Condividi tramite


Provider di servizi di configurazione dei criteri - ADMX_Kerberos

Suggerimento

Questo provider di servizi di configurazione contiene criteri supportati da ADMX che richiedono un formato SyncML speciale per l'abilitazione o la disabilitazione. È necessario specificare il tipo di dati in SyncML come <Format>chr</Format>. Per informazioni dettagliate, vedere Informazioni sui criteri supportati da ADMX.

Il payload di SyncML deve essere codificato in XML; per questa codifica XML, è possibile usare un'ampia gamma di codificatori online. Per evitare la codifica del payload, è possibile usare CDATA se MDM lo supporta. Per altre informazioni, vedere Sezioni di CDATA.

AlwaysSendCompoundId

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/AlwaysSendCompoundId

Questa impostazione di criterio controlla se un dispositivo invia sempre una richiesta di autenticazione composta quando il dominio della risorsa richiede un'identità composta.

Nota

Affinché un controller di dominio richieda l'autenticazione composta, i criteri "Supporto KDC per attestazioni, autenticazione composta e blindatura Kerberos" e "Richiedi autenticazione composta" devono essere configurati e abilitati nel dominio dell'account risorsa.

  • Se si abilita questa impostazione di criterio e il dominio della risorsa richiede l'autenticazione composta, i dispositivi che supportano l'autenticazione composta inviano sempre una richiesta di autenticazione composta.

  • Se si disabilita o non si configura questa impostazione di criterio e il dominio della risorsa richiede l'autenticazione composta, i dispositivi invieranno prima una richiesta di autenticazione non composta e quindi una richiesta di autenticazione composta quando il servizio richiede l'autenticazione composta.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome AlwaysSendCompoundId
Nome descrittivo Inviare sempre prima l'autenticazione composta
Posizione Configurazione computer
Percorso Kerberos di sistema >
Nome della chiave del Registro di sistema Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nome del valore del registro AlwaysSendCompoundId
Nome file ADMX Kerberos.admx

DevicePKInitEnabled

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/DevicePKInitEnabled

Il supporto per l'autenticazione del dispositivo tramite il certificato richiederà la connettività a un controller di dominio nel dominio dell'account del dispositivo che supporta l'autenticazione del certificato per gli account computer.

Questa impostazione di criterio consente di impostare il supporto per Kerberos per tentare l'autenticazione usando il certificato per il dispositivo nel dominio.

  • Se si abilita questa impostazione di criterio, le credenziali dei dispositivi verranno selezionate in base alle opzioni seguenti:

Automatico: il dispositivo tenterà di eseguire l'autenticazione usando il relativo certificato. Se il controller di dominio non supporta l'autenticazione dell'account computer usando i certificati, verrà tentata l'autenticazione con password.

Forza: il dispositivo eseguirà sempre l'autenticazione usando il relativo certificato. Se non è possibile trovare un controller di dominio che supporta l'autenticazione dell'account computer usando i certificati, l'autenticazione avrà esito negativo.

  • Se si disabilita questa impostazione di criterio, i certificati non verranno mai usati.

  • Se non si configura questa impostazione di criterio, verrà usato Automatico.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome DevicePKInitEnabled
Nome descrittivo Supportare l'autenticazione del dispositivo usando il certificato
Posizione Configurazione computer
Percorso Kerberos di sistema >
Nome della chiave del Registro di sistema Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nome del valore del registro DevicePKInitEnabled
Nome file ADMX Kerberos.admx

HostToRealm

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/HostToRealm

Questa impostazione di criterio consente di specificare quali nomi host DNS e quali suffissi DNS vengono mappati a un'area di autenticazione Kerberos.

  • Se si abilita questa impostazione di criterio, è possibile visualizzare e modificare l'elenco di nomi host DNS e suffissi DNS mappati a un'area di autenticazione Kerberos come definito da Criteri di gruppo. Per visualizzare l'elenco dei mapping, abilitare l'impostazione dei criteri e quindi fare clic sul pulsante Mostra. Per aggiungere un mapping, abilitare l'impostazione dei criteri, prendere nota della sintassi e quindi fare clic su Mostra. Nella finestra di dialogo Mostra contenuto nella colonna Nome valore digitare un nome dell'area di autenticazione. Nella colonna Valore digitare l'elenco di nomi host DNS e suffissi DNS usando il formato di sintassi appropriato. Per rimuovere un mapping dall'elenco, fare clic sulla voce di mapping da rimuovere e quindi premere IL TASTO CANC. Per modificare un mapping, rimuovere la voce corrente dall'elenco e aggiungerne una nuova con parametri diversi.

  • Se si disabilita questa impostazione di criterio, l'elenco dei mapping tra nome host e area di autenticazione Kerberos definito da Criteri di gruppo viene eliminato.

  • Se non si configura questa impostazione di criterio, il sistema usa i mapping tra nome host e area di autenticazione Kerberos definiti nel Registro di sistema locale, se presenti.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome HostToRealm
Nome descrittivo Definire i mapping tra nome host e area di autenticazione Kerberos
Posizione Configurazione computer
Percorso Kerberos di sistema >
Nome della chiave del Registro di sistema Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
Nome del valore del registro domain_realm_Enabled
Nome file ADMX Kerberos.admx

KdcProxyDisableServerRevocationCheck

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyDisableServerRevocationCheck

Questa impostazione di criterio consente di disabilitare il controllo delle revoche per il certificato SSL del server proxy KDC di destinazione.

  • Se si abilita questa impostazione di criterio, il controllo delle revoche per il certificato SSL del server proxy KDC viene ignorato dal client Kerberos. Questa impostazione di criterio deve essere usata solo per la risoluzione dei problemi relativi alle connessioni proxy KDC.

Warning

Quando il controllo di revoca viene ignorato, il server rappresentato dal certificato non è garantito valido.

  • Se si disabilita o non si configura questa impostazione di criterio, il client Kerberos applica il controllo di revoca per il certificato SSL. La connessione al server proxy KDC non viene stabilita se il controllo di revoca ha esito negativo.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome KdcProxyDisableServerRevocationCheck
Nome descrittivo Disabilitare il controllo delle revoche per il certificato SSL dei server proxy KDC
Posizione Configurazione computer
Percorso Kerberos di sistema >
Nome della chiave del Registro di sistema Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nome del valore del registro NoRevocationCheck
Nome file ADMX Kerberos.admx

KdcProxyServer

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyServer

Questa impostazione di criterio configura il mapping del client Kerberos ai server proxy KDC per i domini in base ai nomi dei suffissi DNS.

  • Se si abilita questa impostazione di criterio, il client Kerberos userà il server proxy KDC per un dominio quando non è possibile individuare un controller di dominio in base ai mapping configurati. Per eseguire il mapping di un server proxy KDC a un dominio, abilitare l'impostazione dei criteri, fare clic su Mostra e quindi eseguire il mapping dei nomi del server proxy KDC al nome DNS del dominio usando la sintassi descritta nel riquadro delle opzioni. Nella finestra di dialogo Mostra contenuto nella colonna Nome valore digitare un nome di suffisso DNS. Nella colonna Valore digitare l'elenco dei server proxy usando il formato di sintassi appropriato. Per visualizzare l'elenco dei mapping, abilitare l'impostazione dei criteri e quindi fare clic sul pulsante Mostra. Per rimuovere un mapping dall'elenco, fare clic sulla voce di mapping da rimuovere e quindi premere IL TASTO CANC. Per modificare un mapping, rimuovere la voce corrente dall'elenco e aggiungerne una nuova con parametri diversi.

  • Se si disabilita o non si configura questa impostazione di criterio, il client Kerberos non dispone delle impostazioni dei server proxy KDC definite da Criteri di gruppo.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome KdcProxyServer
Nome descrittivo Specificare i server proxy KDC per i client Kerberos
Posizione Configurazione computer
Percorso Kerberos di sistema >
Nome della chiave del Registro di sistema Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
Nome del valore del registro KdcProxyServer_Enabled
Nome file ADMX Kerberos.admx

MitRealms

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/MitRealms

Questa impostazione di criterio configura il client Kerberos in modo che possa eseguire l'autenticazione con aree di autenticazione Kerberos V5 interoperabili, come definito da questa impostazione di criterio.

  • Se si abilita questa impostazione di criterio, è possibile visualizzare e modificare l'elenco delle aree di autenticazione Kerberos V5 interoperabili e le relative impostazioni. Per visualizzare l'elenco delle aree di autenticazione Kerberos V5 interoperabili, abilitare l'impostazione dei criteri e quindi fare clic sul pulsante Mostra. Per aggiungere un'area di autenticazione Kerberos V5 interoperabile, abilitare l'impostazione dei criteri, prendere nota della sintassi e quindi fare clic su Mostra. Nella finestra di dialogo Mostra contenuto nella colonna Nome valore digitare il nome dell'area di autenticazione Kerberos V5 interoperabile. Nella colonna Valore digitare i flag dell'area di autenticazione e i nomi host dei KDC host usando il formato di sintassi appropriato. Per rimuovere dall'elenco una voce valore o nome valore interoperabile dell'area di autenticazione Kerberos V5, fare clic sulla voce e quindi premere IL TASTO CANC. Per modificare un mapping, rimuovere la voce corrente dall'elenco e aggiungerne una nuova con parametri diversi.

  • Se si disabilita questa impostazione di criterio, le impostazioni dell'area di autenticazione Kerberos V5 interoperabili definite da Criteri di gruppo vengono eliminate.

  • Se non si configura questa impostazione di criterio, il sistema usa le impostazioni dell'area di autenticazione Kerberos V5 interoperabili definite nel Registro di sistema locale, se esistenti.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome MitRealms
Nome descrittivo Definire le impostazioni dell'area di autenticazione Kerberos V5 interoperabili
Posizione Configurazione computer
Percorso Kerberos di sistema >
Nome della chiave del Registro di sistema Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
Nome del valore del registro MitRealms_Enabled
Nome file ADMX Kerberos.admx

ServerAcceptsCompound

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/ServerAcceptsCompound

Questa impostazione di criterio controlla la configurazione dell'account Active Directory del dispositivo per l'autenticazione composta.

Il supporto per fornire l'autenticazione composta usata per il controllo di accesso richiederà un numero sufficiente di controller di dominio nei domini dell'account risorsa per supportare le richieste. L'amministratore di dominio deve configurare il criterio "Support Dynamic Access Control and Kerberos armoring" (Supporto del controllo dinamico degli accessi e della blindatura Kerberos) in tutti i controller di dominio per supportare questo criterio.

  • Se si abilita questa impostazione di criterio, l'account Active Directory del dispositivo verrà configurato per l'autenticazione composta con le opzioni seguenti:

Mai: l'autenticazione composta non viene mai fornita per questo account computer.

Automatico: l'autenticazione composta viene fornita per questo account computer quando una o più applicazioni sono configurate per il controllo dinamico degli accessi.

Sempre: l'autenticazione composta viene sempre fornita per questo account computer.

  • Se si disabilita questa impostazione di criterio, non verrà mai usato.

  • Se non si configura questa impostazione di criterio, verrà usato Automatico.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome ServerAcceptsCompound
Nome descrittivo Supporto dell'autenticazione composta
Posizione Configurazione computer
Percorso Kerberos di sistema >
Nome della chiave del Registro di sistema Software\Policies\Microsoft\Netlogon\Parameters
Nome del valore del registro CompoundIdDisabled
Nome file ADMX Kerberos.admx

StrictTarget

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/StrictTarget

Questa impostazione di criterio consente di configurare questo server in modo che Kerberos possa decrittografare un ticket che contiene il nome SPN generato dal sistema. Quando un'applicazione tenta di effettuare una chiamata di procedura remota (RPC) a questo server con un valore NULL per il nome dell'entità servizio (SPN), i computer che eseguono Windows 7 o versioni successive tentano di usare Kerberos generando un nome SPN.

  • Se si abilita questa impostazione di criterio, solo i servizi in esecuzione come LocalSystem o NetworkService possono accettare queste connessioni. I servizi in esecuzione come identità diverse da LocalSystem o NetworkService potrebbero non riuscire a eseguire l'autenticazione.

  • Se si disabilita o non si configura questa impostazione di criterio, a qualsiasi servizio è consentito accettare connessioni in ingresso usando questo spn generato dal sistema.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome StrictTarget
Nome descrittivo Richiedi corrispondenza SPN di destinazione rigorosa nelle chiamate di routine remote
Posizione Configurazione computer
Percorso Kerberos di sistema >
Nome della chiave del Registro di sistema Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nome del valore del registro StrictTargetContext
Nome file ADMX Kerberos.admx

Provider del servizio di configurazione dei criteri