Provider di servizi di configurazione dei criteri - ADMX_Kerberos
Suggerimento
Questo provider di servizi di configurazione contiene criteri supportati da ADMX che richiedono un formato SyncML speciale per l'abilitazione o la disabilitazione. È necessario specificare il tipo di dati in SyncML come <Format>chr</Format>. Per informazioni dettagliate, vedere Informazioni sui criteri supportati da ADMX.
Il payload di SyncML deve essere codificato in XML; per questa codifica XML, è possibile usare un'ampia gamma di codificatori online. Per evitare la codifica del payload, è possibile usare CDATA se MDM lo supporta. Per altre informazioni, vedere Sezioni di CDATA.
AlwaysSendCompoundId
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/AlwaysSendCompoundId
Questa impostazione di criterio controlla se un dispositivo invia sempre una richiesta di autenticazione composta quando il dominio della risorsa richiede un'identità composta.
Nota
Affinché un controller di dominio richieda l'autenticazione composta, i criteri "Supporto KDC per attestazioni, autenticazione composta e blindatura Kerberos" e "Richiedi autenticazione composta" devono essere configurati e abilitati nel dominio dell'account risorsa.
Se si abilita questa impostazione di criterio e il dominio della risorsa richiede l'autenticazione composta, i dispositivi che supportano l'autenticazione composta inviano sempre una richiesta di autenticazione composta.
Se si disabilita o non si configura questa impostazione di criterio e il dominio della risorsa richiede l'autenticazione composta, i dispositivi invieranno prima una richiesta di autenticazione non composta e quindi una richiesta di autenticazione composta quando il servizio richiede l'autenticazione composta.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | AlwaysSendCompoundId |
| Nome descrittivo | Inviare sempre prima l'autenticazione composta |
| Posizione | Configurazione computer |
| Percorso | Kerberos di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome del valore del registro | AlwaysSendCompoundId |
| Nome file ADMX | Kerberos.admx |
DevicePKInitEnabled
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/DevicePKInitEnabled
Il supporto per l'autenticazione del dispositivo tramite il certificato richiederà la connettività a un controller di dominio nel dominio dell'account del dispositivo che supporta l'autenticazione del certificato per gli account computer.
Questa impostazione di criterio consente di impostare il supporto per Kerberos per tentare l'autenticazione usando il certificato per il dispositivo nel dominio.
- Se si abilita questa impostazione di criterio, le credenziali dei dispositivi verranno selezionate in base alle opzioni seguenti:
Automatico: il dispositivo tenterà di eseguire l'autenticazione usando il relativo certificato. Se il controller di dominio non supporta l'autenticazione dell'account computer usando i certificati, verrà tentata l'autenticazione con password.
Forza: il dispositivo eseguirà sempre l'autenticazione usando il relativo certificato. Se non è possibile trovare un controller di dominio che supporta l'autenticazione dell'account computer usando i certificati, l'autenticazione avrà esito negativo.
Se si disabilita questa impostazione di criterio, i certificati non verranno mai usati.
Se non si configura questa impostazione di criterio, verrà usato Automatico.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | DevicePKInitEnabled |
| Nome descrittivo | Supportare l'autenticazione del dispositivo usando il certificato |
| Posizione | Configurazione computer |
| Percorso | Kerberos di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome del valore del registro | DevicePKInitEnabled |
| Nome file ADMX | Kerberos.admx |
HostToRealm
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/HostToRealm
Questa impostazione di criterio consente di specificare quali nomi host DNS e quali suffissi DNS vengono mappati a un'area di autenticazione Kerberos.
Se si abilita questa impostazione di criterio, è possibile visualizzare e modificare l'elenco di nomi host DNS e suffissi DNS mappati a un'area di autenticazione Kerberos come definito da Criteri di gruppo. Per visualizzare l'elenco dei mapping, abilitare l'impostazione dei criteri e quindi fare clic sul pulsante Mostra. Per aggiungere un mapping, abilitare l'impostazione dei criteri, prendere nota della sintassi e quindi fare clic su Mostra. Nella finestra di dialogo Mostra contenuto nella colonna Nome valore digitare un nome dell'area di autenticazione. Nella colonna Valore digitare l'elenco di nomi host DNS e suffissi DNS usando il formato di sintassi appropriato. Per rimuovere un mapping dall'elenco, fare clic sulla voce di mapping da rimuovere e quindi premere IL TASTO CANC. Per modificare un mapping, rimuovere la voce corrente dall'elenco e aggiungerne una nuova con parametri diversi.
Se si disabilita questa impostazione di criterio, l'elenco dei mapping tra nome host e area di autenticazione Kerberos definito da Criteri di gruppo viene eliminato.
Se non si configura questa impostazione di criterio, il sistema usa i mapping tra nome host e area di autenticazione Kerberos definiti nel Registro di sistema locale, se presenti.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | HostToRealm |
| Nome descrittivo | Definire i mapping tra nome host e area di autenticazione Kerberos |
| Posizione | Configurazione computer |
| Percorso | Kerberos di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| Nome del valore del registro | domain_realm_Enabled |
| Nome file ADMX | Kerberos.admx |
KdcProxyDisableServerRevocationCheck
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyDisableServerRevocationCheck
Questa impostazione di criterio consente di disabilitare il controllo delle revoche per il certificato SSL del server proxy KDC di destinazione.
- Se si abilita questa impostazione di criterio, il controllo delle revoche per il certificato SSL del server proxy KDC viene ignorato dal client Kerberos. Questa impostazione di criterio deve essere usata solo per la risoluzione dei problemi relativi alle connessioni proxy KDC.
Warning
Quando il controllo di revoca viene ignorato, il server rappresentato dal certificato non è garantito valido.
- Se si disabilita o non si configura questa impostazione di criterio, il client Kerberos applica il controllo di revoca per il certificato SSL. La connessione al server proxy KDC non viene stabilita se il controllo di revoca ha esito negativo.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | KdcProxyDisableServerRevocationCheck |
| Nome descrittivo | Disabilitare il controllo delle revoche per il certificato SSL dei server proxy KDC |
| Posizione | Configurazione computer |
| Percorso | Kerberos di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome del valore del registro | NoRevocationCheck |
| Nome file ADMX | Kerberos.admx |
KdcProxyServer
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyServer
Questa impostazione di criterio configura il mapping del client Kerberos ai server proxy KDC per i domini in base ai nomi dei suffissi DNS.
Se si abilita questa impostazione di criterio, il client Kerberos userà il server proxy KDC per un dominio quando non è possibile individuare un controller di dominio in base ai mapping configurati. Per eseguire il mapping di un server proxy KDC a un dominio, abilitare l'impostazione dei criteri, fare clic su Mostra e quindi eseguire il mapping dei nomi del server proxy KDC al nome DNS del dominio usando la sintassi descritta nel riquadro delle opzioni. Nella finestra di dialogo Mostra contenuto nella colonna Nome valore digitare un nome di suffisso DNS. Nella colonna Valore digitare l'elenco dei server proxy usando il formato di sintassi appropriato. Per visualizzare l'elenco dei mapping, abilitare l'impostazione dei criteri e quindi fare clic sul pulsante Mostra. Per rimuovere un mapping dall'elenco, fare clic sulla voce di mapping da rimuovere e quindi premere IL TASTO CANC. Per modificare un mapping, rimuovere la voce corrente dall'elenco e aggiungerne una nuova con parametri diversi.
Se si disabilita o non si configura questa impostazione di criterio, il client Kerberos non dispone delle impostazioni dei server proxy KDC definite da Criteri di gruppo.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | KdcProxyServer |
| Nome descrittivo | Specificare i server proxy KDC per i client Kerberos |
| Posizione | Configurazione computer |
| Percorso | Kerberos di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| Nome del valore del registro | KdcProxyServer_Enabled |
| Nome file ADMX | Kerberos.admx |
MitRealms
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/MitRealms
Questa impostazione di criterio configura il client Kerberos in modo che possa eseguire l'autenticazione con aree di autenticazione Kerberos V5 interoperabili, come definito da questa impostazione di criterio.
Se si abilita questa impostazione di criterio, è possibile visualizzare e modificare l'elenco delle aree di autenticazione Kerberos V5 interoperabili e le relative impostazioni. Per visualizzare l'elenco delle aree di autenticazione Kerberos V5 interoperabili, abilitare l'impostazione dei criteri e quindi fare clic sul pulsante Mostra. Per aggiungere un'area di autenticazione Kerberos V5 interoperabile, abilitare l'impostazione dei criteri, prendere nota della sintassi e quindi fare clic su Mostra. Nella finestra di dialogo Mostra contenuto nella colonna Nome valore digitare il nome dell'area di autenticazione Kerberos V5 interoperabile. Nella colonna Valore digitare i flag dell'area di autenticazione e i nomi host dei KDC host usando il formato di sintassi appropriato. Per rimuovere dall'elenco una voce valore o nome valore interoperabile dell'area di autenticazione Kerberos V5, fare clic sulla voce e quindi premere IL TASTO CANC. Per modificare un mapping, rimuovere la voce corrente dall'elenco e aggiungerne una nuova con parametri diversi.
Se si disabilita questa impostazione di criterio, le impostazioni dell'area di autenticazione Kerberos V5 interoperabili definite da Criteri di gruppo vengono eliminate.
Se non si configura questa impostazione di criterio, il sistema usa le impostazioni dell'area di autenticazione Kerberos V5 interoperabili definite nel Registro di sistema locale, se esistenti.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | MitRealms |
| Nome descrittivo | Definire le impostazioni dell'area di autenticazione Kerberos V5 interoperabili |
| Posizione | Configurazione computer |
| Percorso | Kerberos di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| Nome del valore del registro | MitRealms_Enabled |
| Nome file ADMX | Kerberos.admx |
ServerAcceptsCompound
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/ServerAcceptsCompound
Questa impostazione di criterio controlla la configurazione dell'account Active Directory del dispositivo per l'autenticazione composta.
Il supporto per fornire l'autenticazione composta usata per il controllo di accesso richiederà un numero sufficiente di controller di dominio nei domini dell'account risorsa per supportare le richieste. Per supportare questo criterio, l'amministratore di dominio deve configurare il criterio "Support Dynamic Controllo di accesso and Kerberos armoring" in tutti i controller di dominio.
- Se si abilita questa impostazione di criterio, l'account Active Directory del dispositivo verrà configurato per l'autenticazione composta con le opzioni seguenti:
Mai: l'autenticazione composta non viene mai fornita per questo account computer.
Automatico: l'autenticazione composta viene fornita per questo account computer quando una o più applicazioni sono configurate per dynamic Controllo di accesso.
Sempre: l'autenticazione composta viene sempre fornita per questo account computer.
Se si disabilita questa impostazione di criterio, non verrà mai usato.
Se non si configura questa impostazione di criterio, verrà usato Automatico.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | ServerAcceptsCompound |
| Nome descrittivo | Supporto dell'autenticazione composta |
| Posizione | Configurazione computer |
| Percorso | Kerberos di sistema > |
| Nome della chiave del Registro di sistema | Software\Policies\Microsoft\Netlogon\Parameters |
| Nome del valore del registro | CompoundIdDisabled |
| Nome file ADMX | Kerberos.admx |
StrictTarget
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
| ✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, versione 2004 [10.0.19041.1202] e versioni successive ✅Windows 10, versione 2009 [10.0.19042.1202] e versioni successive ✅Windows 10, versione 21H1 [10.0.19043.1202] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/StrictTarget
Questa impostazione di criterio consente di configurare questo server in modo che Kerberos possa decrittografare un ticket che contiene il nome SPN generato dal sistema. Quando un'applicazione tenta di effettuare una chiamata di procedura remota (RPC) a questo server con un valore NULL per il nome dell'entità servizio (SPN), i computer che eseguono Windows 7 o versioni successive tentano di usare Kerberos generando un nome SPN.
Se si abilita questa impostazione di criterio, solo i servizi in esecuzione come LocalSystem o NetworkService possono accettare queste connessioni. I servizi in esecuzione come identità diverse da LocalSystem o NetworkService potrebbero non riuscire a eseguire l'autenticazione.
Se si disabilita o non si configura questa impostazione di criterio, a qualsiasi servizio è consentito accettare connessioni in ingresso usando questo spn generato dal sistema.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Suggerimento
Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.
Mapping ADMX:
| Nome | Valore |
|---|---|
| Nome | StrictTarget |
| Nome descrittivo | Richiedi corrispondenza SPN di destinazione rigorosa nelle chiamate di routine remote |
| Posizione | Configurazione computer |
| Percorso | Kerberos di sistema > |
| Nome della chiave del Registro di sistema | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nome del valore del registro | StrictTargetContext |
| Nome file ADMX | Kerberos.admx |
Articoli correlati
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per