CSP de directiva: ADMX_Kerberos
Sugerencia
Este CSP contiene directivas respaldadas por ADMX que requieren un formato SyncML especial para habilitar o deshabilitar. Debe especificar el tipo de datos en SyncML como <Format>chr</Format>. Para obtener más información, consulte Descripción de las directivas respaldadas por ADMX.
La carga de SyncML debe estar codificada en XML; para esta codificación XML, hay una variedad de codificadores en línea que puede usar. Para evitar la codificación de la carga, puede usar CDATA si su MDM lo admite. Para obtener más información, vea Secciones de CDATA.
AlwaysSendCompoundId
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 2004 [10.0.19041.1202] y versiones posteriores ✅Windows 10, versión 2009 [10.0.19042.1202] y versiones posteriores ✅Windows 10, versión 21H1 [10.0.19043.1202] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/AlwaysSendCompoundId
Esta configuración de directiva controla si un dispositivo siempre envía una solicitud de autenticación compuesta cuando el dominio de recursos solicita una identidad compuesta.
Nota
Para que un controlador de dominio solicite autenticación compuesta, las directivas "Compatibilidad con KDC para notificaciones, autenticación compuesta y protección de Kerberos" y "Solicitar autenticación compuesta" deben configurarse y habilitarse en el dominio de la cuenta de recursos.
Si habilita esta configuración de directiva y el dominio de recursos solicita autenticación compuesta, los dispositivos que admiten la autenticación compuesta siempre envían una solicitud de autenticación compuesta.
Si deshabilita o no configura esta configuración de directiva y el dominio de recursos solicita autenticación compuesta, los dispositivos enviarán primero una solicitud de autenticación no compuesta y, a continuación, una solicitud de autenticación compuesta cuando el servicio solicite autenticación compuesta.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | AlwaysSendCompoundId |
| Nombre descriptivo | Enviar siempre la autenticación compuesta primero |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Kerberos del sistema > |
| Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nombre del valor de registro | AlwaysSendCompoundId |
| Nombre de archivo ADMX | Kerberos.admx |
DevicePKInitEnabled
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 2004 [10.0.19041.1202] y versiones posteriores ✅Windows 10, versión 2009 [10.0.19042.1202] y versiones posteriores ✅Windows 10, versión 21H1 [10.0.19043.1202] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/DevicePKInitEnabled
La compatibilidad con la autenticación de dispositivos mediante el certificado requerirá conectividad con un controlador de dominio en el dominio de la cuenta de dispositivo que admita la autenticación de certificados para las cuentas de equipo.
Esta configuración de directiva permite establecer la compatibilidad con Kerberos para intentar la autenticación mediante el certificado del dispositivo en el dominio.
- Si habilita esta configuración de directiva, las credenciales de los dispositivos se seleccionarán en función de las siguientes opciones:
Automático: el dispositivo intentará autenticarse con su certificado. Si el controlador de dominio no admite la autenticación de la cuenta de equipo mediante certificados, se intentará la autenticación con contraseña.
Force: el dispositivo siempre se autenticará con su certificado. Si no se encuentra un controlador de dominio que admita la autenticación de la cuenta de equipo mediante certificados, se producirá un error en la autenticación.
Si deshabilita esta configuración de directiva, nunca se usarán los certificados.
Si no configura esta configuración de directiva, se usará Automático.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | DevicePKInitEnabled |
| Nombre descriptivo | Compatibilidad con la autenticación de dispositivos mediante el certificado |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Kerberos del sistema > |
| Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nombre del valor de registro | DevicePKInitEnabled |
| Nombre de archivo ADMX | Kerberos.admx |
HostToRealm
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 2004 [10.0.19041.1202] y versiones posteriores ✅Windows 10, versión 2009 [10.0.19042.1202] y versiones posteriores ✅Windows 10, versión 21H1 [10.0.19043.1202] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/HostToRealm
Esta configuración de directiva permite especificar qué nombres de host DNS y qué sufijos DNS se asignan a un dominio kerberos.
Si habilita esta configuración de directiva, puede ver y cambiar la lista de nombres de host DNS y sufijos DNS asignados a un dominio kerberos según lo definido por directiva de grupo. Para ver la lista de asignaciones, habilite la configuración de directiva y haga clic en el botón Mostrar. Para agregar una asignación, habilite la configuración de directiva, anote la sintaxis y, a continuación, haga clic en Mostrar. En el cuadro de diálogo Mostrar contenido de la columna Nombre de valor, escriba un nombre de dominio. En la columna Valor, escriba la lista de nombres de host DNS y sufijos DNS con el formato de sintaxis adecuado. Para quitar una asignación de la lista, haga clic en la entrada de asignación que se va a quitar y, a continuación, presione la tecla DELETE. Para editar una asignación, quite la entrada actual de la lista y agregue una nueva con parámetros diferentes.
Si deshabilita esta configuración de directiva, se elimina la lista de asignaciones de dominios de nombre de host a Kerberos definida por directiva de grupo.
Si no configura esta configuración de directiva, el sistema usa las asignaciones de dominio de nombre de host a Kerberos que se definen en el registro local, si existen.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | HostToRealm |
| Nombre descriptivo | Definición de asignaciones de dominios de nombre de host a Kerberos |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Kerberos del sistema > |
| Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| Nombre del valor de registro | domain_realm_Enabled |
| Nombre de archivo ADMX | Kerberos.admx |
KdcProxyDisableServerRevocationCheck
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 2004 [10.0.19041.1202] y versiones posteriores ✅Windows 10, versión 2009 [10.0.19042.1202] y versiones posteriores ✅Windows 10, versión 21H1 [10.0.19043.1202] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyDisableServerRevocationCheck
Esta configuración de directiva permite deshabilitar la comprobación de revocación del certificado SSL del servidor proxy KDC de destino.
- Si habilita esta configuración de directiva, el cliente Kerberos omite la comprobación de revocación del certificado SSL del servidor proxy KDC. Esta configuración de directiva solo debe usarse para solucionar problemas de conexiones de proxy de KDC.
Advertencia
Cuando se omite la comprobación de revocación, no se garantiza que el servidor representado por el certificado sea válido.
- Si deshabilita o no establece esta configuración de directiva, el cliente Kerberos aplicará la comprobación de revocación del certificado SSL. La conexión al servidor proxy KDC no se establece si se produce un error en la comprobación de revocación.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | KdcProxyDisableServerRevocationCheck |
| Nombre descriptivo | Deshabilitación de la comprobación de revocación para el certificado SSL de los servidores proxy de KDC |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Kerberos del sistema > |
| Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nombre del valor de registro | NoRevocationCheck |
| Nombre de archivo ADMX | Kerberos.admx |
KdcProxyServer
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 2004 [10.0.19041.1202] y versiones posteriores ✅Windows 10, versión 2009 [10.0.19042.1202] y versiones posteriores ✅Windows 10, versión 21H1 [10.0.19043.1202] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyServer
Esta configuración de directiva configura la asignación del cliente Kerberos a los servidores proxy KDC para dominios basados en sus nombres de sufijo DNS.
Si habilita esta configuración de directiva, el cliente Kerberos usará el servidor proxy KDC para un dominio cuando no se pueda encontrar un controlador de dominio en función de las asignaciones configuradas. Para asignar un servidor proxy KDC a un dominio, habilite la configuración de directiva, haga clic en Mostrar y, a continuación, asigne los nombres del servidor proxy KDC al nombre DNS del dominio mediante la sintaxis descrita en el panel de opciones. En el cuadro de diálogo Mostrar contenido de la columna Nombre de valor, escriba un nombre de sufijo DNS. En la columna Valor, escriba la lista de servidores proxy con el formato de sintaxis adecuado. Para ver la lista de asignaciones, habilite la configuración de directiva y haga clic en el botón Mostrar. Para quitar una asignación de la lista, haga clic en la entrada de asignación que se va a quitar y, a continuación, presione la tecla DELETE. Para editar una asignación, quite la entrada actual de la lista y agregue una nueva con parámetros diferentes.
Si deshabilita o no establece esta configuración de directiva, el cliente Kerberos no tiene la configuración de servidores proxy de KDC definida por directiva de grupo.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | KdcProxyServer |
| Nombre descriptivo | Especificar servidores proxy KDC para clientes Kerberos |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Kerberos del sistema > |
| Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| Nombre del valor de registro | KdcProxyServer_Enabled |
| Nombre de archivo ADMX | Kerberos.admx |
MitRealms
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 2004 [10.0.19041.1202] y versiones posteriores ✅Windows 10, versión 2009 [10.0.19042.1202] y versiones posteriores ✅Windows 10, versión 21H1 [10.0.19043.1202] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/MitRealms
Esta configuración de directiva configura el cliente Kerberos para que pueda autenticarse con dominios kerberos V5 interoperables, tal como se define en esta configuración de directiva.
Si habilita esta configuración de directiva, puede ver y cambiar la lista de dominios de Kerberos V5 interoperables y su configuración. Para ver la lista de dominios de Kerberos V5 interoperables, habilite la configuración de directiva y, a continuación, haga clic en el botón Mostrar. Para agregar un dominio kerberos V5 interoperable, habilite la configuración de directiva, anote la sintaxis y, a continuación, haga clic en Mostrar. En el cuadro de diálogo Mostrar contenido de la columna Nombre del valor, escriba el nombre del dominio de Kerberos V5 interoperable. En la columna Valor, escriba las marcas de dominio y los nombres de host de los KDC de host con el formato de sintaxis adecuado. Para quitar un nombre de valor del dominio kerberos V5 interoperable o una entrada de valor de la lista, haga clic en la entrada y, a continuación, presione la tecla DELETE. Para editar una asignación, quite la entrada actual de la lista y agregue una nueva con parámetros diferentes.
Si deshabilita esta configuración de directiva, se elimina la configuración de dominio de Kerberos V5 interoperable definida por directiva de grupo.
Si no configura esta configuración de directiva, el sistema usa la configuración de dominio de Kerberos V5 interoperable que se definen en el registro local, si existen.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | MitRealms |
| Nombre descriptivo | Definición de la configuración del dominio de Kerberos V5 interoperable |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Kerberos del sistema > |
| Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| Nombre del valor de registro | MitRealms_Enabled |
| Nombre de archivo ADMX | Kerberos.admx |
ServerAcceptsCompound
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 2004 [10.0.19041.1202] y versiones posteriores ✅Windows 10, versión 2009 [10.0.19042.1202] y versiones posteriores ✅Windows 10, versión 21H1 [10.0.19043.1202] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/ServerAcceptsCompound
Esta configuración de directiva controla la configuración de la cuenta de Active Directory del dispositivo para la autenticación compuesta.
La compatibilidad con la autenticación compuesta que se usa para el control de acceso requerirá suficientes controladores de dominio en los dominios de cuenta de recursos para admitir las solicitudes. El administrador de dominio debe configurar la directiva "Support Dynamic Access Control and Kerberos armoring" en todos los controladores de dominio para admitir esta directiva.
- Si habilita esta configuración de directiva, las siguientes opciones configurarán la cuenta de Active Directory del dispositivo para la autenticación compuesta:
Nunca: la autenticación compuesta nunca se proporciona para esta cuenta de equipo.
Automático: la autenticación compuesta se proporciona para esta cuenta de equipo cuando se configuran una o varias aplicaciones para Access Control dinámicas.
Siempre: la autenticación compuesta siempre se proporciona para esta cuenta de equipo.
Si deshabilita esta configuración de directiva, nunca se usará.
Si no configura esta configuración de directiva, se usará Automático.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | ServerAcceptsCompound |
| Nombre descriptivo | Compatibilidad con la autenticación compuesta |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Kerberos del sistema > |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Netlogon\Parameters |
| Nombre del valor de registro | CompoundIdDisabled |
| Nombre de archivo ADMX | Kerberos.admx |
StrictTarget
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 2004 [10.0.19041.1202] y versiones posteriores ✅Windows 10, versión 2009 [10.0.19042.1202] y versiones posteriores ✅Windows 10, versión 21H1 [10.0.19043.1202] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/StrictTarget
Esta configuración de directiva le permite configurar este servidor para que Kerberos pueda descifrar un vale que contenga este SPN generado por el sistema. Cuando una aplicación intenta realizar una llamada a procedimiento remoto (RPC) a este servidor con un valor NULL para el nombre principal de servicio (SPN), los equipos que ejecutan Windows 7 o versiones posteriores intentan usar Kerberos mediante la generación de un SPN.
Si habilita esta configuración de directiva, solo los servicios que se ejecutan como LocalSystem o NetworkService pueden aceptar estas conexiones. Los servicios que se ejecutan como identidades diferentes de LocalSystem o NetworkService podrían no autenticarse.
Si deshabilita o no establece esta configuración de directiva, cualquier servicio puede aceptar conexiones entrantes mediante este SPN generado por el sistema.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
| Nombre | Valor |
|---|---|
| Nombre | StrictTarget |
| Nombre descriptivo | Requerir coincidencia de SPN de destino estricta en llamadas a procedimientos remotos |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Kerberos del sistema > |
| Nombre de la clave del Registro | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nombre del valor de registro | StrictTargetContext |
| Nombre de archivo ADMX | Kerberos.admx |
Artículos relacionados
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de