Zasady protokołu Kerberos

Zasady biletu protokołu Kerberos są definiowane na poziomie domeny i implementowane przez centrum dystrybucji kluczy domeny (KDC). Zasady protokołu Kerberos są przechowywane w usłudze Active Directory jako podzestaw atrybutów zasad zabezpieczeń domeny. Domyślnie opcje zasad można ustawiać tylko przez członków grupy Administratorzy domeny. Zasady domeny obejmują opcje, które:

• Pomoc techniczna po opublikowaniu biletów
• Obsługa ograniczonego delegowania (tylko system Windows Server 2003)
• Bilety pomocy technicznej, które można przekazać dalej
• Obsługa biletów odnawialnych
• Ustawianie maksymalnego wieku biletu
• Ustawianie maksymalnego wieku odnowienia
• Ustawianie maksymalnego wieku biletu serwera proxy
• Wymuszone wylogowanie użytkowników po wygaśnięciu biletów

W przypadku ograniczone delegowaniemożna ustawić komputer, aby zezwolić na przekazywanie poświadczeń tylko do określonej listy usług. Te usługi muszą znajdować się w tej samej domenie co komputer przekazujący poświadczenia. W ograniczone delegowaniebilety nie są już wysyłane z klienta do serwera. Komputer serwera tworzy bilety usług do przekazywania zgodnie z potrzebami z informacji używanych do uwierzytelniania klienta.

Mimo że zasady protokołu Kerberos dla domeny mogą zezwalać na delegowane uwierzytelnianie, zezwalając na przekazywanie biletów, ten aspekt zasad nie musi mieć zastosowania do wszystkich użytkowników ani wszystkich komputerów. Atrybut pojedynczego konta użytkownika można ustawić tak, aby wyłączyć przekazywanie poświadczeń tego użytkownika przez dowolny serwer. Atrybut konta poszczególnych komputerów można ustawić tak, aby wyłączyć przekazywanie poświadczeń od dowolnego użytkownika. W obu przypadkach delegowanie można wyłączyć, tworząc zasady grupy, które mają być stosowane do wszystkich użytkowników lub wszystkich komputerów w jednostce organizacyjnej usługi Active Directory.

Windows XP/2000: delegowanie ograniczone nie jest obsługiwane.