il dominio appropriato.

  • Se si disabilita o non si configura questa impostazione di criterio, il KDC non eseguirà ricerche nelle foreste elencate per risolvere il nome SPN. Se il KDC non è in grado di risolvere il nome SPN perché il nome non viene trovato, è possibile usare l'autenticazione NTLM.

Per garantire un comportamento coerente, questa impostazione di criterio deve essere supportata e impostata in modo identico in tutti i controller di dominio nel dominio.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome ForestSearch
Nome descrittivo Usare l'ordine di ricerca della foresta
Posizione Configurazione computer
Percorso KDC di sistema >
Nome della chiave del Registro di sistema Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Nome del valore del registro UseForestSearch
Nome file ADMX kdc.admx

PKINITFreshness

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/PKINITFreshness

Il supporto per l'estensione PKInit Freshness richiede il livello di funzionalità del dominio (DFL) di Windows Server 2016. Se il dominio del controller di dominio non è in Windows Server 2016 DFL o versione successiva, questo criterio non verrà applicato.

Questa impostazione di criterio consente di configurare un controller di dominio (DC) per supportare l'estensione PKInit Freshness.

  • Se si abilita questa impostazione di criterio, sono supportate le opzioni seguenti:

Supportato: l'estensione PKInit Freshness è supportata su richiesta. I client Kerberos che eseguono correttamente l'autenticazione con l'estensione PKInit Freshness otterranno il nuovo SID di identità della chiave pubblica.

Obbligatorio: l'estensione PKInit Freshness è necessaria per l'autenticazione corretta. I client Kerberos che non supportano l'estensione PKInit Freshness avranno sempre esito negativo quando si usano le credenziali della chiave pubblica.

  • Se si disabilita o non si configura questa impostazione di criterio, il controller di dominio non offrirà mai l'estensione PKInit Freshness e accetterà richieste di autenticazione valide senza verificare la freschezza. Gli utenti non riceveranno mai il nuovo SID di identità della chiave pubblica.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome PKINITFreshness
Nome descrittivo Supporto KDC per l'estensione PKInit Freshness
Posizione Configurazione computer
Percorso KDC di sistema >
Nome della chiave del Registro di sistema Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Nome file ADMX kdc.admx

RequestCompoundId

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/RequestCompoundId

Questa impostazione di criterio consente di configurare un controller di dominio per richiedere l'autenticazione composta.

Nota

Affinché un controller di dominio richieda l'autenticazione composta, è necessario configurare e abilitare il criterio "Supporto KDC per attestazioni, autenticazione composta e blindatura Kerberos".

  • Se si abilita questa impostazione di criterio, i controller di dominio richiederanno l'autenticazione composta. Il ticket di servizio restituito conterrà l'autenticazione composta solo quando l'account è configurato in modo esplicito. Questo criterio deve essere applicato a tutti i controller di dominio per garantire un'applicazione coerente di questo criterio nel dominio.

  • Se si disabilita o non si configura questa impostazione di criterio, i controller di dominio restituiscono ticket di servizio che contengono l'autenticazione composta ogni volta che il client invia una richiesta di autenticazione composta indipendentemente dalla configurazione dell'account.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome RequestCompoundId
Nome descrittivo Richiedere l'autenticazione composta
Posizione Configurazione computer
Percorso KDC di sistema >
Nome della chiave del Registro di sistema Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Nome del valore del registro RequestCompoundId
Nome file ADMX kdc.admx

TicketSizeThreshold

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/TicketSizeThreshold

Questa impostazione di criterio consente di configurare con quali dimensioni i ticket Kerberos attiveranno l'evento di avviso emesso durante l'autenticazione Kerberos. Gli avvisi relativi alle dimensioni dei ticket vengono registrati nel log di sistema.

  • Se si abilita questa impostazione di criterio, è possibile impostare il limite di soglia per il ticket Kerberos che attiva gli eventi di avviso. Se impostato su troppo alto, potrebbero verificarsi errori di autenticazione anche se gli eventi di avviso non vengono registrati. Se impostato su troppo basso, nel log saranno presenti troppi avvisi di ticket per essere utili per l'analisi. Questo valore deve essere impostato sullo stesso valore del criterio Kerberos "Impostare la dimensione massima del buffer del token di contesto SSPI Kerberos" o il valore MaxTokenSize più piccolo usato nell'ambiente se non si esegue la configurazione tramite Criteri di gruppo.

  • Se si disabilita o non si configura questa impostazione di criterio, il valore soglia viene impostato su 12.000 byte, ovvero l'impostazione predefinita Kerberos MaxTokenSize per Windows 7, Windows Server 2008 R2 e versioni precedenti.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome TicketSizeThreshold
Nome descrittivo Avviso per ticket Kerberos di grandi dimensioni
Posizione Configurazione computer
Percorso KDC di sistema >
Nome della chiave del Registro di sistema Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Nome del valore del registro EnableTicketSizeThreshold
Nome file ADMX kdc.admx

Provider del servizio di configurazione dei criteri