Поставщик служб CSP политики — Kerberos
Совет
Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.
Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.
AllowForestSearchOrder
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Kerberos/AllowForestSearchOrder
Этот параметр политики определяет список доверенных лесов, в которые выполняется поиск клиента Kerberos при попытке разрешения двухкомпонентных имен субъектов-служб (SPN).
Если этот параметр политики включен, клиент Kerberos выполняет поиск лесов в этом списке, если ему не удается разрешить двухкомпонентное имя субъекта-службы. Если совпадение найдено, клиент Kerberos запрашивает запрос на реферальную ссылку в соответствующий домен.
Если этот параметр политики отключен или не настроен, клиент Kerberos не выполняет поиск в перечисленных лесах для разрешения имени субъекта-службы. Если клиенту Kerberos не удается разрешить имя субъекта-службы, так как имя не найдено, может использоваться проверка подлинности NTLM.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | ForestSearch |
| Понятное имя | Использование порядка поиска в лесу |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Имя значения реестра | UseForestSearch |
| Имя файла ADMX | Kerberos.admx |
CloudKerberosTicketRetrievalEnabled
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled
Этот параметр политики позволяет получить Microsoft Entra билет на предоставление билета Kerberos во время входа.
Если этот параметр политики отключен или не настроен, билет на предоставление билета Kerberos Microsoft Entra не будет получен во время входа.
Если этот параметр политики включен, Microsoft Entra билет на предоставление билета Kerberos извлекается во время входа.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Служба отключена. |
| 1 | Включено. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | CloudKerberosTicketRetrievalEnabled |
| Понятное имя | Разрешить получение билета на предоставление Azure AD Kerberos во время входа |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Имя значения реестра | CloudKerberosTicketRetrievalEnabled |
| Имя файла ADMX | Kerberos.admx |
KerberosClientSupportsClaimsCompoundArmor
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Kerberos/KerberosClientSupportsClaimsCompoundArmor
Этот параметр политики определяет, будет ли устройство запрашивать утверждения и составную проверку подлинности для динамической контроль доступа и защиты Kerberos с помощью проверки подлинности Kerberos с доменами, поддерживающими эти функции.
Если этот параметр политики включен, клиентские компьютеры будут запрашивать утверждения, предоставлять сведения, необходимые для создания составной проверки подлинности и защиты сообщений Kerberos в доменах, которые поддерживают утверждения и составную проверку подлинности для динамической контроль доступа и защиты Kerberos.
Если этот параметр политики отключен или не настроен, клиентские устройства не будут запрашивать утверждения, предоставляя сведения, необходимые для создания составной проверки подлинности и защиты сообщений Kerberos. Службы, размещенные на устройстве, не смогут получать утверждения для клиентов, использующих переход протокола Kerberos.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | EnableCbacAndArmor |
| Понятное имя | Поддержка клиентов Kerberos для утверждений, составной проверки подлинности и защиты Kerberos |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Имя значения реестра | EnableCbacAndArmor |
| Имя файла ADMX | Kerberos.admx |
PKInitHashAlgorithmConfiguration
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 11, версия 22H2 [10.0.22621] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Этот параметр политики управляет алгоритмами хэша или контрольной суммы, используемыми клиентом Kerberos при проверке подлинности сертификата.
Если включить эту политику, вы сможете настроить одно из четырех состояний для каждого алгоритма:
Значение "По умолчанию" задает для алгоритма рекомендуемое состояние.
Параметр "Поддерживается" позволяет использовать алгоритм. Включение алгоритмов, отключенных по умолчанию, может снизить безопасность.
Audited позволяет использовать алгоритм и сообщает о событии (идентификатор 206) каждый раз при его использовании. Это состояние предназначено для проверки того, что алгоритм не используется и может быть безопасно отключен.
Параметр "Не поддерживается" отключает использование алгоритма. Это состояние предназначено для алгоритмов, которые считаются небезопасными.
Если вы отключите или не настроите эту политику, каждый алгоритм будет принимать состояние "По умолчанию".
События, созданные этой конфигурацией: 205, 206, 207, 208.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 0 |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 (по умолчанию) | Отключено или не настроено. |
| 1 | Включено. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | PKInitHashAlgorithmConfiguration |
| Понятное имя | Настройка хэш-алгоритмов для входа в сертификат |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Имя значения реестра | PKInitHashAlgorithmConfigurationEnabled |
| Имя файла ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA1
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 11, версия 22H2 [10.0.22621] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA1
Этот параметр политики управляет конфигурацией алгоритма SHA1, используемого клиентом Kerberos при проверке подлинности сертификата. Эта политика применяется только в том случае, если включена настройка Kerberos/PKInitHashAlgorithmConfiguration. Для этого алгоритма можно настроить одно из четырех состояний:
- 0 — не поддерживается: это состояние отключает использование алгоритма. Это состояние предназначено для алгоритмов, которые считаются небезопасными.
- 1 — по умолчанию. Это состояние задает для алгоритма рекомендуемое состояние.
- 2 . Аудит: это состояние позволяет использовать алгоритм и сообщает о событии (идентификатор 206) каждый раз при его использовании. Это состояние предназначено для проверки того, что алгоритм не используется и может быть безопасно отключен.
- 3. Поддерживается. Это состояние позволяет использовать алгоритм. Включение алгоритмов, отключенных по умолчанию, может снизить безопасность.
Если эта политика не настроена, алгоритм SHA1 будет принимать состояние по умолчанию .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
| Зависимость [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Тип зависимости: DependsOn URI зависимостей: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Допустимое значение зависимостей: [1] Тип допустимого значения зависимостей: Range |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не поддерживается. |
| 1 (по умолчанию) | По умолчанию. |
| 2 | Аудит. |
| 3 | Поддерживается. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | PKInitHashAlgorithmConfiguration |
| Понятное имя | Настройка хэш-алгоритмов для входа в сертификат |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Имя значения реестра | PKInitHashAlgorithmConfigurationEnabled |
| Имя файла ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA256
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 11, версия 22H2 [10.0.22621] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA256
Этот параметр политики управляет конфигурацией алгоритма SHA256, используемого клиентом Kerberos при проверке подлинности сертификата. Эта политика применяется только в том случае, если включена настройка Kerberos/PKInitHashAlgorithmConfiguration. Для этого алгоритма можно настроить одно из четырех состояний:
- 0 — не поддерживается: это состояние отключает использование алгоритма. Это состояние предназначено для алгоритмов, которые считаются небезопасными.
- 1 — по умолчанию. Это состояние задает для алгоритма рекомендуемое состояние.
- 2 . Аудит: это состояние позволяет использовать алгоритм и сообщает о событии (идентификатор 206) каждый раз при его использовании. Это состояние предназначено для проверки того, что алгоритм не используется и может быть безопасно отключен.
- 3. Поддерживается. Это состояние позволяет использовать алгоритм. Включение алгоритмов, отключенных по умолчанию, может снизить безопасность.
Если не настроить эту политику, алгоритм SHA256 будет принимать состояние по умолчанию .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
| Зависимость [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Тип зависимости: DependsOn URI зависимостей: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Допустимое значение зависимостей: [1] Тип допустимого значения зависимостей: Range |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не поддерживается. |
| 1 (по умолчанию) | По умолчанию. |
| 2 | Аудит. |
| 3 | Поддерживается. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | PKInitHashAlgorithmConfiguration |
| Понятное имя | Настройка хэш-алгоритмов для входа в сертификат |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Имя значения реестра | PKInitHashAlgorithmConfigurationEnabled |
| Имя файла ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA384
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 11, версия 22H2 [10.0.22621] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA384
Этот параметр политики управляет конфигурацией алгоритма SHA384, используемого клиентом Kerberos при проверке подлинности сертификата. Эта политика применяется только в том случае, если включена настройка Kerberos/PKInitHashAlgorithmConfiguration. Для этого алгоритма можно настроить одно из четырех состояний:
- 0 — не поддерживается: это состояние отключает использование алгоритма. Это состояние предназначено для алгоритмов, которые считаются небезопасными.
- 1 — по умолчанию. Это состояние задает для алгоритма рекомендуемое состояние.
- 2 . Аудит: это состояние позволяет использовать алгоритм и сообщает о событии (идентификатор 206) каждый раз при его использовании. Это состояние предназначено для проверки того, что алгоритм не используется и может быть безопасно отключен.
- 3. Поддерживается. Это состояние позволяет использовать алгоритм. Включение алгоритмов, отключенных по умолчанию, может снизить безопасность.
Если не настроить эту политику, алгоритм SHA384 будет принимать состояние по умолчанию .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
| Зависимость [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Тип зависимости: DependsOn URI зависимостей: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Допустимое значение зависимостей: [1] Тип допустимого значения зависимостей: Range |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не поддерживается. |
| 1 (по умолчанию) | По умолчанию. |
| 2 | Аудит. |
| 3 | Поддерживается. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | PKInitHashAlgorithmConfiguration |
| Понятное имя | Настройка хэш-алгоритмов для входа в сертификат |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Имя значения реестра | PKInitHashAlgorithmConfigurationEnabled |
| Имя файла ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA512
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 11, версия 22H2 [10.0.22621] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA512
Этот параметр политики управляет конфигурацией алгоритма SHA512, используемого клиентом Kerberos при проверке подлинности сертификата. Эта политика применяется только в том случае, если включена настройка Kerberos/PKInitHashAlgorithmConfiguration. Для этого алгоритма можно настроить одно из четырех состояний:
- 0 — не поддерживается: это состояние отключает использование алгоритма. Это состояние предназначено для алгоритмов, которые считаются небезопасными.
- 1 — по умолчанию. Это состояние задает для алгоритма рекомендуемое состояние.
- 2 . Аудит: это состояние позволяет использовать алгоритм и сообщает о событии (идентификатор 206) каждый раз при его использовании. Это состояние предназначено для проверки того, что алгоритм не используется и может быть безопасно отключен.
- 3. Поддерживается. Это состояние позволяет использовать алгоритм. Включение алгоритмов, отключенных по умолчанию, может снизить безопасность.
Если не настроить эту политику, алгоритм SHA512 будет принимать состояние по умолчанию .
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | int |
| Тип доступа | Добавить, удалить, получить, заменить |
| Значение по умолчанию | 1 |
| Зависимость [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Тип зависимости: DependsOn URI зависимостей: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Допустимое значение зависимостей: [1] Тип допустимого значения зависимостей: Range |
Допустимые значения:
| Значение | Описание |
|---|---|
| 0 | Не поддерживается. |
| 1 (по умолчанию) | По умолчанию. |
| 2 | Аудит. |
| 3 | Поддерживается. |
Сопоставление групповой политики:
| Имя | Значение |
|---|---|
| Имя | PKInitHashAlgorithmConfiguration |
| Понятное имя | Настройка хэш-алгоритмов для входа в сертификат |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Имя значения реестра | PKInitHashAlgorithmConfigurationEnabled |
| Имя файла ADMX | Kerberos.admx |
RequireKerberosArmoring
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireKerberosArmoring
Этот параметр политики определяет, требуется ли для компьютера защита обмена сообщениями Kerberos при обмене данными с контроллером домена.
Warning
Если домен не поддерживает защиту Kerberos, включив параметр "Поддержка динамического контроль доступа и защиты Kerberos", вся проверка подлинности для всех пользователей завершится сбоем на компьютерах с включенным параметром политики.
- Если этот параметр политики включен, клиентские компьютеры в домене принудительно применяют защиту Kerberos в обмене сообщениями службы проверки подлинности (AS) и службы предоставления билетов (TGS) с контроллерами домена.
Примечание.
Для поддержки защиты Kerberos также должна быть включена групповая политика "Поддержка клиентов Kerberos для утверждений, составная проверка подлинности и защита Kerberos".
- Если этот параметр политики отключен или не настроен, клиентские компьютеры в домене по возможности применяют защиту Kerberos, поддерживаемую целевым доменом.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | ClientRequireFast |
| Понятное имя | Сбой запросов проверки подлинности, если защита Kerberos недоступна |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Имя значения реестра | RequireFast |
| Имя файла ADMX | Kerberos.admx |
RequireStrictKDCValidation
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireStrictKDCValidation
Этот параметр политики управляет поведением клиента Kerberos при проверке сертификата KDC для входа в систему интеллектуального карта и системного сертификата.
Если этот параметр политики включен, клиент Kerberos требует, чтобы сертификат KDC X.509 содержал идентификатор объекта назначения ключа KDC в расширениях расширенного использования ключей (EKU), а сертификат X.509 KDC содержал расширение dNSName subjectAltName (SAN), соответствующее DNS-имени домена. Если компьютер присоединен к домену, клиент Kerberos требует, чтобы сертификат KDC X.509 был подписан центром сертификации (ЦС) в хранилище NTAuth. Если компьютер не присоединен к домену, клиент Kerberos разрешает использовать сертификат корневого ЦС на смарт-карта при проверке пути сертификата X.509 KDC.
Если этот параметр политики отключен или не настроен, клиент Kerberos требует, чтобы сертификат KDC содержал идентификатор целевого объекта проверки подлинности сервера в расширениях EKU, которые могут быть выданы любому серверу.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | ValidateKDC |
| Понятное имя | Требовать строгую проверку KDC |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Имя значения реестра | KdcValidation |
| Имя файла ADMX | Kerberos.admx |
SetMaximumContextTokenSize
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/Policy/Config/Kerberos/SetMaximumContextTokenSize
Этот параметр политики позволяет задать значение, возвращаемое приложениям, которые запрашивают максимальный размер буфера маркеров контекста SSPI.
Размер буфера маркеров контекста определяет максимальный размер маркеров контекста SSPI, которые приложение ожидает и выделяет. В зависимости от обработки запросов проверки подлинности и членства в группах буфер может быть меньше фактического размера маркера контекста SSPI.
Если этот параметр политики включен, клиент или сервер Kerberos использует настроенное значение или локально допустимое максимальное значение в зависимости от того, какое значение меньше.
Если этот параметр политики отключен или не настроен, клиент или сервер Kerberos использует локально настроенное значение или значение по умолчанию.
Примечание.
Этот параметр политики настраивает существующее значение реестра MaxTokenSize в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters, добавленное в Windows XP и Windows Server 2003, со значением по умолчанию 12 000 байт. Начиная с Windows 8 значение по умолчанию — 48 000 байт. Из-за кодировки http base64 маркеров контекста проверки подлинности не рекомендуется устанавливать это значение более 48 000 байт.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | Maxtokensize |
| Понятное имя | Установка максимального размера буфера маркера контекста Kerberos SSPI |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | System\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
| Имя значения реестра | EnableMaxTokenSize |
| Имя файла ADMX | Kerberos.admx |
UPNNameHints
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/Kerberos/UPNNameHints
Устройства, присоединенные к Microsoft Entra ID в гибридной среде, должны взаимодействовать с контроллерами домен Active Directory, но у них нет встроенной возможности для поиска контроллера домена, который имеет устройство, присоединенное к домену. Это может привести к сбоям, когда такому устройству необходимо разрешить Microsoft Entra имени участника-пользователя в субъект Active Directory. Этот параметр добавляет список доменов, с которыми должно пытаться связаться присоединенное к Microsoft Entra устройство, если в противном случае ему не удается разрешить имя участника-пользователя субъекту.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат |
chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
| Допустимые значения | Список (разделитель: 0xF000) |