策略 CSP - ADMX_kdc

提示

此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>。 有关详细信息,请参阅 了解 ADMX 支持的策略

SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节

CbacAndArmor

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本
✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本
✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本
✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/CbacAndArmor

此策略设置允许你配置域控制器,以支持使用 Kerberos 身份验证的动态访问控制和 Kerberos 保护的声明和复合身份验证。

  • 如果启用此策略设置,则支持动态访问控制声明和复合身份验证且具有 Kerberos 保护感知功能的客户端计算机将此功能用于 Kerberos 身份验证消息。 此策略应应用于所有域控制器,以确保此策略在域中的一致应用。

  • 如果禁用或未配置此策略设置,则域控制器不支持声明、复合身份验证或保护。

如果配置“不支持”选项,则域控制器不支持声明、复合身份验证或保护,这是运行 Windows Server 2008 R2 或更早操作系统的域控制器的默认行为。

注意

若要使此 KDC 策略的以下选项生效,必须在支持的系统上启用 Kerberos 组策略“对声明、复合身份验证和 Kerberos 保护的 Kerberos 客户端支持”。 如果未启用 Kerberos 策略设置,Kerberos 身份验证消息将不会使用这些功能。

如果配置“Supported”,则域控制器支持声明、复合身份验证和 Kerberos 保护。 域控制器向 Kerberos 客户端计算机播发域能够声明动态访问控制和 Kerberos 保护的复合身份验证。

域功能级别要求。

对于“始终提供声明”和“失败未处理的身份验证请求”选项,当域功能级别设置为 Windows Server 2008 R2 或更低版本时,域控制器的行为就像选择了“支持”选项一样。

当域功能级别设置为 Windows Server 2012 时,域控制器向 Kerberos 客户端计算机播发域能够声明动态访问控制和 Kerberos 保护的复合身份验证,并:

  • 如果设置“始终提供声明”选项,始终返回帐户的声明,并支持 RFC 行为来播发灵活身份验证安全隧道 (FAST) 。

  • 如果设置“失败未处理的身份验证请求”选项,则拒绝未处理的 Kerberos 消息。

警告

如果设置了“失败未处理的身份验证请求”,则不支持 Kerberos 保护的客户端计算机将无法向域控制器进行身份验证。

若要确保此功能有效,请部署足够的域控制器,以支持动态访问控制的声明和复合身份验证,并且具有 Kerberos 保护感知功能来处理身份验证请求。 每当需要动态访问控制或 Kerberos 保护时,支持此策略的域控制器数量不足会导致身份验证失败, (即) 启用“支持”选项。

启用此策略设置时对域控制器性能的影响:

  • 需要安全 Kerberos 域功能发现,从而导致额外的消息交换。

  • 动态访问控制的声明和复合身份验证会增加消息中数据的大小和复杂性,从而增加处理时间和更大的 Kerberos 服务票证大小。

  • Kerberos 保护完全加密 Kerberos 消息并签署 Kerberos 错误,这会导致处理时间延长,但不会更改服务票证大小。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 CbacAndArmor
友好名称 对声明、复合身份验证和 Kerberos 保护的 KDC 支持
位置 “计算机配置”
路径 系统 > KDC
注册表项名称 Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
注册表值名称 EnableCbacAndArmor
ADMX 文件名 kdc.admx

emitlili

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本
✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本
✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本
✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/emitlili

此策略设置控制域控制器是否提供有关以前登录到客户端计算机的信息。

  • 如果启用此策略设置,则域控制器会提供有关先前登录的信息消息。

若要使 Windows 登录利用此功能,还需要启用位于 Windows 组件下的“Windows 登录选项”节点中的“显示有关用户登录之前登录的信息”策略设置。

  • 如果禁用或未配置此策略设置,则域控制器不会提供有关以前登录的信息,除非启用了“在用户登录期间显示有关以前登录的信息”策略设置。

注意

仅当域功能级别为 Windows Server 2008 时,才会提供有关以前登录的信息。 在域功能级别为 Windows Server 2003、Windows 2000 本机或 Windows 2000 混合的域中,域控制器无法提供有关以前登录的信息,并且启用此策略设置不会影响任何内容。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 emitlili
友好名称 提供有关以前登录到客户端计算机的信息
位置 “计算机配置”
路径 系统 > KDC
注册表项名称 Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
注册表值名称 EmitLILI
ADMX 文件名 kdc.admx

ForestSearch

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本
✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本
✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本
✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/ForestSearch

此策略设置定义密钥分发中心 (KDC 在尝试解析两部分服务主体名称 (SPN) 时) 搜索的信任林列表。

  • 如果启用此策略设置,如果 KDC 无法解析本地林中的两部分 SPN,则 KDC 将在此列表中搜索林。 使用全局目录或名称后缀提示执行林搜索。 如果找到匹配项,KDC 将向相应域的客户端返回引荐票证。

  • 如果禁用或未配置此策略设置,KDC 不会搜索列出的林来解析 SPN。 如果 KDC 由于找不到名称而无法解析 SPN,则可能使用 NTLM 身份验证。

为确保行为一致,必须支持此策略设置,并在域中的所有域控制器上设置相同。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 ForestSearch
友好名称 使用林搜索顺序
位置 “计算机配置”
路径 系统 > KDC
注册表项名称 Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
注册表值名称 UseForestSearch
ADMX 文件名 kdc.admx

PKINITFreshness

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本
✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本
✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本
✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/PKINITFreshness

对 PKInit Freshness 扩展的支持需要 Windows Server 2016 域功能级别 (DFL) 。 如果域控制器的域不在 Windows Server 2016 DFL 或更高版本中,则不会应用此策略。

此策略设置允许配置域控制器 (DC) 以支持 PKInit Freshness 扩展。

  • 如果启用此策略设置,则支持以下选项:

支持:根据请求支持 PKInit Freshness 扩展。 使用 PKInit Freshness 扩展成功进行身份验证的 Kerberos 客户端将获得新的公钥标识 SID。

必需:成功身份验证需要 PKInit Freshness 扩展。 使用公钥凭据时,不支持 PKInit Freshness 扩展的 Kerberos 客户端将始终失败。

  • 如果禁用或不配置此策略设置,则 DC 将永远不会提供 PKInit Freshness 扩展,并且不会在不检查新鲜度的情况下接受有效的身份验证请求。 用户永远不会收到新的公钥标识 SID。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 PKINITFreshness
友好名称 KDC 对 PKInit Freshness 扩展的支持
位置 “计算机配置”
路径 系统 > KDC
注册表项名称 Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
ADMX 文件名 kdc.admx

RequestCompoundId

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本
✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本
✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本
✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/RequestCompoundId

此策略设置允许将域控制器配置为请求复合身份验证。

注意

若要使域控制器请求复合身份验证,必须配置并启用策略“对声明、复合身份验证和 Kerberos 保护的 KDC 支持”。

  • 如果启用此策略设置,域控制器将请求复合身份验证。 仅当显式配置帐户时,返回的服务票证才会包含复合身份验证。 此策略应应用于所有域控制器,以确保此策略在域中的一致应用。

  • 如果禁用或未配置此策略设置,则无论帐户配置如何,每当客户端发送复合身份验证请求时,域控制器都会返回包含复合身份验证的服务票证。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 RequestCompoundId
友好名称 请求复合身份验证
位置 “计算机配置”
路径 系统 > KDC
注册表项名称 Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
注册表值名称 RequestCompoundId
ADMX 文件名 kdc.admx

TicketSizeThreshold

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本
✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本
✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本
✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/TicketSizeThreshold

此策略设置允许你配置 Kerberos 票证将触发 Kerberos 身份验证期间发出的警告事件的大小。 票证大小警告记录在系统日志中。

  • 如果启用此策略设置,则可以为触发警告事件的 Kerberos 票证设置阈值限制。 如果设置得太高,即使未记录警告事件,身份验证失败也可能发生。 如果设置得太低,日志中将存在过多的票证警告,无法用于分析。 此值应设置为与 Kerberos 策略“设置最大 Kerberos SSPI 上下文令牌缓冲区大小”相同的值,或者如果未使用组策略进行配置,则设置为环境中使用的最小 MaxTokenSize。

  • 如果禁用或不配置此策略设置,则阈值默认为 12,000 字节,即 Windows 7、Windows Server 2008 R2 和早期版本的默认 Kerberos MaxTokenSize。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 TicketSizeThreshold
友好名称 针对大型 Kerberos 票证的警告
位置 “计算机配置”
路径 系统 > KDC
注册表项名称 Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
注册表值名称 EnableTicketSizeThreshold
ADMX 文件名 kdc.admx

策略配置服务提供程序