Provider di servizi di configurazione dei criteri - Kerberos
Suggerimento
Questo provider di servizi di configurazione contiene criteri supportati da ADMX che richiedono un formato SyncML speciale per l'abilitazione o la disabilitazione. È necessario specificare il tipo di dati in SyncML come <Format>chr</Format>. Per informazioni dettagliate, vedere Informazioni sui criteri supportati da ADMX.
Il payload di SyncML deve essere codificato in XML; per questa codifica XML, è possibile usare un'ampia gamma di codificatori online. Per evitare la codifica del payload, è possibile usare CDATA se MDM lo supporta. Per altre informazioni, vedere Sezioni di CDATA.
AllowForestSearchOrder
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1703 [10.0.15063] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Kerberos/AllowForestSearchOrder
Questa impostazione di criterio definisce l'elenco di foreste di attendibilità ricercate dal client Kerberos durante il tentativo di risolvere nomi di entità servizio (SPN) in due parti.
Se si abilita questa impostazione di criterio, il client Kerberos cerca le foreste in questo elenco, se non è in grado di risolvere un nome SPN in due parti. Se viene trovata una corrispondenza, il client Kerberos richiede un ticket di riferimento al dominio appropriato.
Se si disabilita o non si configura questa impostazione di criterio, il client Kerberos non esegue ricerche nelle foreste elencate per risolvere il nome SPN. Se il client Kerberos non è in grado di risolvere il nome SPN perché il nome non viene trovato, è possibile usare l'autenticazione NTLM.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | ForestSearch |
| Nome descrittivo | Usare l'ordine di ricerca della foresta |
| Posizione | Configurazione computer |
| Percorso | Kerberos di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome del valore del registro | UseForestSearch |
| Nome file ADMX | Kerberos.admx |
CloudKerberosTicketRetrievalEnabled
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled
Questa impostazione di criterio consente di recuperare il ticket di concessione del ticket Kerberos Microsoft Entra durante l'accesso.
Se si disabilita o non si configura questa impostazione di criterio, il ticket di concessione del ticket Kerberos Microsoft Entra non viene recuperato durante l'accesso.
Se si abilita questa impostazione di criterio, il ticket di concessione del ticket Kerberos Microsoft Entra viene recuperato durante l'accesso.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disabilitato. |
| 1 | Abilitato. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | CloudKerberosTicketRetrievalEnabled |
| Nome descrittivo | Consentire il recupero del ticket di concessione del ticket Kerberos di Azure AD durante l'accesso |
| Posizione | Configurazione computer |
| Percorso | Kerberos di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome del valore del registro | CloudKerberosTicketRetrievalEnabled |
| Nome file ADMX | Kerberos.admx |
KerberosClientSupportsClaimsCompoundArmor
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1703 [10.0.15063] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Kerberos/KerberosClientSupportsClaimsCompoundArmor
Questa impostazione di criterio controlla se un dispositivo richiederà attestazioni e autenticazione composta per la blindatura Dinamica Controllo di accesso e Kerberos tramite l'autenticazione Kerberos con domini che supportano queste funzionalità.
Se si abilita questa impostazione di criterio, i computer client richiederanno attestazioni, forniranno le informazioni necessarie per creare l'autenticazione composta e blindare i messaggi Kerberos nei domini che supportano attestazioni e autenticazione composta per la blindatura Kerberos e Controllo di accesso dinamica.
Se si disabilita o non si configura questa impostazione di criterio, i dispositivi client non richiedono attestazioni, forniscono le informazioni necessarie per creare l'autenticazione composta e blindare i messaggi Kerberos. I servizi ospitati nel dispositivo non saranno in grado di recuperare le attestazioni per i client che usano la transizione del protocollo Kerberos.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | EnableCbacAndArmor |
| Nome descrittivo | Supporto client Kerberos per attestazioni, autenticazione composta e blindatura Kerberos |
| Posizione | Configurazione computer |
| Percorso | Kerberos di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome del valore del registro | EnableCbacAndArmor |
| Nome file ADMX | Kerberos.admx |
PKInitHashAlgorithmConfiguration
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 22H2 [10.0.22621] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Questa impostazione di criterio controlla gli algoritmi hash o checksum usati dal client Kerberos durante l'esecuzione dell'autenticazione del certificato.
Se si abilita questo criterio, sarà possibile configurare uno dei quattro stati per ogni algoritmo:
"Default" imposta l'algoritmo sullo stato consigliato.
"Supportato" consente l'utilizzo dell'algoritmo. L'abilitazione di algoritmi disabilitati per impostazione predefinita può ridurre la sicurezza.
"Audited" consente l'utilizzo dell'algoritmo e segnala un evento (ID 206) ogni volta che viene usato. Questo stato ha lo scopo di verificare che l'algoritmo non venga usato e possa essere disabilitato in modo sicuro.
"Non supportato" disabilita l'utilizzo dell'algoritmo. Questo stato è destinato agli algoritmi considerati non sicuri.
Se si disabilita o non si configura questo criterio, ogni algoritmo assumerà lo stato "Predefinito".
Eventi generati da questa configurazione: 205, 206, 207, 208.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disabilitato/Non configurato. |
| 1 | Abilitato. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | PKInitHashAlgorithmConfiguration |
| Nome descrittivo | Configurare gli algoritmi hash per l'accesso ai certificati |
| Posizione | Configurazione computer |
| Percorso | Kerberos di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome del valore del registro | PKInitHashAlgorithmConfigurationEnabled |
| Nome file ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA1
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 22H2 [10.0.22621] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA1
Questa impostazione di criterio controlla la configurazione dell'algoritmo SHA1 usato dal client Kerberos durante l'esecuzione dell'autenticazione del certificato. Questo criterio viene applicato solo se Kerberos/PKInitHashAlgorithmConfiguration è abilitato. È possibile configurare uno dei quattro stati per questo algoritmo:
- 0 - Non supportato: questo stato disabilita l'utilizzo dell'algoritmo. Questo stato è destinato agli algoritmi considerati non sicuri.
- 1 - Impostazione predefinita: questo stato imposta l'algoritmo sullo stato consigliato.
- 2 - Controllato: questo stato consente l'utilizzo dell'algoritmo e segnala un evento (ID 206) ogni volta che viene usato. Questo stato ha lo scopo di verificare che l'algoritmo non venga usato e possa essere disabilitato in modo sicuro.
- 3 - Supportato: questo stato consente l'utilizzo dell'algoritmo. L'abilitazione di algoritmi disabilitati per impostazione predefinita può ridurre la sicurezza.
Se non si configura questo criterio, l'algoritmo SHA1 assumerà lo stato Predefinito .
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
| Dipendenza [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Tipo di dipendenza: DependsOn URI di dipendenza: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valore consentito per le dipendenze: [1] Tipo di valore consentito per le dipendenze: Range |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Non supportato. |
| 1 (impostazione predefinita) | Predefinito. |
| 2 | Controllati. |
| 3 | Supportata. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | PKInitHashAlgorithmConfiguration |
| Nome descrittivo | Configurare gli algoritmi hash per l'accesso ai certificati |
| Posizione | Configurazione computer |
| Percorso | Kerberos di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome del valore del registro | PKInitHashAlgorithmConfigurationEnabled |
| Nome file ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA256
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 22H2 [10.0.22621] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA256
Questa impostazione di criterio controlla la configurazione dell'algoritmo SHA256 usato dal client Kerberos quando si esegue l'autenticazione del certificato. Questo criterio viene applicato solo se Kerberos/PKInitHashAlgorithmConfiguration è abilitato. È possibile configurare uno dei quattro stati per questo algoritmo:
- 0 - Non supportato: questo stato disabilita l'utilizzo dell'algoritmo. Questo stato è destinato agli algoritmi considerati non sicuri.
- 1 - Impostazione predefinita: questo stato imposta l'algoritmo sullo stato consigliato.
- 2 - Controllato: questo stato consente l'utilizzo dell'algoritmo e segnala un evento (ID 206) ogni volta che viene usato. Questo stato ha lo scopo di verificare che l'algoritmo non venga usato e possa essere disabilitato in modo sicuro.
- 3 - Supportato: questo stato consente l'utilizzo dell'algoritmo. L'abilitazione di algoritmi disabilitati per impostazione predefinita può ridurre la sicurezza.
Se non si configura questo criterio, l'algoritmo SHA256 assumerà lo stato Predefinito .
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
| Dipendenza [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Tipo di dipendenza: DependsOn URI di dipendenza: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valore consentito per le dipendenze: [1] Tipo di valore consentito per le dipendenze: Range |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Non supportato. |
| 1 (impostazione predefinita) | Predefinito. |
| 2 | Controllati. |
| 3 | Supportata. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | PKInitHashAlgorithmConfiguration |
| Nome descrittivo | Configurare gli algoritmi hash per l'accesso ai certificati |
| Posizione | Configurazione computer |
| Percorso | Kerberos di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome del valore del registro | PKInitHashAlgorithmConfigurationEnabled |
| Nome file ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA384
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 22H2 [10.0.22621] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA384
Questa impostazione di criterio controlla la configurazione dell'algoritmo SHA384 usato dal client Kerberos durante l'esecuzione dell'autenticazione del certificato. Questo criterio viene applicato solo se Kerberos/PKInitHashAlgorithmConfiguration è abilitato. È possibile configurare uno dei quattro stati per questo algoritmo:
- 0 - Non supportato: questo stato disabilita l'utilizzo dell'algoritmo. Questo stato è destinato agli algoritmi considerati non sicuri.
- 1 - Impostazione predefinita: questo stato imposta l'algoritmo sullo stato consigliato.
- 2 - Controllato: questo stato consente l'utilizzo dell'algoritmo e segnala un evento (ID 206) ogni volta che viene usato. Questo stato ha lo scopo di verificare che l'algoritmo non venga usato e possa essere disabilitato in modo sicuro.
- 3 - Supportato: questo stato consente l'utilizzo dell'algoritmo. L'abilitazione di algoritmi disabilitati per impostazione predefinita può ridurre la sicurezza.
Se non si configura questo criterio, l'algoritmo SHA384 assumerà lo stato Predefinito .
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
| Dipendenza [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Tipo di dipendenza: DependsOn URI di dipendenza: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valore consentito per le dipendenze: [1] Tipo di valore consentito per le dipendenze: Range |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Non supportato. |
| 1 (impostazione predefinita) | Predefinito. |
| 2 | Controllati. |
| 3 | Supportata. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | PKInitHashAlgorithmConfiguration |
| Nome descrittivo | Configurare gli algoritmi hash per l'accesso ai certificati |
| Posizione | Configurazione computer |
| Percorso | Kerberos di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome del valore del registro | PKInitHashAlgorithmConfigurationEnabled |
| Nome file ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA512
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 22H2 [10.0.22621] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA512
Questa impostazione di criterio controlla la configurazione dell'algoritmo SHA512 usato dal client Kerberos quando si esegue l'autenticazione del certificato. Questo criterio viene applicato solo se Kerberos/PKInitHashAlgorithmConfiguration è abilitato. È possibile configurare uno dei quattro stati per questo algoritmo:
- 0 - Non supportato: questo stato disabilita l'utilizzo dell'algoritmo. Questo stato è destinato agli algoritmi considerati non sicuri.
- 1 - Impostazione predefinita: questo stato imposta l'algoritmo sullo stato consigliato.
- 2 - Controllato: questo stato consente l'utilizzo dell'algoritmo e segnala un evento (ID 206) ogni volta che viene usato. Questo stato ha lo scopo di verificare che l'algoritmo non venga usato e possa essere disabilitato in modo sicuro.
- 3 - Supportato: questo stato consente l'utilizzo dell'algoritmo. L'abilitazione di algoritmi disabilitati per impostazione predefinita può ridurre la sicurezza.
Se non si configura questo criterio, l'algoritmo SHA512 assumerà lo stato Predefinito .
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
| Dipendenza [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Tipo di dipendenza: DependsOn URI di dipendenza: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valore consentito per le dipendenze: [1] Tipo di valore consentito per le dipendenze: Range |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Non supportato. |
| 1 (impostazione predefinita) | Predefinito. |
| 2 | Controllati. |
| 3 | Supportata. |
Mapping dei criteri di gruppo:
| Nome | Valore |
|---|---|
| Nome | PKInitHashAlgorithmConfiguration |
| Nome descrittivo | Configurare gli algoritmi hash per l'accesso ai certificati |
| Posizione | Configurazione computer |
| Percorso | Kerberos di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome del valore del registro | PKInitHashAlgorithmConfigurationEnabled |
| Nome file ADMX | Kerberos.admx |
RequireKerberosArmoring
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1703 [10.0.15063] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireKerberosArmoring
Questa impostazione di criterio controlla se un computer richiede la blindatura degli scambi di messaggi Kerberos durante la comunicazione con un controller di dominio.
Warning
Quando un dominio non supporta la blindatura Kerberos abilitando "Support Dynamic Controllo di accesso and Kerberos armoring", l'autenticazione per tutti gli utenti avrà esito negativo dai computer con questa impostazione di criterio abilitata.
- Se si abilita questa impostazione di criterio, i computer client nel dominio applicano l'uso della blindatura Kerberos solo negli scambi di messaggi del servizio di autenticazione (AS) e del servizio di concessione ticket (TGS) con i controller di dominio.
Nota
Kerberos Criteri di gruppo "Supporto client Kerberos per attestazioni, autenticazione composta e blindatura Kerberos" deve essere abilitato anche per supportare la blindatura Kerberos.
- Se si disabilita o non si configura questa impostazione di criterio, i computer client nel dominio applicano l'uso della blindatura Kerberos quando possibile, come supportato dal dominio di destinazione.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | ClientRequireFast |
| Nome descrittivo | Non è possibile eseguire le richieste di autenticazione quando la blindatura Kerberos non è disponibile |
| Posizione | Configurazione computer |
| Percorso | Kerberos di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome del valore del registro | RequireFast |
| Nome file ADMX | Kerberos.admx |
RequireStrictKDCValidation
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1703 [10.0.15063] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireStrictKDCValidation
Questa impostazione di criterio controlla il comportamento del client Kerberos nella convalida del certificato KDC per l'accesso con smart card e certificato di sistema.
Se si abilita questa impostazione di criterio, il client Kerberos richiede che il certificato X.509 del KDC contenga l'identificatore dell'oggetto dello scopo della chiave KDC nelle estensioni EKU (Extended Key Usage) e che il certificato X.509 del KDC contenga un'estensione dNSName subjectAltName (SAN) corrispondente al nome DNS del dominio. Se il computer è aggiunto a un dominio, il client Kerberos richiede che il certificato X.509 del KDC sia firmato da un'autorità di certificazione (CA) nell'archivio NTAuth. Se il computer non è aggiunto a un dominio, il client Kerberos consente l'uso del certificato CA radice nella smart card nella convalida del percorso del certificato X.509 del KDC.
Se si disabilita o non si configura questa impostazione di criterio, il client Kerberos richiede solo che il certificato KDC contenga l'identificatore dell'oggetto scopo autenticazione server nelle estensioni EKU che possono essere rilasciate a qualsiasi server.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | ValidateKDC |
| Nome descrittivo | Richiedi convalida KDC rigorosa |
| Posizione | Configurazione computer |
| Percorso | Kerberos di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome del valore del registro | KdcValidation |
| Nome file ADMX | Kerberos.admx |
SetMaximumContextTokenSize
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1703 [10.0.15063] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Kerberos/SetMaximumContextTokenSize
Questa impostazione di criterio consente di impostare il valore restituito alle applicazioni che richiedono le dimensioni massime delle dimensioni del buffer del token di contesto SSPI.
Le dimensioni del buffer del token di contesto determinano le dimensioni massime dei token di contesto SSPI previsti e allocati da un'applicazione. A seconda dell'elaborazione delle richieste di autenticazione e delle appartenenze ai gruppi, il buffer potrebbe essere inferiore alle dimensioni effettive del token di contesto SSPI.
Se si abilita questa impostazione di criterio, il client o il server Kerberos usa il valore configurato o il valore massimo consentito localmente, a seconda di quale sia minore.
Se si disabilita o non si configura questa impostazione di criterio, il client o il server Kerberos usa il valore configurato localmente o il valore predefinito.
Nota
Questa impostazione di criterio configura il valore del Registro di sistema MaxTokenSize esistente in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters, che è stato aggiunto in Windows XP e Windows Server 2003, con un valore predefinito di 12.000 byte. A partire da Windows 8 il valore predefinito è 48.000 byte. A causa della codifica HTTP base64 dei token di contesto di autenticazione, non è consigliabile impostare questo valore su più di 48.000 byte.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | Maxtokensize |
| Nome descrittivo | Impostare le dimensioni massime del buffer del token di contesto SSPI Kerberos |
| Posizione | Configurazione computer |
| Percorso | Kerberos di sistema > |
| Nome della chiave del Registro di sistema | System\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
| Nome del valore del registro | EnableMaxTokenSize |
| Nome file ADMX | Kerberos.admx |
UPNNameHints
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 1809 [10.0.17763] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/Kerberos/UPNNameHints
I dispositivi aggiunti a Microsoft Entra ID in un ambiente ibrido devono interagire con i controller di Dominio di Active Directory, ma non hanno la capacità predefinita di trovare un controller di dominio di un dispositivo aggiunto a un dominio. Ciò può causare errori quando un dispositivo di questo tipo deve risolvere un Microsoft Entra UPN in un'entità di Active Directory. Questo parametro aggiunge un elenco di domini che un dispositivo aggiunto Microsoft Entra deve tentare di contattare se in caso contrario non è in grado di risolvere un UPN a un'entità.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Elenco (delimitatore: 0xF000) |