Поставщик служб CSP политики — ADMX_Kerberos
Совет
Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.
Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.
AlwaysSendCompoundId
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/AlwaysSendCompoundId
Этот параметр политики определяет, всегда ли устройство отправляет сложный запрос проверки подлинности, когда домен ресурса запрашивает составное удостоверение.
Примечание.
Чтобы контроллер домена запрашивал составную проверку подлинности, политики "Поддержка KDC для утверждений, составная проверка подлинности и защита Kerberos" и "Составная проверка подлинности запроса" должны быть настроены и включены в домене учетной записи ресурса.
Если этот параметр политики включен и домен ресурсов запрашивает составную проверку подлинности, устройства, поддерживающие составную проверку подлинности, всегда отправляют запрос составной проверки подлинности.
Если этот параметр политики отключен или не настроен, а домен ресурсов запрашивает составную проверку подлинности, устройства сначала отправят запрос несоединяемой проверки подлинности, а затем составной запрос проверки подлинности, когда служба запрашивает составную проверку подлинности.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | AlwaysSendCompoundId |
| Понятное имя | Сначала всегда отправлять составную проверку подлинности |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Имя значения реестра | AlwaysSendCompoundId |
| Имя файла ADMX | Kerberos.admx |
DevicePKInitEnabled
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/DevicePKInitEnabled
Для поддержки проверки подлинности устройства с помощью сертификата потребуется подключение к контроллеру домена в домене учетной записи устройства, который поддерживает проверку подлинности сертификата для учетных записей компьютеров.
Этот параметр политики позволяет настроить поддержку Kerberos для попытки проверки подлинности с помощью сертификата для устройства в домене.
- Если этот параметр политики включен, учетные данные устройств будут выбраны на основе следующих параметров:
Автоматически. Устройство будет пытаться пройти проверку подлинности с помощью сертификата. Если контроллер домена не поддерживает проверку подлинности учетной записи компьютера с помощью сертификатов, будет предпринята попытка проверки подлинности с помощью пароля.
Принудительное. Устройство всегда будет проходить проверку подлинности с помощью сертификата. Если не удается найти контроллер домена, поддерживающий проверку подлинности учетной записи компьютера с помощью сертификатов, проверка подлинности завершится ошибкой.
Если этот параметр политики отключен, сертификаты никогда не будут использоваться.
Если этот параметр политики не настроен, будет использоваться автоматически.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | DevicePKInitEnabled |
| Понятное имя | Поддержка проверки подлинности устройства с помощью сертификата |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Имя значения реестра | DevicePKInitEnabled |
| Имя файла ADMX | Kerberos.admx |
HostToRealm
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/HostToRealm
Этот параметр политики позволяет указать, какие имена узлов DNS и какие DNS-суффиксы сопоставляются с областью Kerberos.
Если этот параметр политики включен, можно просмотреть и изменить список имен узлов DNS и DNS-суффиксов, сопоставленных с областью Kerberos, как определено в групповой политике. Чтобы просмотреть список сопоставлений, включите параметр политики и нажмите кнопку Показать. Чтобы добавить сопоставление, включите параметр политики, обратите внимание на синтаксис и нажмите кнопку Показать. В диалоговом окне Показать содержимое в столбце Имя значения введите имя области. В столбце Значение введите список имен узлов DNS и DNS-суффиксов в соответствующем формате синтаксиса. Чтобы удалить сопоставление из списка, щелкните удаляемую запись сопоставления и нажмите клавишу DELETE. Чтобы изменить сопоставление, удалите текущую запись из списка и добавьте новую с другими параметрами.
Если этот параметр политики отключен, список сопоставлений между именами узлов и областями Kerberos, определенный групповой политикой, удаляется.
Если этот параметр политики не настроен, система будет использовать сопоставления между именами узлов и областями Kerberos, определенными в локальном реестре, если они существуют.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | HostToRealm |
| Понятное имя | Определение сопоставлений между именами узлов и областями Kerberos |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| Имя значения реестра | domain_realm_Enabled |
| Имя файла ADMX | Kerberos.admx |
KdcProxyDisableServerRevocationCheck
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyDisableServerRevocationCheck
Этот параметр политики позволяет отключить проверку отзыва SSL-сертификата целевого прокси-сервера KDC.
- Если этот параметр политики включен, проверка отзыва SSL-сертификата прокси-сервера KDC игнорируется клиентом Kerberos. Этот параметр политики следует использовать только при устранении неполадок прокси-подключений KDC.
Warning
Если проверка отзыва игнорируется, сервер, представленный сертификатом, не гарантируется.
- Если этот параметр политики отключен или не настроен, клиент Kerberos принудительно выполняет проверку отзыва SSL-сертификата. Подключение к прокси-серверу KDC не устанавливается, если проверка отзыва завершается ошибкой.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | KdcProxyDisableServerRevocationCheck |
| Понятное имя | Отключение проверки отзыва SSL-сертификата прокси-серверов KDC |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Имя значения реестра | NoRevocationCheck |
| Имя файла ADMX | Kerberos.admx |
KdcProxyServer
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyServer
Этот параметр политики настраивает сопоставление клиента Kerberos с прокси-серверами KDC для доменов на основе имен ИХ DNS-суффиксов.
Если этот параметр политики включен, клиент Kerberos будет использовать прокси-сервер KDC для домена, если контроллер домена не может быть расположен на основе настроенных сопоставлений. Чтобы сопоставить прокси-сервер KDC с доменом, включите параметр политики, нажмите кнопку Показать, а затем сопоставьте имена прокси-серверов KDC с DNS-именем домена, используя синтаксис, описанный в области параметров. В диалоговом окне Показать содержимое в столбце Имя значения введите имя DNS-суффикса. В столбце Значение введите список прокси-серверов в соответствующем формате синтаксиса. Чтобы просмотреть список сопоставлений, включите параметр политики и нажмите кнопку Показать. Чтобы удалить сопоставление из списка, щелкните удаляемую запись сопоставления и нажмите клавишу DELETE. Чтобы изменить сопоставление, удалите текущую запись из списка и добавьте новую с другими параметрами.
Если этот параметр политики отключен или не настроен, клиент Kerberos не имеет параметров прокси-серверов KDC, определенных групповой политикой.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | KdcProxyServer |
| Понятное имя | Указание прокси-серверов KDC для клиентов Kerberos |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| Имя значения реестра | KdcProxyServer_Enabled |
| Имя файла ADMX | Kerberos.admx |
MitRealms
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/MitRealms
Этот параметр политики настраивает клиент Kerberos так, чтобы он смог проходить проверку подлинности в совместимых областях Kerberos версии 5, как определено в этом параметре политики.
Если этот параметр политики включен, можно просмотреть и изменить список совместимых областей Kerberos версии 5 и их параметров. Чтобы просмотреть список совместимых областей Kerberos версии 5, включите параметр политики и нажмите кнопку Показать. Чтобы добавить совместимую область Kerberos версии 5, включите параметр политики, обратите внимание на синтаксис и нажмите кнопку Показать. В диалоговом окне Показать содержимое в столбце Имя значения введите имя совместимой области Kerberos V5. В столбце Значение введите флаги областей и имена узлов узлов, используя соответствующий формат синтаксиса. Чтобы удалить из списка имя значения или значение в области Kerberos версии 5, щелкните запись и нажмите клавишу DELETE. Чтобы изменить сопоставление, удалите текущую запись из списка и добавьте новую с другими параметрами.
Если этот параметр политики отключен, параметры области Kerberos версии 5 для взаимодействия, определенные групповой политикой, удаляются.
Если этот параметр политики не настроен, система использует совместимые параметры области Kerberos версии 5, определенные в локальном реестре, если они существуют.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | MitRealms |
| Понятное имя | Определение параметров области Kerberos версии 5 для взаимодействия |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| Имя значения реестра | MitRealms_Enabled |
| Имя файла ADMX | Kerberos.admx |
ServerAcceptsCompound
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/ServerAcceptsCompound
Этот параметр политики управляет настройкой учетной записи Active Directory устройства для комплексной проверки подлинности.
Для поддержки комплексной проверки подлинности, используемой для управления доступом, потребуется достаточно контроллеров домена в доменах учетных записей ресурсов для поддержки запросов. Администратор домена должен настроить политику "Поддержка динамического контроля доступа и защиты Kerberos" на всех контроллерах домена для поддержки этой политики.
- Если этот параметр политики включен, учетная запись Active Directory устройства будет настроена для комплексной проверки подлинности с помощью следующих параметров:
Никогда: для этой учетной записи компьютера никогда не предоставляется составная проверка подлинности.
Автоматический. Составная проверка подлинности предоставляется для этой учетной записи компьютера, если для одного или нескольких приложений настроено динамическое управление доступом.
Всегда: для этой учетной записи компьютера всегда предоставляется составная проверка подлинности.
Если этот параметр политики отключен, никогда не будет использоваться.
Если этот параметр политики не настроен, будет использоваться автоматически.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | ServerAcceptsCompound |
| Понятное имя | Поддержка составной проверки подлинности |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Policies\Microsoft\Netlogon\Parameters |
| Имя значения реестра | CompoundIdDisabled |
| Имя файла ADMX | Kerberos.admx |
StrictTarget
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/StrictTarget
Этот параметр политики позволяет настроить этот сервер таким образом, чтобы Kerberos могла расшифровать билет, содержащий это созданное системой имя субъекта-службы. Когда приложение пытается выполнить удаленный вызов процедуры (RPC) к этому серверу со значением NULL для имени субъекта-службы (SPN), компьютеры под управлением Windows 7 или более поздней версии пытаются использовать Kerberos, создав имя субъекта-службы.
Если этот параметр политики включен, только службы, работающие как LocalSystem или NetworkService, могут принимать эти подключения. Службы, работающие как удостоверения, отличные от LocalSystem или NetworkService, могут не пройти проверку подлинности.
Если этот параметр политики отключен или не настроен, любая служба может принимать входящие подключения с помощью этого созданного системой имени субъекта-службы.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | StrictTarget |
| Понятное имя | Требование строгого соответствия целевого имени субъекта-службы для удаленных вызовов процедур |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Имя значения реестра | StrictTargetContext |
| Имя файла ADMX | Kerberos.admx |