Provider di servizi di configurazione dei criteri - ADMX_kdc
Suggerimento
Questo provider di servizi di configurazione contiene criteri supportati da ADMX che richiedono un formato SyncML speciale per l'abilitazione o la disabilitazione. È necessario specificare il tipo di dati in SyncML come <Format>chr</Format>. Per informazioni dettagliate, vedere Informazioni sui criteri supportati da ADMX.
Il payload di SyncML deve essere codificato in XML; per questa codifica XML, è possibile usare un'ampia gamma di codificatori online. Per evitare la codifica del payload, è possibile usare CDATA se MDM lo supporta. Per altre informazioni, vedere Sezioni di CDATA.
CbacAndArmor
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/CbacAndArmor
Questa impostazione di criterio consente di configurare un controller di dominio per supportare attestazioni e autenticazione composta per la blindatura dinamica Controllo di accesso e Kerberos tramite l'autenticazione Kerberos.
Se si abilita questa impostazione di criterio, i computer client che supportano attestazioni e autenticazione composta per dynamic Controllo di accesso e che supportano la blindatura Kerberos useranno questa funzionalità per i messaggi di autenticazione Kerberos. Questo criterio deve essere applicato a tutti i controller di dominio per garantire un'applicazione coerente di questo criterio nel dominio.
Se si disabilita o non si configura questa impostazione di criterio, il controller di dominio non supporta attestazioni, autenticazione composta o blindatura.
Se si configura l'opzione "Non supportato", il controller di dominio non supporta attestazioni, autenticazione composta o blindatura, ovvero il comportamento predefinito per i controller di dominio che eseguono Windows Server 2008 R2 o sistemi operativi precedenti.
Nota
Per rendere effettive le opzioni seguenti di questo criterio KDC, nei sistemi supportati deve essere abilitato l'Criteri di gruppo Kerberos "Supporto client Kerberos per attestazioni, autenticazione composta e blindatura Kerberos". Se l'impostazione dei criteri Kerberos non è abilitata, i messaggi di autenticazione Kerberos non useranno queste funzionalità.
Se si configura "Supportato", il controller di dominio supporta attestazioni, autenticazione composta e blindatura Kerberos. Il controller di dominio annuncia ai computer client Kerberos che il dominio è in grado di attestazioni e autenticazione composta per la blindatura dinamica Controllo di accesso e Kerberos.
Requisiti del livello di funzionalità del dominio.
Per le opzioni "Fornire sempre attestazioni" e "Non eseguire correttamente le richieste di autenticazione non memorizzate", quando il livello di funzionalità del dominio è impostato su Windows Server 2008 R2 o versioni precedenti, i controller di dominio si comportano come se fosse selezionata l'opzione "Supportato".
Quando il livello di funzionalità del dominio è impostato su Windows Server 2012 il controller di dominio annuncia ai computer client Kerberos che il dominio è in grado di attestazioni e autenticazione composta per la blindatura Dinamica Controllo di accesso e Kerberos e:
Se si imposta l'opzione "Fornisci sempre attestazioni", restituisce sempre attestazioni per gli account e supporta il comportamento RFC per la pubblicità del tunneling sicuro dell'autenticazione flessibile (FAST).
Se si imposta l'opzione "Fail unarmored authentication requests", rifiuta i messaggi Kerberos non memorizzati.
Warning
Quando viene impostato "Fail unarmored authentication requests", i computer client che non supportano la blindatura Kerberos non potranno eseguire l'autenticazione al controller di dominio.
Per garantire l'efficacia di questa funzionalità, distribuire un numero sufficiente di controller di dominio che supportano attestazioni e autenticazione composta per dynamic Controllo di accesso e che siano compatibili con la blindatura Kerberos per gestire le richieste di autenticazione. Il numero insufficiente di controller di dominio che supportano questo criterio comporta errori di autenticazione ogni volta che è necessaria la blindatura Kerberos o Controllo di accesso dinamica,ovvero l'opzione "Supportata" è abilitata.
Impatto sulle prestazioni del controller di dominio quando questa impostazione di criterio è abilitata:
L'individuazione sicura delle funzionalità del dominio Kerberos è necessaria, con conseguente scambio di messaggi aggiuntivo.
Le attestazioni e l'autenticazione composta per Dynamic Controllo di accesso aumentano le dimensioni e la complessità dei dati nel messaggio, con conseguente maggiore tempo di elaborazione e maggiori dimensioni del ticket di servizio Kerberos.
La blindatura Kerberos crittografa completamente i messaggi Kerberos e firma gli errori Kerberos, con conseguente aumento del tempo di elaborazione, ma non modifica le dimensioni del ticket di servizio.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | CbacAndArmor |
| Nome descrittivo | Supporto KDC per attestazioni, autenticazione composta e blindatura Kerberos |
| Posizione | Configurazione computer |
| Percorso | KDC di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Nome del valore del registro | EnableCbacAndArmor |
| Nome file ADMX | kdc.admx |
emitlili
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/emitlili
Questa impostazione di criterio controlla se il controller di dominio fornisce informazioni sugli accessi precedenti ai computer client.
- Se si abilita questa impostazione di criterio, il controller di dominio fornisce il messaggio informativo sugli accessi precedenti.
Affinché l'accesso a Windows sfrutti questa funzionalità, è necessario abilitare anche l'impostazione dei criteri "Visualizza informazioni sugli accessi precedenti durante l'accesso utente" nel nodo Opzioni di accesso di Windows in Componenti di Windows.
- Se si disabilita o non si configura questa impostazione di criterio, il controller di dominio non fornisce informazioni sugli accessi precedenti a meno che non sia abilitata l'impostazione dei criteri "Visualizza informazioni sugli accessi precedenti durante l'accesso utente".
Nota
Le informazioni sugli accessi precedenti vengono fornite solo se il livello di funzionalità del dominio è Windows Server 2008. Nei domini con un livello di funzionalità del dominio di Windows Server 2003, Windows 2000 nativo o Windows 2000 misto, i controller di dominio non possono fornire informazioni sugli accessi precedenti e l'abilitazione di questa impostazione di criterio non influisce su nulla.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | emitlili |
| Nome descrittivo | Fornire informazioni sugli accessi precedenti ai computer client |
| Posizione | Configurazione computer |
| Percorso | KDC di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Nome del valore del registro | EmitLILI |
| Nome file ADMX | kdc.admx |
ForestSearch
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/ForestSearch
Questa impostazione di criterio definisce l'elenco di foreste di attendibilità ricercate dal Centro distribuzione chiavi (KDC) durante il tentativo di risolvere nomi di entità servizio (SPN) in due parti.
Se si abilita questa impostazione di criterio, il KDC eseguirà una ricerca nelle foreste in questo elenco se non è in grado di risolvere un nome SPN in due parti nella foresta locale. La ricerca nella foresta viene eseguita usando un catalogo globale o hint per il suffisso del nome. Se viene trovata una corrispondenza, il KDC restituirà un ticket di riferimento al client per il dominio appropriato.
Se si disabilita o non si configura questa impostazione di criterio, il KDC non eseguirà ricerche nelle foreste elencate per risolvere il nome SPN. Se il KDC non è in grado di risolvere il nome SPN perché il nome non viene trovato, è possibile usare l'autenticazione NTLM.
Per garantire un comportamento coerente, questa impostazione di criterio deve essere supportata e impostata in modo identico in tutti i controller di dominio nel dominio.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | ForestSearch |
| Nome descrittivo | Usare l'ordine di ricerca della foresta |
| Posizione | Configurazione computer |
| Percorso | KDC di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Nome del valore del registro | UseForestSearch |
| Nome file ADMX | kdc.admx |
PKINITFreshness
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/PKINITFreshness
Il supporto per l'estensione PKInit Freshness richiede Windows Server 2016 livello di funzionalità del dominio (DFL). Se il dominio del controller di dominio non è Windows Server 2016 DFL o superiore, questo criterio non verrà applicato.
Questa impostazione di criterio consente di configurare un controller di dominio (DC) per supportare l'estensione PKInit Freshness.
- Se si abilita questa impostazione di criterio, sono supportate le opzioni seguenti:
Supportato: l'estensione PKInit Freshness è supportata su richiesta. I client Kerberos che eseguono correttamente l'autenticazione con l'estensione PKInit Freshness otterranno il nuovo SID di identità della chiave pubblica.
Obbligatorio: l'estensione PKInit Freshness è necessaria per l'autenticazione corretta. I client Kerberos che non supportano l'estensione PKInit Freshness avranno sempre esito negativo quando si usano le credenziali della chiave pubblica.
- Se si disabilita o non si configura questa impostazione di criterio, il controller di dominio non offrirà mai l'estensione PKInit Freshness e accetterà richieste di autenticazione valide senza verificare la freschezza. Gli utenti non riceveranno mai il nuovo SID di identità della chiave pubblica.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | PKINITFreshness |
| Nome descrittivo | Supporto KDC per l'estensione PKInit Freshness |
| Posizione | Configurazione computer |
| Percorso | KDC di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Nome file ADMX | kdc.admx |
RequestCompoundId
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/RequestCompoundId
Questa impostazione di criterio consente di configurare un controller di dominio per richiedere l'autenticazione composta.
Nota
Affinché un controller di dominio richieda l'autenticazione composta, è necessario configurare e abilitare il criterio "Supporto KDC per attestazioni, autenticazione composta e blindatura Kerberos".
Se si abilita questa impostazione di criterio, i controller di dominio richiederanno l'autenticazione composta. Il ticket di servizio restituito conterrà l'autenticazione composta solo quando l'account è configurato in modo esplicito. Questo criterio deve essere applicato a tutti i controller di dominio per garantire un'applicazione coerente di questo criterio nel dominio.
Se si disabilita o non si configura questa impostazione di criterio, i controller di dominio restituiscono ticket di servizio che contengono l'autenticazione composta ogni volta che il client invia una richiesta di autenticazione composta indipendentemente dalla configurazione dell'account.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | RequestCompoundId |
| Nome descrittivo | Richiedere l'autenticazione composta |
| Posizione | Configurazione computer |
| Percorso | KDC di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Nome del valore del registro | RequestCompoundId |
| Nome file ADMX | kdc.admx |
TicketSizeThreshold
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/TicketSizeThreshold
Questa impostazione di criterio consente di configurare con quali dimensioni i ticket Kerberos attiveranno l'evento di avviso emesso durante l'autenticazione Kerberos. Gli avvisi relativi alle dimensioni dei ticket vengono registrati nel log di sistema.
Se si abilita questa impostazione di criterio, è possibile impostare il limite di soglia per il ticket Kerberos che attiva gli eventi di avviso. Se impostato su troppo alto, potrebbero verificarsi errori di autenticazione anche se gli eventi di avviso non vengono registrati. Se impostato su troppo basso, nel log saranno presenti troppi avvisi di ticket per essere utili per l'analisi. Questo valore deve essere impostato sullo stesso valore del criterio Kerberos "Impostare la dimensione massima del buffer del token di contesto SSPI Kerberos" o il valore MaxTokenSize più piccolo usato nell'ambiente se non si sta configurando usando Criteri di gruppo.
Se si disabilita o non si configura questa impostazione di criterio, il valore soglia viene impostato su 12.000 byte, ovvero l'impostazione predefinita Kerberos MaxTokenSize per Windows 7, Windows Server 2008 R2 e versioni precedenti.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | TicketSizeThreshold |
| Nome descrittivo | Avviso per ticket Kerberos di grandi dimensioni |
| Posizione | Configurazione computer |
| Percorso | KDC di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| Nome del valore del registro | EnableTicketSizeThreshold |
| Nome file ADMX | kdc.admx |
Articoli correlati
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per