CSP de directiva: ADMX_kdc
Sugerencia
Este CSP contiene directivas respaldadas por ADMX que requieren un formato SyncML especial para habilitar o deshabilitar. Debe especificar el tipo de datos en SyncML como <Format>chr</Format>
. Para obtener más información, consulte Descripción de las directivas respaldadas por ADMX.
La carga de SyncML debe estar codificada en XML; para esta codificación XML, hay una variedad de codificadores en línea que puede usar. Para evitar la codificación de la carga, puede usar CDATA si su MDM lo admite. Para obtener más información, vea Secciones de CDATA.
CbacAndArmor
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/CbacAndArmor
Esta configuración de directiva le permite configurar un controlador de dominio para admitir notificaciones y autenticación compuesta para el control de acceso dinámico y la protección de Kerberos mediante la autenticación Kerberos.
Si habilita esta configuración de directiva, los equipos cliente que admiten notificaciones y autenticación compuesta para el control de acceso dinámico y son compatibles con la protección kerberos usarán esta característica para los mensajes de autenticación Kerberos. Esta directiva debe aplicarse a todos los controladores de dominio para garantizar una aplicación coherente de esta directiva en el dominio.
Si deshabilita o no configura esta configuración de directiva, el controlador de dominio no admite notificaciones, autenticación compuesta ni blindaje.
Si configura la opción "No compatible", el controlador de dominio no admite notificaciones, autenticación compuesta o blindaje, que es el comportamiento predeterminado para los controladores de dominio que ejecutan Windows Server 2008 R2 o sistemas operativos anteriores.
Nota
Para que las siguientes opciones de esta directiva de KDC sean eficaces, la directiva de grupo kerberos "Compatibilidad del cliente Kerberos con notificaciones, autenticación compuesta y protección de Kerberos" debe estar habilitada en los sistemas compatibles. Si la configuración de la directiva kerberos no está habilitada, los mensajes de autenticación Kerberos no usarán estas características.
Si configura "Compatible", el controlador de dominio admite notificaciones, autenticación compuesta y protección de Kerberos. El controlador de dominio anuncia a los equipos cliente Kerberos que el dominio es capaz de notificaciones y autenticación compuesta para el control de acceso dinámico y la protección de Kerberos.
Requisitos de nivel funcional de dominio.
Para las opciones "Proporcionar notificaciones siempre" y "Error en las solicitudes de autenticación sin licencia", cuando el nivel funcional del dominio se establece en Windows Server 2008 R2 o anterior, los controladores de dominio se comportan como si se seleccionara la opción "Compatible".
Cuando el nivel funcional del dominio se establece en Windows Server 2012, el controlador de dominio anuncia a los equipos cliente Kerberos que el dominio es capaz de notificaciones y autenticación compuesta para el control de acceso dinámico y la protección de Kerberos, y:
Si establece la opción "Siempre proporcionar notificaciones", siempre devuelve notificaciones para las cuentas y admite el comportamiento RFC para anunciar la tunelización segura de autenticación flexible (FAST).
Si establece la opción "Fail unarmored authentication requests", rechaza los mensajes kerberos no actualizados.
Advertencia
Cuando se establece "Fail unrmored authentication requests" (Error de solicitudes de autenticación no asignadas), los equipos cliente que no admiten la protección kerberos no podrán autenticarse en el controlador de dominio.
Para asegurarse de que esta característica es eficaz, implemente suficientes controladores de dominio que admitan notificaciones y autenticación compuesta para el control de acceso dinámico y sean compatibles con la protección kerberos para controlar las solicitudes de autenticación. El número insuficiente de controladores de dominio que admiten esta directiva produce errores de autenticación cada vez que se requiere el control de acceso dinámico o la protección kerberos (es decir, la opción "Compatible").
Impacto en el rendimiento del controlador de dominio cuando esta configuración de directiva está habilitada:
Se requiere la detección segura de la funcionalidad del dominio Kerberos, lo que da lugar a intercambios de mensajes adicionales.
Las notificaciones y la autenticación compuesta para el control de acceso dinámico aumentan el tamaño y la complejidad de los datos en el mensaje, lo que da como resultado un mayor tiempo de procesamiento y un mayor tamaño de vale de servicio Kerberos.
La protección de Kerberos cifra completamente los mensajes de Kerberos y firma errores de Kerberos, lo que da lugar a un mayor tiempo de procesamiento, pero no cambia el tamaño del vale de servicio.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | CbacAndArmor |
Nombre descriptivo | Compatibilidad con KDC para notificaciones, autenticación compuesta y protección de Kerberos |
Ubicación | Configuración del equipo |
Ruta de acceso | KDC del sistema > |
Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Nombre del valor de registro | EnableCbacAndArmor |
Nombre de archivo ADMX | kdc.admx |
emitlili
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/emitlili
Esta configuración de directiva controla si el controlador de dominio proporciona información sobre los inicios de sesión anteriores en los equipos cliente.
- Si habilita esta configuración de directiva, el controlador de dominio proporciona el mensaje de información sobre los inicios de sesión anteriores.
Para que Windows Logon aproveche esta característica, también debe habilitarse la configuración de directiva "Mostrar información sobre inicios de sesión anteriores durante el inicio de sesión del usuario" ubicada en el nodo Opciones de inicio de sesión de Windows en Componentes de Windows.
- Si deshabilita o no configura esta configuración de directiva, el controlador de dominio no proporciona información sobre los inicios de sesión anteriores a menos que esté habilitada la configuración de directiva "Mostrar información sobre los inicios de sesión anteriores durante el inicio de sesión del usuario".
Nota
Solo se proporciona información sobre los inicios de sesión anteriores si el nivel funcional del dominio es Windows Server 2008. En los dominios con un nivel funcional de dominio de Windows Server 2003, Nativo de Windows 2000 o Windows 2000 mixto, los controladores de dominio no pueden proporcionar información sobre los inicios de sesión anteriores y habilitar esta configuración de directiva no afecta a nada.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | emitlili |
Nombre descriptivo | Proporcionar información sobre inicios de sesión anteriores en equipos cliente |
Ubicación | Configuración del equipo |
Ruta de acceso | KDC del sistema > |
Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Nombre del valor de registro | EmitLILI |
Nombre de archivo ADMX | kdc.admx |
ForestSearch
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/ForestSearch
Esta configuración de directiva define la lista de bosques de confianza que busca el Centro de distribución de claves (KDC) al intentar resolver nombres de entidad de seguridad de servicio (SPN) de dos partes.
Si habilita esta configuración de directiva, el KDC buscará en los bosques de esta lista si no puede resolver un SPN de dos partes en el bosque local. La búsqueda de bosques se realiza mediante sugerencias de sufijo de nombre o catálogo global. Si se encuentra una coincidencia, el KDC devolverá un vale de referencia al cliente para el dominio adecuado.
Si deshabilita o no establece esta configuración de directiva, el KDC no buscará en los bosques enumerados para resolver el SPN. Si el KDC no puede resolver el SPN porque no se encuentra el nombre, se podría usar la autenticación NTLM.
Para garantizar un comportamiento coherente, esta configuración de directiva debe admitirse y establecerse de forma idéntica en todos los controladores de dominio del dominio.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | ForestSearch |
Nombre descriptivo | Uso del orden de búsqueda del bosque |
Ubicación | Configuración del equipo |
Ruta de acceso | KDC del sistema > |
Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Nombre del valor de registro | UseForestSearch |
Nombre de archivo ADMX | kdc.admx |
PKINITFreshness
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/PKINITFreshness
La compatibilidad con la extensión PKInit Freshness requiere el nivel funcional de dominio (DFL) de Windows Server 2016. Si el dominio del controlador de dominio no está en Windows Server 2016 DFL o superior, esta directiva no se aplicará.
Esta configuración de directiva permite configurar un controlador de dominio (DC) para admitir la extensión PKInit Freshness.
- Si habilita esta configuración de directiva, se admiten las siguientes opciones:
Compatible: se admite la extensión PKInit Freshness a petición. Los clientes Kerberos que se autentican correctamente con la extensión PKInit Freshness obtendrán el SID de identidad de clave pública actualizado.
Obligatorio: se requiere la extensión PKInit Freshness para una autenticación correcta. Los clientes Kerberos que no admiten la extensión PKInit Freshness siempre producirán un error al usar credenciales de clave pública.
- Si deshabilita o no establece esta configuración de directiva, el controlador de dominio nunca ofrecerá la extensión PKInit Freshness y aceptará solicitudes de autenticación válidas sin comprobar la actualización. Los usuarios nunca recibirán el SID de identidad de clave pública actualizado.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | PKINITFreshness |
Nombre descriptivo | Compatibilidad con KDC para la extensión PKInit Freshness |
Ubicación | Configuración del equipo |
Ruta de acceso | KDC del sistema > |
Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Nombre de archivo ADMX | kdc.admx |
RequestCompoundId
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/RequestCompoundId
Esta configuración de directiva le permite configurar un controlador de dominio para solicitar la autenticación compuesta.
Nota
Para que un controlador de dominio solicite autenticación compuesta, se debe configurar y habilitar la directiva "Compatibilidad con KDC para notificaciones, autenticación compuesta y protección de Kerberos".
Si habilita esta configuración de directiva, los controladores de dominio solicitarán la autenticación compuesta. El vale de servicio devuelto contendrá la autenticación compuesta solo cuando la cuenta esté configurada explícitamente. Esta directiva debe aplicarse a todos los controladores de dominio para garantizar una aplicación coherente de esta directiva en el dominio.
Si deshabilita o no establece esta configuración de directiva, los controladores de dominio devolverán vales de servicio que contengan autenticación compuesta cada vez que el cliente envíe una solicitud de autenticación compuesta independientemente de la configuración de la cuenta.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | RequestCompoundId |
Nombre descriptivo | Solicitud de autenticación compuesta |
Ubicación | Configuración del equipo |
Ruta de acceso | KDC del sistema > |
Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Nombre del valor de registro | RequestCompoundId |
Nombre de archivo ADMX | kdc.admx |
TicketSizeThreshold
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/TicketSizeThreshold
Esta configuración de directiva permite configurar en qué tamaño los vales de Kerberos desencadenarán el evento de advertencia emitido durante la autenticación Kerberos. Las advertencias de tamaño de vale se registran en el registro del sistema.
Si habilita esta configuración de directiva, puede establecer el límite de umbral para el vale kerberos que desencadena los eventos de advertencia. Si se establece demasiado alto, es posible que se produzcan errores de autenticación aunque no se registren eventos de advertencia. Si se establece demasiado bajo, habrá demasiadas advertencias de vale en el registro para que sean útiles para el análisis. Este valor debe establecerse en el mismo valor que la directiva kerberos "Establecer el tamaño máximo del búfer de token de contexto de SSPI de Kerberos" o el valor más pequeño de MaxTokenSize usado en el entorno si no se va a configurar mediante la directiva de grupo.
Si deshabilita o no establece esta configuración de directiva, el valor predeterminado del umbral es de 12 000 bytes, que es el valor predeterminado de Kerberos MaxTokenSize para Windows 7, Windows Server 2008 R2 y versiones anteriores.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | TicketSizeThreshold |
Nombre descriptivo | Advertencia para vales de Kerberos grandes |
Ubicación | Configuración del equipo |
Ruta de acceso | KDC del sistema > |
Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Nombre del valor de registro | EnableTicketSizeThreshold |
Nombre de archivo ADMX | kdc.admx |