Поделиться через


Параметры групповой политики и реестра смарт-карт

В этой статье для ИТ-специалистов и разработчиков интеллектуальных карта описаны параметры групповая политика, параметры раздела реестра, параметры локальной политики безопасности и параметры политики делегирования учетных данных, доступные для настройки смарт-карт.

В следующих разделах и таблицах перечислены связанные с интеллектуальными карта параметры групповая политика и разделы реестра, которые можно задать для каждого компьютера. Если вы используете объекты групповая политика домена , вы можете изменять и применять параметры групповая политика к локальным компьютерам или компьютерам домена.

Параметры основного групповая политика для смарт-карт

Следующие параметры смарт-карта групповая политика находятся в разделе Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Смарт-карта.

Разделы реестра находятся в следующих расположениях:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScPnP\EnableScPnP
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CertProp

Примечание.

Сведения о реестре средства чтения смарт-карта содержатся в HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\Readers.
Сведения о реестре смарт-карта содержатся в HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\SmartCards.

В следующей таблице перечислены значения по умолчанию для этих параметров объекта групповой политики. Варианты описаны в описании политики в этой статье.

Тип сервера или объект групповой политики Значение по умолчанию
Default Domain Policy Не настроено
Политика контроллера домена по умолчанию Не настроено
Параметры по умолчанию для автономного сервера Не настроено
Действующие параметры по умолчанию для контроллера домена Отключено
Действующие параметры по умолчанию для рядового сервера Отключено
Действующие параметры по умолчанию для клиентского компьютера Отключено

Разрешить сертификаты без атрибута сертификата расширенного использования ключа

Этот параметр политики можно использовать, чтобы разрешить использование сертификатов без расширенного использования ключа (EKU) для входа.

Примечание.

Атрибут сертификата расширенного использования ключа также называется расширенным использованием ключа.

В версиях Windows до Windows Vista смарт-карта сертификатам, используемым для входа, требуется расширение EKU с идентификатором объекта интеллектуального карта входа. Этот параметр политики можно использовать для изменения этого ограничения.

Если этот параметр политики включен, сертификаты со следующими атрибутами также можно использовать для входа с помощью смарт-карта:

  • Сертификаты без EKU
  • Сертификаты с EKU "Все назначения"
  • Сертификаты с EKU проверки подлинности клиента

Если этот параметр политики не включен, для входа с помощью смарт-карта можно использовать только сертификаты, содержащие идентификатор объекта интеллектуального карта входа.

Элемент Описание
Раздел реестра AllowCertificatesWithNoEKU
Значения по умолчанию Нет изменений для версий операционной системы
Отключенные и не настроенные эквивалентны
Управление политикой Требование перезапуска: нет
Требование выхода: нет
Конфликты политик: Нет

Разрешить использование сертификатов ECC для входа и проверки подлинности

Этот параметр политики можно использовать для управления тем, можно ли использовать сертификаты шифрования на эллиптических кривых (ECC) в интеллектуальной карта для входа в домен.

Если этот параметр включен, для входа в домен можно использовать сертификаты ECC на смарт-карта.

Если этот параметр не включен, сертификаты ECC на смарт-карта нельзя использовать для входа в домен.

Элемент Описание
Раздел реестра EnumerateECCCerts
Значения по умолчанию Нет изменений для версий операционной системы
Отключенные и не настроенные эквивалентны
Управление политикой Требование перезапуска: нет
Требование выхода: нет
Конфликты политик: Нет
Заметки и ресурсы Этот параметр политики влияет только на возможность входа пользователя в домен. Этот параметр политики не влияет на сертификаты ECC на смарт-карта, которые используются для других приложений, таких как подписывание документов.
Если для входа используется ключ ECDSA, необходимо также иметь связанный ключ ECDH, чтобы разрешить вход, если вы не подключены к сети.

Разрешить отображение встроенного экрана разблокировки во время входа

Этот параметр политики можно использовать, чтобы определить, доступна ли встроенная функция разблокировки в пользовательском интерфейсе входа. Эта функция была представлена в качестве стандартной функции в поставщике поддержки безопасности учетных данных в Windows Vista.

Если этот параметр включен, доступна встроенная функция разблокировки.

Если этот параметр не включен, функция недоступна.

Элемент Описание
Раздел реестра AllowIntegratedUnblock
Значения по умолчанию Нет изменений для версий операционной системы
Отключенные и не настроенные эквивалентны
Управление политикой Требование перезапуска: нет
Требование выхода: нет
Конфликты политик: Нет
Заметки и ресурсы Чтобы использовать встроенную функцию разблокировки, интеллектуальная карта должна поддерживать ее. Обратитесь к производителю оборудования, чтобы убедиться, что смарт-карта поддерживает эту функцию.
Вы можете создать пользовательское сообщение, которое пользователь видит при блокировке смарт-карта, настроив параметр политики Отображение строки при блокировке смарт-карта.

Разрешить ключи подписи, допустимые для входа

Этот параметр политики можно использовать, чтобы разрешить перечисление сертификатов на основе ключа подписи и их доступность для входа.

Если этот параметр включен, на экране входа отображаются все сертификаты, доступные в смарт-карта с ключом только для подписи.

Если этот параметр не включен, сертификаты, доступные в смарт-карта с ключом только для подписи, не отображаются на экране входа.

Элемент Описание
Раздел реестра AllowSignatureOnlyKeys
Значения по умолчанию Нет изменений для версий операционной системы
Отключенные и не настроенные эквивалентны
Управление политикой Требование перезапуска: нет
Требование выхода: нет
Конфликты политик: Нет

Разрешить недопустимые сертификаты по времени

Этот параметр политики можно использовать, чтобы разрешить отображение сертификатов, срок действия которых истек или еще не действителен для входа.

Примечание.

До Windows Vista сертификаты должны были содержать допустимое время и не истекать. Чтобы использовать сертификат, он должен быть принят контроллером домена. Этот параметр политики определяет только, какие сертификаты отображаются на клиентском компьютере.

Если этот параметр включен, сертификаты отображаются на экране входа независимо от того, имеет ли у них недопустимое время или истек срок действия времени.

Если этот параметр политики не включен, сертификаты, срок действия которых истек или еще не действителен, не отображаются на экране входа.

Элемент Описание
Раздел реестра AllowTimeInvalidCertificates
Значения по умолчанию Нет изменений для версий операционной системы
Отключенные и не настроенные эквивалентны
Управление политикой Требование перезапуска: нет
Требование выхода: нет
Конфликты политик: Нет

Указание разрешения имени пользователя

Этот параметр политики можно использовать, чтобы определить, отображается ли необязательное поле во время входа и предоставляет последующий процесс повышения прав, в котором пользователи могут ввести свое имя пользователя или имя пользователя и домен, который связывает сертификат с пользователем.

Если этот параметр политики включен, пользователи увидят необязательное поле, в котором можно ввести имя пользователя или имя пользователя и домен.

Если этот параметр политики не включен, пользователи не видят это необязательное поле.

Элемент Описание
Раздел реестра X509HintsNeeded
Значения по умолчанию Нет изменений для версий операционной системы
Отключенные и не настроенные эквивалентны
Управление политикой Требование перезапуска: нет
Требование выхода: нет
Конфликты политик: Нет

Настройка очистки корневого сертификата

Этот параметр политики можно использовать для управления поведением очистки корневых сертификатов. Сертификаты проверяются с помощью цепочки доверия, а привязкой доверия для цифрового сертификата является корневой центр сертификации (ЦС). ЦС может выдать несколько сертификатов с корневым сертификатом в качестве верхнего сертификата структуры дерева. Закрытый ключ используется для подписи других сертификатов. Это создает унаследованную надежность для всех сертификатов непосредственно под корневым сертификатом.

Если этот параметр политики включен, можно задать следующие параметры очистки:

  • Очистка отсутствует. Когда пользователь выходит или удаляет смарт-карта, корневые сертификаты, используемые во время сеанса, сохраняются на компьютере.
  • Очистка сертификатов при удалении смарт-карта. При удалении смарт-карта удаляются корневые сертификаты.
  • Очистка сертификатов при выходе из системы. Когда пользователь выходит из Windows, корневые сертификаты удаляются.

Если этот параметр политики не включен, корневые сертификаты автоматически удаляются при выходе пользователя из Windows.

Элемент Описание
Раздел реестра RootCertificateCleanupOption
Значения по умолчанию Нет изменений для версий операционной системы
Отключенные и не настроенные эквивалентны
Управление политикой Требование перезапуска: нет
Требование выхода: нет
Конфликты политик: Нет

Отображение строки при блокировке смарт-карта

Этот параметр политики можно использовать для изменения сообщения по умолчанию, которое видит пользователь, если его смарт-карта заблокирован.

Если этот параметр политики включен, можно создать отображаемое сообщение, которое пользователь видит при блокировке смарт-карта, и управлять ими.

Если этот параметр политики не включен (а встроенная функция разблокировки также включена), пользователь видит сообщение системы по умолчанию при блокировке смарт-карта.

Элемент Описание
Раздел реестра IntegratedUnblockPromptString
Значения по умолчанию Нет изменений для версий операционной системы
Отключенные и не настроенные эквивалентны
Управление политикой Требование перезапуска: нет
Требование выхода: нет
Конфликты политик. Этот параметр политики действует только в том случае, если включен экран Разрешить встроенную разблокировку, отображаемый во время входа в систему.

Фильтрация повторяющихся сертификатов входа

Этот параметр политики можно использовать для настройки отображаемых допустимых сертификатов входа.

Примечание.

В период продления сертификата смарт-карта пользователя может иметь несколько действительных сертификатов для входа, выданных из одного шаблона сертификата, что может привести к путанице в отношении выбранного сертификата. Это может произойти, когда сертификат обновляется, а срок действия старого сертификата еще не истек.

Если два сертификата выдаются из одного шаблона с одной основной версией и предназначены для одного и того же пользователя (это определяется его именем участника-пользователя), они определяются как одинаковые.

Если этот параметр политики включен, выполняется фильтрация, чтобы пользователь смог выбрать только самые актуальные действительные сертификаты.

Если этот параметр политики не включен, пользователю будут отображаться все сертификаты.

Этот параметр политики применяется к компьютеру после применения параметра политики Разрешить недопустимые сертификаты во время .

Элемент Описание
Раздел реестра FilterDuplicateCerts
Значения по умолчанию Нет изменений для версий операционной системы
Отключенные и не настроенные эквивалентны
Управление политикой Требование перезапуска: нет
Требование выхода: нет
Конфликты политик: Нет
Заметки и ресурсы Если на смарт-карта есть два или более одинаковых сертификатов и этот параметр политики включен, отображается сертификат с наиболее удаленным сроком действия.

Принудительное чтение всех сертификатов из смарт-карта

Этот параметр политики можно использовать для управления тем, как Windows считывает все сертификаты из смарт-карта для входа. Во время входа Windows считывает из смарт-карта только сертификат по умолчанию, если он не поддерживает получение всех сертификатов в одном вызове. Этот параметр политики заставляет Windows считывать все сертификаты из смарт-карта.

Если этот параметр политики включен, Windows пытается считывать все сертификаты из смарт-карта независимо от набора функций CSP.

Если эта политика не включена, Windows пытается считывать только сертификат по умолчанию со смарт-карт, которые не поддерживают получение всех сертификатов в одном вызове. Сертификаты, отличные от стандартного, недоступны для входа.

Элемент Описание
Раздел реестра ForceReadingAllCertificates
Значения по умолчанию Нет изменений для версий операционной системы
Отключенные и не настроенные эквивалентны
Управление политикой Требование перезапуска: нет
Требование выхода: нет
Конфликты политик: Нет

Важно! Включение этого параметра политики может отрицательно сказаться на производительности при входе в систему в определенных ситуациях.
Заметки и ресурсы Обратитесь к поставщику интеллектуальной карта, чтобы определить, поддерживает ли ваш интеллектуальный карта и связанный поставщик служб CSP требуемое поведение.

Уведомление пользователя об успешной установке драйвера smart карта

Этот параметр политики можно использовать для управления тем, видит ли пользователь сообщение подтверждения при установке драйвера устройства smart карта.

Если этот параметр политики включен, пользователь видит сообщение с подтверждением при установке драйвера устройства интеллектуальной карта.

Если этот параметр не включен, пользователь не увидит сообщение об установке драйвера смарт-карта устройства.

-- --
Раздел реестра ScPnPNotification
Значения по умолчанию Нет изменений для версий операционной системы
Отключенные и не настроенные эквивалентны
Управление политикой Требование перезапуска: нет
Требование выхода: нет
Конфликты политик: Нет
Заметки и ресурсы Этот параметр политики применяется только к драйверам smart карта, которые прошли тестирование Лаборатории качества оборудования Windows (WHQL).

Запретить получение ПИН-кодов в виде обычного текста диспетчером учетных данных

Этот параметр политики можно использовать, чтобы запретить диспетчеру учетных данных возвращать ПИН-коды в виде открытого текста.

Примечание.

Диспетчер учетных данных управляется пользователем на локальном компьютере и хранит учетные данные из поддерживаемых браузеров и приложений Windows. Учетные данные сохраняются в специальных зашифрованных папках на компьютере в профиле пользователя.

Если этот параметр политики включен, диспетчер учетных данных не возвращает ПИН-код в виде открытого текста.

Если этот параметр не включен, диспетчер учетных данных может возвращать ПИН-коды в виде открытого текста.

Элемент Описание
Раздел реестра DisallowPlaintextPin
Значения по умолчанию Нет изменений для версий операционной системы
Отключенные и не настроенные эквивалентны
Управление политикой Требование перезапуска: нет
Требование выхода: нет
Конфликты политик: Нет
Заметки и ресурсы Если этот параметр политики включен, некоторые смарт-карты могут не работать на компьютерах под управлением Windows. Чтобы определить, следует ли включить этот параметр политики, обратитесь к производителю интеллектуальной карта.

Отмена имени субъекта, хранящегося в сертификате, при отображении

Этот параметр политики можно использовать для управления тем, как имя субъекта отображается во время входа.

Примечание.

Чтобы помочь пользователям отличить один сертификат от другого, по умолчанию отображаются имя участника-пользователя (UPN) и общее имя. Например, если этот параметр включен, если субъект сертификата — CN=User1, OU=Users, DN=example, DN=com и имя участника-пользователяuser1@example.com, user1 отображается с user1@example.com. Если имя участника-пользователя отсутствует, отображается все имя субъекта. Этот параметр управляет внешним видом этого имени субъекта, и его, возможно, потребуется настроить для вашей организации.

Если этот параметр политики включен, имя субъекта во время входа будет отображаться в обратном порядке, чем то, как оно хранится в сертификате.

Если этот параметр политики не включен, имя субъекта отображается так же, как оно хранится в сертификате.

Элемент Описание
Раздел реестра ReverseSubject
Значения по умолчанию Нет изменений для версий операционной системы
Отключенные и не настроенные эквивалентны
Управление политикой Требование перезапуска: нет
Требование выхода: нет
Конфликты политик: Нет

Включение распространения сертификатов из смарт-карта

Этот параметр политики можно использовать для управления распространением сертификатов, которое происходит при вставке смарт-карта.

Примечание.

Служба распространения сертификатов применяется, когда пользователь, выполнив вход, вставляет смарт-карта в средство чтения, подключенное к компьютеру. Это действие приводит к тому, что сертификат считывается из смарт-карта. Затем сертификаты добавляются в личное хранилище пользователя.

Если этот параметр политики включен, распространение сертификата происходит, когда пользователь вставляет смарт-карта.

Если этот параметр политики отключен, распространение сертификатов не происходит, а сертификаты недоступны для приложений, таких как Outlook.

Элемент Описание
Раздел реестра CertPropEnabled
Значения по умолчанию Нет изменений для версий операционной системы
Включено и не настроено эквивалентно
Управление политикой Требование перезапуска: нет
Требование выхода: нет
Конфликты политик. Этот параметр политики должен быть включен, чтобы включить параметр Включить распространение корневого сертификата из смарт-карта, когда он включен.

Включение распространения корневого сертификата из смарт-карта

Этот параметр политики можно использовать для управления распространением корневого сертификата, которое происходит при вставке смарт-карта.

Примечание.

Служба распространения сертификатов применяется, когда пользователь, выполнив вход, вставляет смарт-карта в средство чтения, подключенное к компьютеру. Это действие приводит к тому, что сертификат считывается из смарт-карта. Затем сертификаты добавляются в личное хранилище пользователя.

Если этот параметр политики включен, распространение корневого сертификата происходит, когда пользователь вставляет смарт-карта.

Если этот параметр политики не включен, распространение корневого сертификата не происходит, когда пользователь вставляет смарт-карта.

Элемент Описание
Раздел реестра EnableRootCertificate Propagation
Значения по умолчанию Нет изменений для версий операционной системы
Включено и не настроено эквивалентно
Управление политикой Требование перезапуска: нет
Требование выхода: нет
Конфликты политик. Чтобы этот параметр политики работал, необходимо также включить параметр политики Включить распространение сертификатов из смарт-карта.
Заметки и ресурсы

Включение службы Plug and Play смарт-карт

Этот параметр политики можно использовать для управления включением Plug and Play смарт-карт.

Примечание.

Пользователи могут использовать смарт-карты от поставщиков, которые опубликовали свои драйверы через клиентский компонент Центра обновления Windows без необходимости использовать специальное ПО промежуточного слоя. Эти драйверы будут загружены так же, как и драйверы для других устройств в Windows. Если соответствующий драйвер недоступен в клиентский компонент Центра обновления Windows, для этих карт используется совместимый с PIV мини-драйвер, который входит в состав любой из поддерживаемых версий Windows.

Если этот параметр политики включен, система пытается установить драйвер устройства smart карта при первом вставке интеллектуального карта в средство чтения смарт-карта.

Если этот параметр политики не включен, драйвер устройства не устанавливается, когда смарт-карта вставляется в средство чтения смарт-карта.

Элемент Описание
Раздел реестра EnableScPnP
Значения по умолчанию Нет изменений для версий операционной системы
Включено и не настроено эквивалентно
Управление политикой Требование перезапуска: нет
Требование выхода: нет
Конфликты политик: Нет
Заметки и ресурсы Этот параметр политики применяется только к драйверам smart карта, которые прошли тестирование Лаборатории качества оборудования Windows (WHQL).

Базовые разделы реестра CSP и KSP смарт-карт

Следующие разделы реестра можно настроить для базового поставщика служб шифрования (CSP) и поставщика хранилища ключей интеллектуальной карта (KSP). В следующих таблицах перечислены ключи. Все ключи используют тип DWORD.

Разделы реестра для базового CSP находятся в реестре в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider.

Разделы реестра для интеллектуального карта KSP находятся в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Cryptography\Providers\Microsoft Smart Card Key Storage Provider.

Разделы реестра для базового CSP и интеллектуального карта KSP

Раздел реестра Описание
AllowPrivateExchangeKeyImport Ненулевое значение позволяет импортировать закрытые ключи rsa exchange (например, шифрование) для использования в сценариях архивации ключей.
Значение по умолчанию: 00000000
AllowPrivateSignatureKeyImport Ненулевое значение позволяет импортировать закрытые ключи подписи RSA для использования в сценариях архивации ключей.
Значение по умолчанию: 00000000
DefaultPrivateKeyLenBits При необходимости определяет длину закрытых ключей по умолчанию.
Значение по умолчанию: 00000400
Параметр создания ключа по умолчанию: 1024-разрядные ключи
RequireOnCardPrivateKeyGen Этот ключ задает флаг, который требует создания закрытого ключа карта (по умолчанию). Если это значение задано, ключ, созданный на узле, можно импортировать в смарт-карта. Он используется для смарт-карт, которые не поддерживают создание ключей карта или где требуется депонирование ключей.
Значение по умолчанию: 00000000
TransactionTimeoutMilliseconds Значения времени ожидания по умолчанию позволяют указать, будут ли транзакции, которые занимают слишком много времени, завершатся ошибкой.
Значение по умолчанию: 000005dc
Время ожидания по умолчанию для хранения транзакций в смарт-карта составляет 1,5 секунды.

Дополнительные разделы реестра для интеллектуального карта KSP:

Раздел реестра Описание
AllowPrivateECDHEKeyImport Это значение позволяет импортировать закрытые ключи Diffie-Hellman ECDHE для использования в сценариях архивации ключей.
Значение по умолчанию: 00000000
AllowPrivateECDSAKeyImport Это значение позволяет импортировать закрытые ключи алгоритма цифровой подписи на основе эллиптических кривых (ECDSA) для использования в сценариях архивации ключей.
Значение по умолчанию: 00000000

Проверка списков отзыва сертификатов реестра

В следующей таблице перечислены ключи и соответствующие значения для отключения проверки списка отзыва сертификатов (CRL) в центре распространения ключей (KDC) или клиенте. Чтобы управлять проверкой списка отзыва сертификатов, необходимо настроить параметры как для KDC, так и для клиента.

Раздел реестра Сведения
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Kdc\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors Type = DWORD
Значение = 1
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Control\LSA\Kerberos\Parameters\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors Type = DWORD
Значение = 1

Дополнительные параметры интеллектуальной карта групповая политика и разделы реестра

В развертывании интеллектуальной карта можно использовать дополнительные параметры групповая политика для повышения удобства использования или безопасности. Два из этих параметров политики, которые могут дополнить интеллектуальное развертывание карта:

  • Отключение делегирования для компьютеров
  • Интерактивный вход: не требуется ctrl+ALT+DEL (не рекомендуется)

Следующие параметры групповая политика, связанные с интеллектуальными карта, находятся в разделе Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности.

Параметры локальной политики безопасности

параметр групповая политика и раздел реестра По умолчанию Описание
Интерактивный вход в систему: требовать смарт-карту

scforceoption
Отключено Этот параметр политики безопасности требует, чтобы пользователи входить на компьютер с помощью интеллектуальной карта.

Включен Пользователи могут войти на компьютер только с помощью смарт-карта.
Отключен Пользователи могут войти на компьютер с помощью любого метода.

ПРИМЕЧАНИЕ. Локальная учетная запись, управляемая Windows LAPS, исключается из этой политики при включении.
Интерактивный вход в систему: поведение при извлечении смарт-карты

scremoveoption
Этот параметр политики не определен, что означает, что система обрабатывает его как нет действий. Этот параметр определяет, что происходит при удалении смарт-карта для вошедшего пользователя из средства чтения смарт-карта. Ниже перечислены возможные варианты.
Нет действий
Блокировка рабочей станции. Рабочая станция блокируется при удалении интеллектуальной карта, поэтому пользователи могут покинуть этот район, взять с собой интеллектуальные карта и по-прежнему поддерживать защищенный сеанс.
Принудительный выход. Пользователь автоматически выходит из системы при удалении смарт-карта.
Отключение, если сеанс служб удаленных рабочих столов. Удаление смарт-карта отключает сеанс без выхода пользователя. Пользователь может повторно ввести интеллектуальный карта и возобновить сеанс позже или на другом компьютере, оснащенном интеллектуальным карта читателем, без необходимости повторного входа. Если сеанс является локальным, этот параметр политики работает так же, как и параметр Блокировать рабочую станцию .

В Редактор локальной политики безопасности (secpol.msc) можно изменять и применять системные политики для управления делегированием учетных данных для локальных компьютеров или компьютеров домена.

Следующие параметры групповая политика, связанные с интеллектуальными карта, находятся в разделе Конфигурация компьютера\Административные шаблоны\Система\Делегирование учетных данных.

Разделы реестра находятся в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults.

Примечание.

В следующей таблице новые учетные данные — это учетные данные, которые запрашиваются при запуске приложения.

Параметры политики делегирования учетных данных

параметр групповая политика и раздел реестра По умолчанию Описание
Разрешить делегирование новых учетных данных

AllowFreshCredentials
Не настроено Этот параметр политики применяется:
Когда проверка подлинности сервера была выполнена с помощью доверенного сертификата X509 или протокола Kerberos.
Приложения, использующие компонент CredSSP (например, службы удаленных рабочих столов).

Включено. Можно указать серверы, на которых можно делегировать новые учетные данные пользователя.
Не настроено. После правильной взаимной проверки подлинности разрешено делегирование новых учетных данных службам удаленных рабочих столов, работающим на любом компьютере.
Отключено. Делегирование новых учетных данных на любой компьютер запрещено.

Примечание. Для этого параметра политики можно задать одно или несколько имен субъектов-служб (SPN). Имя субъекта-службы представляет целевой сервер, на котором можно делегировать учетные данные пользователя. При указании имени субъекта-службы допускается использование одного подстановочного знака, например:
Используйте *TERMSRV/** для узла сеансов удаленного рабочего стола (узел сеансов удаленных рабочих столов), работающего на любом компьютере.
Используйте TERMSRV/host.humanresources.fabrikam.com для узла сеансов удаленных рабочих стола, работающего на компьютере host.humanresources.fabrikam.com.
Использование TERMSRV/*.humanresources.fabrikam.com для узла сеансов удаленных рабочих стола, работающего на всех компьютерах в .humanresources.fabrikam.com
Разрешить делегирование новых учетных данных с помощью проверки подлинности сервера только NTLM

AllowFreshCredentialsWhenNTLMOnly
Не настроено Этот параметр политики применяется:
Когда проверка подлинности сервера была достигнута с помощью NTLM.
Для приложений, использующих компонент CredSSP (например, удаленный рабочий стол).

Включено. Можно указать серверы, на которых можно делегировать новые учетные данные пользователя.
Не настроено. После правильной взаимной проверки подлинности делегирование новых учетных данных разрешено узлу сеансов удаленных рабочих стола, работающему на любом компьютере (TERMSRV/*).
Отключено. Делегирование новых учетных данных запрещено ни на одном компьютере.

Примечание. Для этого параметра политики можно задать одно или несколько имен субъектов-служб. Имя субъекта-службы представляет целевой сервер, на котором можно делегировать учетные данные пользователя. При указании имени субъекта-службы допускается один подстановочный знак (*).
Примеры см. в описании параметра политики Разрешить делегирование новых учетных данных .
Запрет делегации новых учетных данных

DenyFreshCredentials
Не настроено Этот параметр политики применяется к приложениям, которые используют компонент CredSSP (например, удаленный рабочий стол).

Включено: можно указать серверы, на которых нельзя делегировать новые учетные данные пользователя.
Отключено или не настроено: сервер не указан.

Примечание. Для этого параметра политики можно задать одно или несколько имен субъектов-служб. Имя субъекта-службы представляет целевой сервер, на котором невозможно делегировать учетные данные пользователя. При указании имени субъекта-службы допускается один подстановочный знак (*).
Примеры см. в параметре политики "Разрешить делегирование новых учетных данных".

Если вы используете службы удаленных рабочих столов с интеллектуальным карта входа, вы не можете делегировать учетные данные по умолчанию и сохраненные учетные данные. Разделы реестра в следующей таблице, которые находятся в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults, и соответствующие параметры групповая политика игнорируются.

Раздел реестра Соответствующий параметр групповая политика
AllowDefaultCredentials Разрешить делегирование учетных данных по умолчанию
AllowDefaultCredentialsWhenNTLMOnly Разрешить делегирование учетных данных по умолчанию с проверкой подлинности сервера только NTLM
AllowSavedCredentials Разрешить делегирование сохраненных учетных данных
AllowSavedCredentialsWhenNTLMOnly Разрешить делегирование сохраненных учетных данных с помощью проверки подлинности сервера только NTLM

См. также

Технический справочник по смарт-карточкам