策略 CSP - ADMX_Kerberos

提示

此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>。 有关详细信息,请参阅 了解 ADMX 支持的策略

SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节

AlwaysSendCompoundId

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本
✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本
✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本
✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/AlwaysSendCompoundId

此策略设置控制当资源域请求复合标识时,设备是否始终发送复合身份验证请求。

注意

若要使域控制器请求复合身份验证,必须在资源帐户域中配置并启用策略“对声明、复合身份验证和 Kerberos 保护的 KDC 支持”和“请求复合身份验证”。

  • 如果启用此策略设置,并且资源域请求复合身份验证,则支持复合身份验证的设备始终发送复合身份验证请求。

  • 如果禁用或未配置此策略设置,并且资源域请求复合身份验证,设备将首先发送非复合身份验证请求,然后在服务请求复合身份验证时发送复合身份验证请求。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 AlwaysSendCompoundId
友好名称 始终首先发送复合身份验证
位置 “计算机配置”
路径 系统 > Kerberos
注册表项名称 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
注册表值名称 AlwaysSendCompoundId
ADMX 文件名 Kerberos.admx

DevicePKInitEnabled

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本
✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本
✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本
✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/DevicePKInitEnabled

支持使用证书进行设备身份验证需要连接到支持计算机帐户证书身份验证的设备帐户域中的 DC。

通过此策略设置,可以设置对 Kerberos 的支持,以尝试使用设备到域的证书进行身份验证。

  • 如果启用此策略设置,则会根据以下选项选择设备凭据:

自动:设备将尝试使用其证书进行身份验证。 如果 DC 不支持使用证书进行计算机帐户身份验证,则会尝试使用密码进行身份验证。

强制:设备将始终使用其证书进行身份验证。 如果找不到支持使用证书进行计算机帐户身份验证的 DC,身份验证将失败。

  • 如果禁用此策略设置,则永远不会使用证书。

  • 如果未配置此策略设置,将使用“自动”。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 DevicePKInitEnabled
友好名称 支持使用证书进行设备身份验证
位置 “计算机配置”
路径 系统 > Kerberos
注册表项名称 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
注册表值名称 DevicePKInitEnabled
ADMX 文件名 Kerberos.admx

HostToRealm

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本
✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本
✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本
✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/HostToRealm

使用此策略设置,可以指定哪些 DNS 主机名和哪些 DNS 后缀映射到 Kerberos 领域。

  • 如果启用此策略设置,可以查看和更改映射到 Kerberos 领域的 DNS 主机名和 DNS 后缀列表,如组策略所定义。 若要查看映射列表,请启用策略设置,然后单击“显示”按钮。 若要添加映射,请启用策略设置,记下语法,然后单击“显示”。 在“值名称”列中的“显示内容”对话框中,键入领域名称。 在“值”列中,使用适当的语法格式键入 DNS 主机名和 DNS 后缀的列表。 若要从列表中删除映射,请单击要删除的映射项,然后按 DELETE 键。 若要编辑映射,请从列表中删除当前条目,并添加具有不同参数的新条目。

  • 如果禁用此策略设置,则会删除组策略定义的主机名到 Kerberos 领域映射列表。

  • 如果未配置此策略设置,系统会使用本地注册表中定义的主机名到 Kerberos 领域映射(如果存在)。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 HostToRealm
友好名称 定义主机名到 Kerberos 领域映射
位置 “计算机配置”
路径 系统 > Kerberos
注册表项名称 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
注册表值名称 domain_realm_Enabled
ADMX 文件名 Kerberos.admx

KdcProxyDisableServerRevocationCheck

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本
✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本
✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本
✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyDisableServerRevocationCheck

此策略设置允许对目标 KDC 代理服务器的 SSL 证书禁用吊销检查。

  • 如果启用此策略设置,Kerberos 客户端将忽略 KDC 代理服务器 SSL 证书的吊销检查。 此策略设置应仅用于对 KDC 代理连接进行故障排除。

警告

如果忽略吊销检查,则不保证证书表示的服务器有效。

  • 如果禁用或未配置此策略设置,Kerberos 客户端将强制实施 SSL 证书的吊销检查。 如果吊销检查失败,则不会建立与 KDC 代理服务器的连接。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 KdcProxyDisableServerRevocationCheck
友好名称 对 KDC 代理服务器的 SSL 证书禁用吊销检查
位置 “计算机配置”
路径 系统 > Kerberos
注册表项名称 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
注册表值名称 NoRevocationCheck
ADMX 文件名 Kerberos.admx

KdcProxyServer

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本
✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本
✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本
✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyServer

此策略设置根据域的 DNS 后缀名称配置 Kerberos 客户端到 KDC 代理服务器的映射。

  • 如果启用此策略设置,则当无法根据配置的映射找到域控制器时,Kerberos 客户端将为域使用 KDC 代理服务器。 若要将 KDC 代理服务器映射到域,请启用策略设置,单击“显示”,然后使用选项窗格中所述的语法将 KDC 代理服务器名称 () 映射到域的 DNS 名称。 在“值名称”列中的“显示内容”对话框中,键入 DNS 后缀名称。 在“值”列中,使用适当的语法格式键入代理服务器列表。 若要查看映射列表,请启用策略设置,然后单击“显示”按钮。 若要从列表中删除映射,请单击要删除的映射项,然后按 DELETE 键。 若要编辑映射,请从列表中删除当前条目,并添加具有不同参数的新条目。

  • 如果禁用或未配置此策略设置,则 Kerberos 客户端没有组策略定义的 KDC 代理服务器设置。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 KdcProxyServer
友好名称 为 Kerberos 客户端指定 KDC 代理服务器
位置 “计算机配置”
路径 系统 > Kerberos
注册表项名称 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
注册表值名称 KdcProxyServer_Enabled
ADMX 文件名 Kerberos.admx

MitRealms

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本
✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本
✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本
✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/MitRealms

此策略设置配置 Kerberos 客户端,以便它可以按照此策略设置的定义,通过可互操作的 Kerberos V5 领域进行身份验证。

  • 如果启用此策略设置,可以查看和更改可互操作 Kerberos V5 领域及其设置的列表。 若要查看可互操作 Kerberos V5 领域的列表,请启用策略设置,然后单击“显示”按钮。 若要添加可互操作的 Kerberos V5 领域,请启用策略设置,记下语法,然后单击“显示”。 在“值名称”列中的“显示内容”对话框中,键入可互操作的 Kerberos V5 领域名称。 在“值”列中,使用适当的语法格式键入主机 KDC 的领域标志和主机名。 若要从列表中删除可互操作的 Kerberos V5 领域“值名称”或“值”条目,请单击该条目,然后按 DELETE 键。 若要编辑映射,请从列表中删除当前条目,并添加具有不同参数的新条目。

  • 如果禁用此策略设置,则会删除组策略定义的可互操作 Kerberos V5 领域设置。

  • 如果未配置此策略设置,系统将使用本地注册表中定义的可互操作 Kerberos V5 领域设置(如果存在)。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 MitRealms
友好名称 定义可互操作的 Kerberos V5 领域设置
位置 “计算机配置”
路径 系统 > Kerberos
注册表项名称 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
注册表值名称 MitRealms_Enabled
ADMX 文件名 Kerberos.admx

ServerAcceptsCompound

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本
✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本
✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本
✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/ServerAcceptsCompound

此策略设置控制如何配置设备的 Active Directory 帐户进行复合身份验证。

支持提供用于访问控制的复合身份验证需要资源帐户域中有足够的域控制器来支持请求。 域管理员必须在所有域控制器上配置策略“支持动态访问控制和 Kerberos 保护”,以支持此策略。

  • 如果启用此策略设置,将通过以下选项配置设备的 Active Directory 帐户进行复合身份验证:

从不:永远不会为此计算机帐户提供复合身份验证。

自动:为动态访问控制配置了一个或多个应用程序时,会为此计算机帐户提供复合身份验证。

始终:始终为此计算机帐户提供复合身份验证。

  • 如果禁用此策略设置,将使用“从不”。

  • 如果未配置此策略设置,将使用“自动”。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 ServerAcceptsCompound
友好名称 支持复合身份验证
位置 “计算机配置”
路径 系统 > Kerberos
注册表项名称 Software\Policies\Microsoft\Netlogon\Parameters
注册表值名称 CompoundIdDisabled
ADMX 文件名 Kerberos.admx

StrictTarget

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本
✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本
✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本
✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/StrictTarget

此策略设置允许配置此服务器,以便 Kerberos 可以解密包含此系统生成的 SPN 的票证。 当应用程序尝试将远程过程调用 (RPC) 到此服务器,服务主体名称为 NULL 值 (SPN) 时,运行 Windows 7 或更高版本的计算机会尝试通过生成 SPN 来使用 Kerberos。

  • 如果启用此策略设置,则仅允许以 LocalSystem 或 NetworkService 身份运行的服务接受这些连接。 作为与 LocalSystem 或 NetworkService 不同的标识运行的服务可能无法进行身份验证。

  • 如果禁用或未配置此策略设置,则允许任何服务使用此系统生成的 SPN 接受传入连接。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换

提示

这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略

ADMX 映射

名称
名称 StrictTarget
友好名称 要求在远程过程调用上严格匹配目标 SPN
位置 “计算机配置”
路径 系统 > Kerberos
注册表项名称 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
注册表值名称 StrictTargetContext
ADMX 文件名 Kerberos.admx

策略配置服务提供程序