Kerberos-beleid
Kerberos-ticketbeleid wordt gedefinieerd op domeinniveau en geïmplementeerd door het Key Distribution Center (KDC). Kerberos-beleid wordt opgeslagen in Active Directory als een subset van de kenmerken van domeinbeveiligingsbeleid. Standaard kunnen beleidsopties alleen worden ingesteld door leden van de groep Domeinadministrators. Domeinbeleid bevat opties die:
- Ondersteuningstickets na de datum
- Ondersteuning voor beperkte delegatie (alleen Windows Server 2003)
- Ondersteuningstickets die kunnen worden doorgestuurd
- Ondersteuning voor hernieuwbare tickets
- Maximale ticketduur instellen
- Maximale verlengingsleeftijd instellen
- Maximale leeftijd voor proxytickets instellen
- Gebruikers geforceerd afmelden wanneer tickets verlopen
Met beperkte delegeringkan een computer worden ingesteld om alleen het doorsturen van referenties naar een specifieke lijst met services toe te staan. Deze services moeten zich in hetzelfde domein bevinden als de computer die de referenties doorstuurt. Onder beperkte delegeringworden tickets niet meer van de client naar de server verzonden. De servercomputer maakt servicetickets om naar behoefte door te sturen op basis van informatie die wordt gebruikt om de client te verifiëren.
Hoewel Kerberos-beleid voor een domein gedelegeerde verificatie toestaat doordat tickets kunnen worden doorgestuurd, hoeft dat aspect van het beleid niet van toepassing te zijn op alle gebruikers of alle computers. Een kenmerk van een afzonderlijk gebruikersaccount kan worden ingesteld om het doorsturen van de referenties van die gebruiker door elke server uit te schakelen. Een kenmerk van het account van een afzonderlijke computer kan worden ingesteld om het doorsturen van referenties van elke gebruiker uit te schakelen. In beide gevallen kan delegering worden uitgeschakeld door een groepsbeleid te maken dat van toepassing is op alle gebruikers of alle computers in een organisatie-eenheid van De Active Directory.
Windows XP/2000: beperkte delegering wordt niet ondersteund.