Teilen über


Richtlinien-CSP – ADMX_Kerberos

Tipp

Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.

Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.

AlwaysSendCompoundId

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/AlwaysSendCompoundId

Diese Richtlinieneinstellung steuert, ob ein Gerät immer eine Verbundauthentifizierungsanforderung sendet, wenn die Ressourcendomäne eine Verbundidentität anfordert.

Hinweis

Damit ein Domänencontroller verbundbasierte Authentifizierung anfordern kann, müssen die Richtlinien "KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos-Armoring" und "Verbundauthentifizierung anfordern" in der Ressourcenkontodomäne konfiguriert und aktiviert werden.

  • Wenn Sie diese Richtlinieneinstellung aktivieren und die Ressourcendomäne die Verbundauthentifizierung anfordert, senden Geräte, die die Verbundauthentifizierung unterstützen, immer eine Verbundauthentifizierungsanforderung.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren und die Ressourcendomäne die Verbundauthentifizierung anfordert, senden Geräte zuerst eine nicht zusammengesetzte Authentifizierungsanforderung und dann eine Verbundauthentifizierungsanforderung, wenn der Dienst die Verbundauthentifizierung anfordert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name AlwaysSendCompoundId
Anzeigename Verbundauthentifizierung immer zuerst senden
Position Computerkonfiguration
Pfad System > Kerberos
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Name des Registrierungswertes AlwaysSendCompoundId
ADMX-Dateiname Kerberos.admx

DevicePKInitEnabled

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/DevicePKInitEnabled

Die Unterstützung der Geräteauthentifizierung mithilfe eines Zertifikats erfordert eine Verbindung mit einem Domänencontroller in der Gerätekontodomäne, der die Zertifikatauthentifizierung für Computerkonten unterstützt.

Mit dieser Richtlinieneinstellung können Sie die Unterstützung für Kerberos festlegen, um die Authentifizierung mithilfe des Zertifikats für das Gerät bei der Domäne zu versuchen.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, werden die Geräteanmeldeinformationen basierend auf den folgenden Optionen ausgewählt:

Automatisch: Das Gerät versucht, sich mit seinem Zertifikat zu authentifizieren. Wenn der Domänencontroller die Computerkontoauthentifizierung mithilfe von Zertifikaten nicht unterstützt, wird versucht, die Authentifizierung mit einem Kennwort durchzuführen.

Erzwingen: Das Gerät authentifiziert sich immer mit seinem Zertifikat. Wenn kein Domänencontroller gefunden wird, der die Computerkontoauthentifizierung mithilfe von Zertifikaten unterstützt, schlägt die Authentifizierung fehl.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, werden Zertifikate nie verwendet.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird Automatisch verwendet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DevicePKInitEnabled
Anzeigename Unterstützen der Geräteauthentifizierung mithilfe eines Zertifikats
Position Computerkonfiguration
Pfad System > Kerberos
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Name des Registrierungswertes DevicePKInitEnabled
ADMX-Dateiname Kerberos.admx

HostToRealm

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/HostToRealm

Mit dieser Richtlinieneinstellung können Sie angeben, welche DNS-Hostnamen und welche DNS-Suffixe einem Kerberos-Bereich zugeordnet werden.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Liste der DNS-Hostnamen und DNS-Suffixe anzeigen und ändern, die einem Kerberos-Bereich zugeordnet sind, wie in der Gruppenrichtlinie definiert. Um die Liste der Zuordnungen anzuzeigen, aktivieren Sie die Richtlinieneinstellung, und klicken Sie dann auf die Schaltfläche Anzeigen. Um eine Zuordnung hinzuzufügen, aktivieren Sie die Richtlinieneinstellung, notieren Sie sich die Syntax, und klicken Sie dann auf Anzeigen. Geben Sie im Dialogfeld Inhalt anzeigen in der Spalte Wertname einen Bereichsnamen ein. Geben Sie in der Spalte Wert die Liste der DNS-Hostnamen und DNS-Suffixe mit dem entsprechenden Syntaxformat ein. Um eine Zuordnung aus der Liste zu entfernen, klicken Sie auf den zu entfernenden Zuordnungseintrag, und drücken Sie dann die ENTF-TASTE. Um eine Zuordnung zu bearbeiten, entfernen Sie den aktuellen Eintrag aus der Liste, und fügen Sie einen neuen Eintrag mit unterschiedlichen Parametern hinzu.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, wird die liste der von der Gruppenrichtlinie definierten Hostnamen-zu-Kerberos-Bereichszuordnungen gelöscht.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, verwendet das System die Hostnamen-zu-Kerberos-Bereichszuordnungen, die in der lokalen Registrierung definiert sind, sofern vorhanden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name HostToRealm
Anzeigename Definieren von Hostnamen-zu-Kerberos-Bereichszuordnungen
Position Computerkonfiguration
Pfad System > Kerberos
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
Name des Registrierungswertes domain_realm_Enabled
ADMX-Dateiname Kerberos.admx

KdcProxyDisableServerRevocationCheck

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyDisableServerRevocationCheck

Mit dieser Richtlinieneinstellung können Sie die Sperrprüfung für das SSL-Zertifikat des Ziel-KDC-Proxyservers deaktivieren.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, wird die Sperrprüfung für das SSL-Zertifikat des KDC-Proxyservers vom Kerberos-Client ignoriert. Diese Richtlinieneinstellung sollte nur bei der Problembehandlung von KDC-Proxyverbindungen verwendet werden.

Warnung

Wenn die Sperrprüfung ignoriert wird, ist die Gültigkeit des durch das Zertifikat dargestellten Servers nicht garantiert.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, erzwingt der Kerberos-Client die Sperrprüfung für das SSL-Zertifikat. Die Verbindung mit dem KDC-Proxyserver wird nicht hergestellt, wenn die Sperrprüfung fehlschlägt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name KdcProxyDisableServerRevocationCheck
Anzeigename Deaktivieren der Sperrüberprüfung für das SSL-Zertifikat von KDC-Proxyservern
Position Computerkonfiguration
Pfad System > Kerberos
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Name des Registrierungswertes NoRevocationCheck
ADMX-Dateiname Kerberos.admx

KdcProxyServer

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyServer

Diese Richtlinieneinstellung konfiguriert die Zuordnung des Kerberos-Clients zu KDC-Proxyservern für Domänen basierend auf ihren DNS-Suffixnamen.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, verwendet der Kerberos-Client den KDC-Proxyserver für eine Domäne, wenn ein Domänencontroller nicht basierend auf den konfigurierten Zuordnungen gefunden werden kann. Um einen KDC-Proxyserver einer Domäne zuzuordnen, aktivieren Sie die Richtlinieneinstellung, klicken Sie auf Anzeigen, und ordnen Sie dann die Namen des KDC-Proxyservers dem DNS-Namen für die Domäne zu, indem Sie die im Optionsbereich beschriebene Syntax verwenden. Geben Sie im Dialogfeld Inhalt anzeigen in der Spalte Wertname einen DNS-Suffixnamen ein. Geben Sie in der Spalte Wert die Liste der Proxyserver mit dem entsprechenden Syntaxformat ein. Um die Liste der Zuordnungen anzuzeigen, aktivieren Sie die Richtlinieneinstellung, und klicken Sie dann auf die Schaltfläche Anzeigen. Um eine Zuordnung aus der Liste zu entfernen, klicken Sie auf den zu entfernenden Zuordnungseintrag, und drücken Sie dann die ENTF-TASTE. Um eine Zuordnung zu bearbeiten, entfernen Sie den aktuellen Eintrag aus der Liste, und fügen Sie einen neuen Eintrag mit unterschiedlichen Parametern hinzu.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, sind für den Kerberos-Client keine Einstellungen für KDC-Proxyserver durch die Gruppenrichtlinie definiert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name KdcProxyServer
Anzeigename Angeben von KDC-Proxyservern für Kerberos-Clients
Position Computerkonfiguration
Pfad System > Kerberos
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
Name des Registrierungswertes KdcProxyServer_Enabled
ADMX-Dateiname Kerberos.admx

MitRealms

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/MitRealms

Diese Richtlinieneinstellung konfiguriert den Kerberos-Client so, dass er sich mit interoperablen Kerberos V5-Bereichen authentifizieren kann, wie in dieser Richtlinieneinstellung definiert.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Liste der interoperablen Kerberos V5-Bereiche und deren Einstellungen anzeigen und ändern. Um die Liste der interoperablen Kerberos V5-Bereiche anzuzeigen, aktivieren Sie die Richtlinieneinstellung, und klicken Sie dann auf die Schaltfläche Anzeigen. Um einen interoperablen Kerberos V5-Bereich hinzuzufügen, aktivieren Sie die Richtlinieneinstellung, notieren Sie sich die Syntax, und klicken Sie dann auf Anzeigen. Geben Sie im Dialogfeld Inhalt anzeigen in der Spalte Wertname den interoperablen Kerberos V5-Bereichsnamen ein. Geben Sie in der Spalte Wert die Bereichsflags und Hostnamen der Host-KDCs mit dem entsprechenden Syntaxformat ein. Um einen interoperablen Kerberos V5-Bereichswertnamen oder Werteintrag aus der Liste zu entfernen, klicken Sie auf den Eintrag, und drücken Sie dann die ENTF-TASTE. Um eine Zuordnung zu bearbeiten, entfernen Sie den aktuellen Eintrag aus der Liste, und fügen Sie einen neuen Eintrag mit unterschiedlichen Parametern hinzu.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, werden die von der Gruppenrichtlinie definierten interoperablen Kerberos V5-Bereichseinstellungen gelöscht.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, verwendet das System die interoperablen Kerberos V5-Bereichseinstellungen, die in der lokalen Registrierung definiert sind, sofern vorhanden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name MitRealms
Anzeigename Definieren interoperabler Kerberos V5-Bereichseinstellungen
Position Computerkonfiguration
Pfad System > Kerberos
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
Name des Registrierungswertes MitRealms_Enabled
ADMX-Dateiname Kerberos.admx

ServerAcceptsCompound

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/ServerAcceptsCompound

Diese Richtlinieneinstellung steuert die Konfiguration des Active Directory-Kontos des Geräts für die Verbundauthentifizierung.

Die Unterstützung für die Bereitstellung der Verbundauthentifizierung, die für die Zugriffssteuerung verwendet wird, erfordert genügend Domänencontroller in den Ressourcenkontodomänen, um die Anforderungen zu unterstützen. Der Domänenadministrator muss die Richtlinie "Dynamische Zugriffssteuerung und Kerberos-Panzerung unterstützen" auf allen Domänencontrollern konfigurieren, um diese Richtlinie zu unterstützen.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, wird das Active Directory-Konto des Geräts mit den folgenden Optionen für die Verbundauthentifizierung konfiguriert:

Nie: Die Verbundauthentifizierung wird für dieses Computerkonto nie bereitgestellt.

Automatisch: Die Verbundauthentifizierung wird für dieses Computerkonto bereitgestellt, wenn mindestens eine Anwendung für die dynamische Zugriffssteuerung konfiguriert ist.

Immer: Für dieses Computerkonto wird immer die Verbundauthentifizierung bereitgestellt.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, wird Nie verwendet.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird Automatisch verwendet.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name ServerAcceptsCompound
Anzeigename Unterstützung der Verbundauthentifizierung
Position Computerkonfiguration
Pfad System > Kerberos
Registrierungsschlüsselname Software\Policies\Microsoft\Netlogon\Parameters
Name des Registrierungswertes CompoundIdDisabled
ADMX-Dateiname Kerberos.admx

StrictTarget

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/StrictTarget

Mit dieser Richtlinieneinstellung können Sie diesen Server so konfigurieren, dass Kerberos ein Ticket entschlüsseln kann, das diesen systemgenerierten SPN enthält. Wenn eine Anwendung versucht, einen Remoteprozeduraufruf (RPC) an diesen Server mit einem NULL-Wert für den Dienstprinzipalnamen (Service Principal Name, SPN) zu senden, versuchen Computer mit Windows 7 oder höher, Kerberos zu verwenden, indem sie einen SPN generieren.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, dürfen nur Dienste, die als LocalSystem oder NetworkService ausgeführt werden, diese Verbindungen akzeptieren. Dienste, die als Identitäten ausgeführt werden, die sich von LocalSystem oder NetworkService unterscheiden, können möglicherweise nicht authentifiziert werden.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, kann jeder Dienst eingehende Verbindungen mit diesem vom System generierten SPN akzeptieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name StrictTarget
Anzeigename Strikte Ziel-SPN-Übereinstimmung bei Remoteprozeduraufrufen erforderlich
Position Computerkonfiguration
Pfad System > Kerberos
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Name des Registrierungswertes StrictTargetContext
ADMX-Dateiname Kerberos.admx

Dienstanbieter für die Richtlinienkonfiguration