CSP de Política - ADMX_Kerberos
Dica
Este CSP contém políticas apoiadas por ADMX que requerem um formato SyncML especial para ativar ou desativar. Tem de especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter detalhes, veja Understanding ADMX-backed policies (Compreender as políticas apoiadas pelo ADMX).
O payload do SyncML tem de ter codificação XML; para esta codificação XML, existem vários codificadores online que pode utilizar. Para evitar codificar o payload, pode utilizar o CDATA se o MDM o suportar. Para obter mais informações, veja Secções CDATA.
AlwaysSendCompoundId
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/AlwaysSendCompoundId
Esta definição de política controla se um dispositivo envia sempre um pedido de autenticação composto quando o domínio de recurso pede identidade composta.
Observação
Para um controlador de domínio pedir autenticação composta, as políticas "Suporte KDC para afirmações, autenticação composta e proteção Kerberos" e "Pedir autenticação composta" têm de ser configuradas e ativadas no domínio da conta de recurso.
Se ativar esta definição de política e o domínio de recurso pedir autenticação composta, os dispositivos que suportam a autenticação composta enviam sempre um pedido de autenticação composto.
Se desativar ou não configurar esta definição de política e o domínio de recurso pedir autenticação composta, os dispositivos enviarão primeiro um pedido de autenticação não composto e, em seguida, um pedido de autenticação composto quando o serviço pedir autenticação composta.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | AlwaysSendCompoundId |
| Nome Amigável | Enviar sempre a autenticação composta primeiro |
| Localização | Configuração do Computador |
| Caminho | Kerberos do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | AlwaysSendCompoundId |
| Nome do Arquivo ADMX | Kerberos.admx |
DevicePKInitEnabled
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/DevicePKInitEnabled
O suporte para autenticação de dispositivos através de certificado exigirá conectividade a um DC no domínio da conta de dispositivo que suporta a autenticação de certificados para contas de computador.
Esta definição de política permite-lhe definir o suporte para Kerberos para tentar a autenticação com o certificado do dispositivo para o domínio.
- Se ativar esta definição de política, as credenciais dos dispositivos serão selecionadas com base nas seguintes opções:
Automático: o dispositivo tentará autenticar com o respetivo certificado. Se o DC não suportar a autenticação da conta de computador através de certificados, será tentada a autenticação com palavra-passe.
Forçar: o dispositivo será sempre autenticado com o respetivo certificado. Se não for possível encontrar um DC que suporte a autenticação da conta de computador através de certificados, a autenticação falhará.
Se desativar esta definição de política, os certificados nunca serão utilizados.
Se não configurar esta definição de política, será utilizado Automático.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | DevicePKInitEnabled |
| Nome Amigável | Suportar a autenticação de dispositivos com o certificado |
| Localização | Configuração do Computador |
| Caminho | Kerberos do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | DevicePKInitEnabled |
| Nome do Arquivo ADMX | Kerberos.admx |
HostToRealm
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/HostToRealm
Esta definição de política permite-lhe especificar os nomes de anfitrião DNS e quais os sufixos DNS que estão mapeados para um realm Kerberos.
Se ativar esta definição de política, pode ver e alterar a lista de nomes de anfitriões DNS e sufixos DNS mapeados para um realm Kerberos, conforme definido pela Política de Grupo. Para ver a lista de mapeamentos, ative a definição de política e, em seguida, clique no botão Mostrar. Para adicionar um mapeamento, ative a definição de política, anote a sintaxe e, em seguida, clique em Mostrar. Na caixa de diálogo Mostrar Conteúdo na coluna Nome do Valor, escreva um nome de reino. Na coluna Valor, escreva a lista de nomes de anfitrião DNS e sufixos DNS com o formato de sintaxe adequado. Para remover um mapeamento da lista, clique na entrada de mapeamento a remover e, em seguida, prima a tecla DELETE. Para editar um mapeamento, remova a entrada atual da lista e adicione uma nova com parâmetros diferentes.
Se desativar esta definição de política, a lista de mapeamentos de realm do nome do anfitrião para Kerberos definida pela Política de Grupo será eliminada.
Se não configurar esta definição de política, o sistema utiliza os mapeamentos de realm do nome do anfitrião para Kerberos definidos no registo local, se existirem.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | HostToRealm |
| Nome Amigável | Definir mapeamentos de realm do nome do anfitrião para Kerberos |
| Localização | Configuração do Computador |
| Caminho | Kerberos do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| Nome do Valor do Registro | domain_realm_Enabled |
| Nome do Arquivo ADMX | Kerberos.admx |
KdcProxyDisableServerRevocationCheck
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyDisableServerRevocationCheck
Esta definição de política permite-lhe desativar a verificação de revogação do certificado SSL do servidor proxy KDC de destino.
- Se ativar esta definição de política, a verificação de revogação do certificado SSL do servidor proxy KDC é ignorada pelo cliente Kerberos. Esta definição de política só deve ser utilizada na resolução de problemas de ligações proxy KDC.
Aviso
Quando a verificação de revogação é ignorada, o servidor representado pelo certificado não é garantido como válido.
- Se desativar ou não configurar esta definição de política, o cliente Kerberos impõe a verificação de revogação do certificado SSL. A ligação ao servidor proxy KDC não é estabelecida se a verificação de revogação falhar.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | KdcProxyDisableServerRevocationCheck |
| Nome Amigável | Desativar a verificação de revogação do certificado SSL dos servidores proxy KDC |
| Localização | Configuração do Computador |
| Caminho | Kerberos do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | NoRevocationCheck |
| Nome do Arquivo ADMX | Kerberos.admx |
KdcProxyServer
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyServer
Esta definição de política configura o mapeamento do cliente Kerberos para servidores proxy KDC para domínios com base nos respetivos nomes de sufixos DNS.
Se ativar esta definição de política, o cliente Kerberos utilizará o servidor proxy KDC para um domínio quando não for possível localizar um controlador de domínio com base nos mapeamentos configurados. Para mapear um servidor proxy KDC para um domínio, ative a definição de política, clique em Mostrar e, em seguida, mapeie os nomes do servidor proxy KDC para o nome DNS do domínio com a sintaxe descrita no painel de opções. Na caixa de diálogo Mostrar Conteúdo na coluna Nome do Valor, escreva um nome de sufixo DNS. Na coluna Valor, escreva a lista de servidores proxy com o formato de sintaxe adequado. Para ver a lista de mapeamentos, ative a definição de política e, em seguida, clique no botão Mostrar. Para remover um mapeamento da lista, clique na entrada de mapeamento a remover e, em seguida, prima a tecla DELETE. Para editar um mapeamento, remova a entrada atual da lista e adicione uma nova com parâmetros diferentes.
Se desativar ou não configurar esta definição de política, o cliente Kerberos não tem definições de servidores proxy KDC definidas pela Política de Grupo.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | KdcProxyServer |
| Nome Amigável | Especificar servidores proxy KDC para clientes Kerberos |
| Localização | Configuração do Computador |
| Caminho | Kerberos do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| Nome do Valor do Registro | KdcProxyServer_Enabled |
| Nome do Arquivo ADMX | Kerberos.admx |
MitRealms
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/MitRealms
Esta definição de política configura o cliente Kerberos para que possa autenticar com realms Kerberos V5 interoperáveis, conforme definido por esta definição de política.
Se ativar esta definição de política, pode ver e alterar a lista de realms Kerberos V5 interoperáveis e as respetivas definições. Para ver a lista de realms Kerberos V5 interoperáveis, ative a definição de política e, em seguida, clique no botão Mostrar. Para adicionar um realm Kerberos V5 interoperável, ative a definição de política, anote a sintaxe e, em seguida, clique em Mostrar. Na caixa de diálogo Mostrar Conteúdo na coluna Nome do Valor, escreva o nome do realm Kerberos V5 interoperável. Na coluna Valor, escreva os sinalizadores de realm e os nomes de anfitrião dos KDCs anfitriões com o formato de sintaxe adequado. Para remover uma entrada de Valor ou Nome do Valor do realm Kerberos V5 interoperável da lista, clique na entrada e, em seguida, prima a tecla DELETE. Para editar um mapeamento, remova a entrada atual da lista e adicione uma nova com parâmetros diferentes.
Se desativar esta definição de política, as definições de realm Kerberos V5 interoperáveis definidas pela Política de Grupo serão eliminadas.
Se não configurar esta definição de política, o sistema utiliza as definições de realm Kerberos V5 interoperáveis que estão definidas no registo local, se existirem.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | MitRealms |
| Nome Amigável | Definir definições de realm Kerberos V5 interoperáveis |
| Localização | Configuração do Computador |
| Caminho | Kerberos do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| Nome do Valor do Registro | MitRealms_Enabled |
| Nome do Arquivo ADMX | Kerberos.admx |
ServerAcceptsCompound
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/ServerAcceptsCompound
Esta definição de política controla a configuração da conta do Active Directory do dispositivo para autenticação composta.
O suporte para fornecer autenticação composta que é utilizada para o controlo de acesso exigirá controladores de domínio suficientes nos domínios da conta de recurso para suportar os pedidos. O Administrador de Domínio tem de configurar a política "Suportar controlo de acesso dinâmico e proteção Kerberos" em todos os controladores de domínio para suportar esta política.
- Se ativar esta definição de política, a conta do Active Directory do dispositivo será configurada para autenticação composta pelas seguintes opções:
Nunca: a autenticação composta nunca é fornecida para esta conta de computador.
Automático: a autenticação composta é fornecida para esta conta de computador quando uma ou mais aplicações estão configuradas para o Controlo de Acesso Dinâmico.
Sempre: a autenticação composta é sempre fornecida para esta conta de computador.
Se desativar esta definição de política, nunca será utilizado.
Se não configurar esta definição de política, será utilizado Automático.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | ServerAcceptsCompound |
| Nome Amigável | Suportar autenticação composta |
| Localização | Configuração do Computador |
| Caminho | Kerberos do Sistema > |
| Nome da Chave do Registro | Software\Policies\Microsoft\Netlogon\Parameters |
| Nome do Valor do Registro | CompoundIdDisabled |
| Nome do Arquivo ADMX | Kerberos.admx |
StrictTarget
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior ✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior ✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior ✅ Windows 11, versão 21H2 [10.0.22000] e posterior |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/StrictTarget
Esta definição de política permite-lhe configurar este servidor para que o Kerberos possa desencriptar um pedido de suporte que contém este SPN gerado pelo sistema. Quando uma aplicação tenta fazer uma chamada de procedimento remoto (RPC) para este servidor com um valor NULL para o nome do principal de serviço (SPN), os computadores com o Windows 7 ou posterior tentam utilizar o Kerberos ao gerar um SPN.
Se ativar esta definição de política, apenas os serviços em execução como LocalSystem ou NetworkService podem aceitar estas ligações. Os serviços em execução como identidades diferentes de LocalSystem ou NetworkService podem falhar na autenticação.
Se desativar ou não configurar esta definição de política, qualquer serviço terá permissão para aceitar ligações de entrada através deste SPN gerado pelo sistema.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dica
Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.
Mapeamento do ADMX:
| Nome | Valor |
|---|---|
| Nome | StrictTarget |
| Nome Amigável | Exigir correspondência estrita do SPN de destino em chamadas de procedimento remoto |
| Localização | Configuração do Computador |
| Caminho | Kerberos do Sistema > |
| Nome da Chave do Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome do Valor do Registro | StrictTargetContext |
| Nome do Arquivo ADMX | Kerberos.admx |