共用方式為

Kerberos 原則

  • 發行項

Kerberos 票證原則定義于網域層級,並由網域的 金鑰發佈中心 (KDC) 實作。 Kerberos 原則會儲存在 Active Directory 中,作為網域安全性原則屬性的子集。 根據預設,原則選項只能由 Domain Administrators 群組的成員設定。 網域原則包含下列選項:

  • 支援張貼的票證
  • 僅支援 Windows Server 2003 (限制委派)
  • 可轉寄的支援票證
  • 支援可更新票證
  • 設定票證存留期上限
  • 設定最大續約存留期
  • 設定 Proxy 票證存留期上限
  • 票證到期時強制登出使用者

使用 限制委派時,可以將電腦設定為只允許將認證轉送至特定服務清單。 這些服務必須與轉送認證的電腦位於相同的網域中。 在 限制委派下,票證不再從用戶端傳送到伺服器。 伺服器電腦會建立服務票證,以視需要從用來驗證用戶端的資訊轉送。

雖然網域的 Kerberos 原則可能會允許轉寄票證來允許委派驗證,但該層面的原則不需要套用至所有使用者或所有電腦。 個別使用者帳戶的屬性可以設定為停用任何伺服器的該使用者的認證轉送。 個別電腦的帳戶屬性可以設定為停用任何使用者的認證轉送。 在這兩種情況下,您可以建立群組原則來停用委派,以套用至 Active Directory 組織單位中的所有使用者或所有電腦。

Windows XP/2000: 不支援限制委派。