Поставщик служб CSP политики — ADMX_kdc
Совет
Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.
Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.
CbacAndArmor
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/CbacAndArmor
Этот параметр политики позволяет настроить контроллер домена для поддержки утверждений и составной проверки подлинности для динамического контроля доступа и защиты Kerberos с помощью проверки подлинности Kerberos.
Если этот параметр политики включен, клиентские компьютеры, поддерживающие утверждения и составную проверку подлинности для динамического управления доступом и поддерживающие защиту Kerberos, будут использовать эту функцию для сообщений проверки подлинности Kerberos. Эта политика должна применяться ко всем контроллерам домена, чтобы обеспечить согласованное применение этой политики в домене.
Если этот параметр политики отключен или не настроен, контроллер домена не поддерживает утверждения, составную проверку подлинности или защиту.
Если вы настроите параметр "Не поддерживается", контроллер домена не поддерживает утверждения, составную проверку подлинности или защиту, что является поведением по умолчанию для контроллеров домена под управлением Windows Server 2008 R2 или более ранних операционных систем.
Примечание.
Чтобы следующие параметры этой политики KDC были эффективными, в поддерживаемых системах должна быть включена групповая политика Kerberos "Поддержка клиентов Kerberos для утверждений, составная проверка подлинности и защита Kerberos". Если параметр политики Kerberos не включен, сообщения проверки подлинности Kerberos не будут использовать эти функции.
Если вы настроите параметр "Поддерживается", контроллер домена поддерживает утверждения, составную проверку подлинности и защиту Kerberos. Контроллер домена объявляет клиентским компьютерам Kerberos, что домен поддерживает утверждения и составную проверку подлинности для динамического контроля доступа и защиты Kerberos.
Требования к функциональному уровню домена.
Если для параметров "Всегда предоставлять утверждения" и "Сбой запросов на неосторженую проверку подлинности", если для уровня функциональности домена задано значение Windows Server 2008 R2 или более ранней версии, контроллеры домена ведут себя так, как если выбран параметр "Поддерживается".
Если для уровня работы домена задано значение Windows Server 2012, контроллер домена объявляет клиентским компьютерам Kerberos, что домен поддерживает утверждения и составную проверку подлинности для динамического контроля доступа и защиты Kerberos, а также:
Если задан параметр "Всегда предоставлять утверждения", всегда возвращает утверждения для учетных записей и поддерживает поведение RFC для рекламы гибкой проверки подлинности безопасного туннелирования (FAST).
Если задан параметр "Fail unarmored authentication requests" (Неудачные запросы проверки подлинности), отклоняет неуклюжные сообщения Kerberos.
Warning
Если задано значение "Fail unarmored authentication requests", клиентские компьютеры, которые не поддерживают защиту Kerberos, не смогут пройти проверку подлинности на контроллере домена.
Чтобы обеспечить эффективность этой функции, разверните достаточно контроллеров домена, которые поддерживают утверждения и составную проверку подлинности для динамического управления доступом и поддерживают защиту Kerberos для обработки запросов проверки подлинности. Недостаточное количество контроллеров домена, поддерживающих эту политику, приводит к сбоям проверки подлинности, когда требуется динамическое управление доступом или защита Kerberos (то есть включен параметр "Поддерживается").
Влияние на производительность контроллера домена при включении этого параметра политики:
Требуется безопасное обнаружение возможностей домена Kerberos, что приводит к дополнительным обменам сообщениями.
Утверждения и составная проверка подлинности для динамического контроля доступа увеличивает размер и сложность данных в сообщении, что приводит к увеличению времени обработки и увеличению размера билета службы Kerberos.
Защита Kerberos полностью шифрует сообщения Kerberos и подписывает ошибки Kerberos, что приводит к увеличению времени обработки, но не изменяет размер билета службы.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | CbacAndArmor |
| Понятное имя | Поддержка KDC для утверждений, составной проверки подлинности и защиты Kerberos |
| Location | Конфигурация компьютера |
| Путь | Системный > KDC |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Имя значения реестра | EnableCbacAndArmor |
| Имя файла ADMX | kdc.admx |
emitlili
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/emitlili
Этот параметр политики определяет, предоставляет ли контроллер домена сведения о предыдущих входах на клиентские компьютеры.
- Если этот параметр политики включен, контроллер домена предоставляет информационное сообщение о предыдущих входах.
Чтобы использовать эту функцию, необходимо также включить параметр политики "Отображение сведений о предыдущих входах во время входа пользователя", расположенный в узле Параметры входа в Windows в разделе Компоненты Windows.
- Если этот параметр политики отключен или не настроен, контроллер домена не предоставляет сведения о предыдущих входах, если не включен параметр политики "Отображение сведений о предыдущих входах во время входа пользователя".
Примечание.
Сведения о предыдущих входах предоставляются только в том случае, если уровень работы домена — Windows Server 2008. В доменах с уровнем работы домена Windows Server 2003, Windows 2000 native или Windows 2000 mixed контроллеры домена не могут предоставлять сведения о предыдущих входах, и включение этого параметра политики ни на что не влияет.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | emitlili |
| Понятное имя | Предоставление сведений о предыдущих входах на клиентские компьютеры |
| Location | Конфигурация компьютера |
| Путь | Системный > KDC |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Имя значения реестра | EmitLILI |
| Имя файла ADMX | kdc.admx |
ForestSearch
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/ForestSearch
Этот параметр политики определяет список лесов доверия, в которые выполняется поиск центра распространения ключей (KDC) при попытке разрешить имена двухкомпонентных субъектов-служб (SPN).
Если этот параметр политики включен, центр управления будет выполнять поиск в лесах в этом списке, если ему не удается разрешить двухкомпонентное имя субъекта-службы в локальном лесу. Поиск по лесу выполняется с помощью указания глобального каталога или суффикса имени. Если совпадение найдено, KDC вернет клиенту запрос на реферальную ссылку для соответствующего домена.
Если этот параметр политики отключен или не настроен, центр управления не будет выполнять поиск в перечисленных лесах для разрешения имени субъекта-службы. Если KDC не может разрешить имя субъекта-службы, так как имя не найдено, может использоваться проверка подлинности NTLM.
Чтобы обеспечить согласованное поведение, этот параметр политики должен поддерживаться и задаваться одинаково на всех контроллерах домена в домене.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | ForestSearch |
| Понятное имя | Использование порядка поиска в лесу |
| Location | Конфигурация компьютера |
| Путь | Системный > KDC |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Имя значения реестра | UseForestSearch |
| Имя файла ADMX | kdc.admx |
PKINITFreshness
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/PKINITFreshness
Для поддержки расширения freshness PKInit требуется уровень функциональности домена Windows Server 2016 (DFL). Если домен контроллера домена не находится в windows Server 2016 DFL или более поздней версии, эта политика не будет применяться.
Этот параметр политики позволяет настроить контроллер домена (DC) для поддержки расширения PKInit Freshness.
- Если этот параметр политики включен, поддерживаются следующие параметры:
Поддерживается. Расширение актуальности PKInit поддерживается по запросу. Клиенты Kerberos, успешно проверив проверку подлинности с помощью расширения PKInit Freshness, получат новый идентификатор идентификатора открытого ключа.
Обязательно: для успешной проверки подлинности требуется расширение freshness PKInit. Клиенты Kerberos, которые не поддерживают расширение PKInit Freshness, всегда завершаются сбоем при использовании учетных данных открытого ключа.
- Если этот параметр политики отключен или не настроен, контроллер домена никогда не будет предлагать расширение PKInit Freshness и принимать допустимые запросы проверки подлинности без проверки актуальности. Пользователи никогда не получат новый идентификатор идентификатора открытого ключа.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | PKINITFreshness |
| Понятное имя | Поддержка KDC для расширения freshness PKInit |
| Location | Конфигурация компьютера |
| Путь | Системный > KDC |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Имя файла ADMX | kdc.admx |
RequestCompoundId
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/RequestCompoundId
Этот параметр политики позволяет настроить контроллер домена для запроса составной проверки подлинности.
Примечание.
Чтобы контроллер домена запрашивал составную проверку подлинности, необходимо настроить и включить политику "Поддержка KDC утверждений, составная проверка подлинности и защита Kerberos".
Если этот параметр политики включен, контроллеры домена будут запрашивать составную проверку подлинности. Возвращенный билет службы будет содержать составную проверку подлинности только в том случае, если учетная запись настроена явно. Эта политика должна применяться ко всем контроллерам домена, чтобы обеспечить согласованное применение этой политики в домене.
Если этот параметр политики отключен или не настроен, контроллеры домена будут возвращать билеты службы, содержащие составную проверку подлинности, каждый раз, когда клиент отправляет сложный запрос на проверку подлинности независимо от конфигурации учетной записи.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | RequestCompoundId |
| Понятное имя | Составная проверка подлинности запроса |
| Location | Конфигурация компьютера |
| Путь | Системный > KDC |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Имя значения реестра | RequestCompoundId |
| Имя файла ADMX | kdc.admx |
TicketSizeThreshold
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/TicketSizeThreshold
Этот параметр политики позволяет настроить, при каком размере билеты Kerberos будут активировать событие предупреждения, выданное во время проверки подлинности Kerberos. Предупреждения о размере билета регистрируются в системном журнале.
Если этот параметр политики включен, можно задать пороговое значение для билета Kerberos, которое активирует события предупреждения. Если задано слишком большое значение, могут возникать сбои проверки подлинности, даже если события предупреждения не регистрируются. Если задано слишком низкое значение, в журнале будет слишком много предупреждений о билетах, которые будут полезны для анализа. Это значение должно иметь то же значение, что и в политике Kerberos "Set maximum Kerberos SSPI context token buffer size" (Задать максимальный размер буфера маркера контекста Kerberos SSPI) или наименьшее значение MaxTokenSize, используемое в вашей среде, если вы не настраиваете групповую политику.
Если этот параметр политики отключен или не настроен, пороговое значение по умолчанию равно 12 000 байт, что является maxTokenSize kerberos по умолчанию для Windows 7, Windows Server 2008 R2 и более ранних версий.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | TicketSizeThreshold |
| Понятное имя | Предупреждение для больших билетов Kerberos |
| Location | Конфигурация компьютера |
| Путь | Системный > KDC |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Имя значения реестра | EnableTicketSizeThreshold |
| Имя файла ADMX | kdc.admx |