Partager via

Comment utiliser la stratégie de groupe pour ajouter l’entrée de Registre MaxTokenSize à plusieurs ordinateurs

Cet article explique comment utiliser la stratégie de groupe pour ajouter l’entrée de Registre MaxTokenSize à plusieurs ordinateurs.

Numéro de base de connaissances d’origine : 938118

Introduction

Sur un contrôleur de domaine exécutant Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012, vous pouvez utiliser la stratégie de groupe pour ajouter l’entrée de Registre suivante à plusieurs ordinateurs :

Clé :HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Entrée : MaxTokenSize
Type de données : REG_DWORD
Valeur : 48000

Cet article explique comment le faire afin que vous puissiez envoyer (push) ce paramètre à tous les membres de vos domaines facilement. Le processus est différent, selon la version de Windows Server exécutée par le contrôleur de domaine.

Note

La valeur maximale autorisée de MaxTokenSize est de 65535 octets. Toutefois, en raison de l’encodage en base64 de jetons de contexte d’authentification HTTP, nous vous déconseillons de définir l’entrée de Registre maxTokenSize sur une valeur supérieure à 48 000 octets. À compter de Windows Server 2012, la valeur par défaut de l’entrée de Registre MaxTokenSize est de 48 000 octets.

Plus d’informations

Comment configurer MaxTokenSize à l’aide de l’objet de stratégie de groupe (GPO) dans Windows Server 2003

Pour ajouter l’entrée de Registre à plusieurs ordinateurs d’un domaine qui n’a pas de contrôleur de domaine Windows Server 2012, procédez comme suit :

  1. Créez un fichier de modèle d’administration (ADM) pour l’entrée de Registre MaxTokenSize. Pour ce faire, procédez comme suit :

    1. Démarrez le Bloc-notes.

    2. Copiez le texte suivant, puis collez le texte dans le Bloc-notes :

      MACHINE DE CLASSE

      CATÉGORIE!! BORDURE

      KEYNAME « SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters »
      POLITIQUE!! MaxToken
      VALUENAME « MaxTokenSize »
      VALUEON NUMERIC 48000
      VALUEOFF NUMERIC 0
      STRATÉGIE DE FIN

      FIN DE LA CATÉGORIE

      [chaînes]
      KERB="Taille maximale du jeton Kerberos »
      MaxToken="Kerberos MaxTokenSize »

      Note

      La valeur de l’entrée de Registre MaxTokenSize est définie sur 48000. Il s’agit de la valeur suggérée.

    3. Enregistrez le document du Bloc-notes en tant que MaxTokenSize.adm dans le dossier %windir%\Inf\ sur le contrôleur de domaine que vous allez utiliser pour configurer l’objet de stratégie de groupe pour déployer le paramètre.

    4. Quittez le Bloc-notes.

  2. Importez adm dans un objet de stratégie de groupe et définissez l’entrée de Registre MaxTokenSize sur la valeur souhaitée. Pour ce faire, procédez comme suit :

    1. Créez un objet de stratégie de groupe (GPO) lié au niveau du domaine ou lié à l’unité d’organisation qui contient vos comptes d’ordinateur. Vous pouvez également sélectionner un objet de stratégie de groupe déjà déployé.

    2. Ouvrez l’Éditeur d’objet de stratégie de groupe. Pour ce faire, cliquez sur Démarrer, sur Exécuter, tapez gpedit.msc, puis cliquez sur OK.

    3. Dans l’arborescence de la console, développez Configuration de l’ordinateur, développez Modèles d’administration, puis cliquez sur Modèles d’administration.

    4. Dans le menu Action, pointez sur Toutes les tâches, puis cliquez sur Ajouter/supprimer des modèles.

    5. Cliquez sur Ajouter.

    6. Cliquez pour sélectionner le fichier MaxTokenSize.adm que vous avez créé à l’étape 1, puis cliquez sur Ouvrir.

    7. Cliquez sur Fermer.

    8. Dans le menu Affichage, cliquez sur Filtrage.

    9. Cliquez pour effacer uniquement les paramètres de stratégie qui peuvent être entièrement gérés, puis cliquez sur OK.

    10. Développez Modèles d’administration, puis cliquez sur Taille maximale du jeton Kerberos.

    11. Cliquez avec le bouton droit sur Kerberos MaxTokenSize dans le volet droit, puis cliquez sur Propriétés pour ouvrir la boîte de dialogue Propriétés.

    12. Cliquez sur Activé, puis sur OK.

      Note

      Pour que l’objet de stratégie de groupe prenne effet, la modification de l’objet de stratégie de groupe doit être répliquée sur tous les contrôleurs de domaine du domaine et les ordinateurs affectés doivent être redémarrés une fois la stratégie appliquée.

Comment configurer l’entrée de Registre MaxTokenSize à l’aide de l’objet de stratégie de groupe dans Windows Server 2008 et dans Windows Server 2008 R2

Dans les domaines Windows Server 2008 et dans les domaines Windows Server 2008 R2, vous pouvez utiliser l’extension côté client du Registre pour déployer la valeur de Registre MaxTokenSize sur plusieurs ordinateurs d’un domaine. Pour créer le paramètre de valeur MaxTokenSize dans un objet de stratégie de groupe, procédez comme suit :

  1. Cliquez sur Démarrer, sur Exécuter, tapez gpmc.msc, puis sur OK pour ouvrir la console de gestion des stratégies de groupe.
  2. Dans la console de gestion des stratégies de groupe, créez un objet de stratégie de groupe lié au niveau du domaine ou lié à l’unité d’organisation qui contient vos comptes d’ordinateur. Vous pouvez également sélectionner un objet de stratégie de groupe qui est déjà déployé.
  3. Cliquez avec le bouton droit sur l’objet de stratégie de groupe, puis cliquez sur Modifier pour ouvrir la fenêtre Éditeur de gestion des stratégies de groupe.
  4. Développez Configuration ordinateur, Préférences, puis Paramètres Windows.
  5. Cliquez avec le bouton droit sur Registre, pointez sur Nouveau, puis cliquez sur Élément Registre. La boîte de dialogue Nouvelles propriétés de Registre s'affiche.
  6. Dans la liste d’actions, cliquez sur Créer.
  7. Dans la liste Ruche , cliquez sur HKEY_LOCAL_MACHINE.
  8. Dans la liste chemin d’accès à la clé, cliquez sur SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
  9. Dans la zone Nom de la valeur, tapez MaxTokenSize.
  10. Dans la zone Type valeur, cliquez pour activer la case à cocher REG_DWORD.
  11. Dans la zone de données Valeur, tapez 48000.
  12. En regard de Base, cliquez pour activer la case à cocher Décimale.
  13. Cliquez sur OK.

Note

Pour que l’objet de stratégie de groupe prenne effet, la modification de l’objet de stratégie de groupe doit être répliquée sur tous les contrôleurs de domaine du domaine, et les ordinateurs concernés doivent être redémarrés après avoir appliqué la stratégie.

Comment configurer l’entrée de Registre MaxTokenSize à l’aide d’un objet de stratégie de groupe dans Windows Server 2012

Pour déployer la valeur de l’entrée de Registre MaxTokenSize dans un domaine doté de contrôleurs de domaine Windows Server 2012, procédez comme suit :

  1. Ouvrez Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion des stratégies de groupe pour ouvrir la console Gestion des stratégies de groupe.
  2. Dans la console de gestion des stratégies de groupe, créez un objet de stratégie de groupe lié au niveau du domaine ou lié à l’unité d’organisation qui contient vos comptes d’ordinateur. Vous pouvez également sélectionner un objet de stratégie de groupe déjà déployé.
  3. Cliquez avec le bouton droit sur l’objet de stratégie de groupe, puis cliquez sur Modifier pour ouvrir la fenêtre Éditeur de gestion des stratégies de groupe.
  4. Développez Configuration de l’ordinateur, développez Stratégies, puis développez Modèles d’administration.
  5. Développez Système, puis cliquez sur Kerberos.
  6. Cliquez avec le bouton droit sur Définir la taille maximale de mémoire tampon du jeton de contexte SSPI Kerberos dans le volet droit, puis cliquez sur Modifier.
  7. Cliquez sur Activé, puis tapez 48000 dans la zone Taille maximale.
  8. Cliquez sur OK.

Note

  • Pour que l’objet de stratégie de groupe prenne effet, la modification de l’objet de stratégie de groupe doit être répliquée sur tous les contrôleurs de domaine du domaine, et les ordinateurs concernés doivent être redémarrés après avoir appliqué la stratégie.

  • Le paramètre de stratégie de taille maximale de mémoire tampon du jeton de contexte Kerberos SSPI est ajouté dans Windows Server 2012 et dans Windows 8. Le paramètre de stratégie est pris en charge dans Windows XP, dans Windows Server 2003, dans Windows Vista, dans Windows Server 2008, dans Windows 7 et dans Windows Server 2008 R2. Pour utiliser ce paramètre de stratégie de groupe, vous devez modifier l’objet de stratégie de groupe dans une version de Windows Server 2012 ou dans Windows 8 sur laquelle les outils RSAT sont installés.

References

Pour plus d’informations sur l’entrée de Registre MaxTokenSize, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :
327825 Nouvelle résolution des problèmes liés à l’authentification Kerberos lorsque les utilisateurs appartiennent à de nombreux groupes