다음을 통해 공유


정책 CSP - ADMX_Kerberos

이 CSP에는 사용하거나 사용하지 않도록 설정하기 위해 특별한 SyncML 형식이 필요한 ADMX 지원 정책이 포함되어 있습니다. SyncML의 데이터 형식을 로 <Format>chr</Format>지정해야 합니다. 자세한 내용은 ADMX 기반 정책 이해를 참조하세요.

SyncML의 페이로드는 XML로 인코딩되어야 합니다. 이 XML 인코딩의 경우 사용할 수 있는 다양한 온라인 인코더가 있습니다. 페이로드를 인코딩하지 않도록 MDM에서 지원하는 경우 CDATA를 사용할 수 있습니다. 자세한 내용은 CDATA 섹션을 참조하세요.

AlwaysSendCompoundId

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/AlwaysSendCompoundId

이 정책 설정은 리소스 도메인이 복합 ID를 요청할 때 디바이스가 항상 복합 인증 요청을 보내는지 여부를 제어합니다.

참고

도메인 컨트롤러가 복합 인증을 요청하려면 리소스 계정 도메인에서 "클레임, 복합 인증 및 Kerberos 아머링에 대한 KDC 지원" 및 "복합 인증 요청" 정책을 구성하고 사용하도록 설정해야 합니다.

  • 이 정책 설정을 사용하도록 설정하고 리소스 도메인이 복합 인증을 요청하는 경우 복합 인증을 지원하는 디바이스는 항상 복합 인증 요청을 보냅니다.

  • 이 정책 설정을 사용하지 않거나 구성하지 않고 리소스 도메인이 복합 인증을 요청하는 경우 디바이스는 먼저 복합 인증 요청을 보낸 다음, 서비스가 복합 인증을 요청할 때 복합 인증 요청을 보냅니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 AlwaysSendCompoundId
이름 항상 복합 인증을 먼저 보냅니다.
위치 컴퓨터 구성
경로 시스템 > Kerberos
레지스트리 키 이름 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
레지스트리 값 이름 AlwaysSendCompoundId
ADMX 파일 이름 Kerberos.admx

DevicePKInitEnabled

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/DevicePKInitEnabled

인증서를 사용한 디바이스 인증을 지원하려면 컴퓨터 계정에 대한 인증서 인증을 지원하는 디바이스 계정 도메인의 DC에 연결해야 합니다.

이 정책 설정을 사용하면 Kerberos가 디바이스에 대한 인증서를 사용하여 도메인에 인증을 시도할 수 있도록 지원을 설정할 수 있습니다.

  • 이 정책 설정을 사용하도록 설정하면 다음 옵션에 따라 디바이스 자격 증명이 선택됩니다.

자동: 디바이스가 인증서를 사용하여 인증을 시도합니다. DC가 인증서를 사용하여 컴퓨터 계정 인증을 지원하지 않는 경우 암호를 사용한 인증이 시도됩니다.

강제: 디바이스는 항상 인증서를 사용하여 인증합니다. 인증서를 사용하여 컴퓨터 계정 인증을 지원하는 DC를 찾을 수 없는 경우 인증이 실패합니다.

  • 이 정책 설정을 사용하지 않도록 설정하면 인증서가 사용되지 않습니다.

  • 이 정책 설정을 구성하지 않으면 자동이 사용됩니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 DevicePKInitEnabled
이름 인증서를 사용하여 디바이스 인증 지원
위치 컴퓨터 구성
경로 시스템 > Kerberos
레지스트리 키 이름 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
레지스트리 값 이름 DevicePKInitEnabled
ADMX 파일 이름 Kerberos.admx

HostToRealm

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/HostToRealm

이 정책 설정을 사용하면 Kerberos 영역에 매핑되는 DNS 호스트 이름 및 DNS 접미사를 지정할 수 있습니다.

  • 이 정책 설정을 사용하도록 설정하면 그룹 정책에 정의된 대로 Kerberos 영역에 매핑된 DNS 호스트 이름 및 DNS 접미사 목록을 보고 변경할 수 있습니다. 매핑 목록을 보려면 정책 설정을 사용하도록 설정한 다음 표시 단추를 클릭합니다. 매핑을 추가하려면 정책 설정을 사용하도록 설정하고 구문을 적어두고 표시를 클릭합니다. 값 이름 열의 콘텐츠 표시 대화 상자에 영역 이름을 입력합니다. 값 열에서 적절한 구문 형식을 사용하여 DNS 호스트 이름 및 DNS 접미사 목록을 입력합니다. 목록에서 매핑을 제거하려면 제거할 매핑 항목을 클릭한 다음 DELETE 키를 누릅니다. 매핑을 편집하려면 목록에서 현재 항목을 제거하고 다른 매개 변수를 사용하여 새 항목을 추가합니다.

  • 이 정책 설정을 사용하지 않도록 설정하면 그룹 정책에 정의된 호스트 이름-Kerberos 영역 매핑 목록이 삭제됩니다.

  • 이 정책 설정을 구성하지 않으면 시스템에서 로컬 레지스트리에 정의된 호스트 이름-Kerberos 영역 매핑(있는 경우)을 사용합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 HostToRealm
이름 호스트 이름-Kerberos 영역 매핑 정의
위치 컴퓨터 구성
경로 시스템 > Kerberos
레지스트리 키 이름 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
레지스트리 값 이름 domain_realm_Enabled
ADMX 파일 이름 Kerberos.admx

KdcProxyDisableServerRevocationCheck

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyDisableServerRevocationCheck

이 정책 설정을 사용하면 대상 KDC 프록시 서버의 SSL 인증서에 대한 해지 검사를 사용하지 않도록 설정할 수 있습니다.

  • 이 정책 설정을 사용하도록 설정하면 KDC 프록시 서버의 SSL 인증서에 대한 해지 검사가 Kerberos 클라이언트에서 무시됩니다. 이 정책 설정은 KDC 프록시 연결 문제 해결에만 사용해야 합니다.

Warning

해지 검사가 무시되면 인증서로 표시되는 서버가 유효하지 않습니다.

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면 Kerberos 클라이언트는 SSL 인증서에 대한 해지 검사를 적용합니다. 해지 확인이 실패하면 KDC 프록시 서버에 대한 연결이 설정되지 않습니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 KdcProxyDisableServerRevocationCheck
이름 KDC 프록시 서버의 SSL 인증서에 대한 해지 확인 사용 안 함
위치 컴퓨터 구성
경로 시스템 > Kerberos
레지스트리 키 이름 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
레지스트리 값 이름 NoRevocationCheck
ADMX 파일 이름 Kerberos.admx

KdcProxyServer

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyServer

이 정책 설정은 DNS 접미사 이름에 따라 도메인에 대한 KDC 프록시 서버에 대한 Kerberos 클라이언트의 매핑을 구성합니다.

  • 이 정책 설정을 사용하도록 설정하면 구성된 매핑에 따라 도메인 컨트롤러를 배치할 수 없는 경우 Kerberos 클라이언트는 도메인에 KDC 프록시 서버를 사용합니다. KDC 프록시 서버를 도메인에 매핑하려면 정책 설정을 사용하도록 설정하고 표시를 클릭한 다음 옵션 창에 설명된 구문을 사용하여 KDC 프록시 서버 이름을 도메인의 DNS 이름에 매핑합니다. 값 이름 열의 콘텐츠 표시 대화 상자에 DNS 접미사 이름을 입력합니다. 값 열에 적절한 구문 형식을 사용하여 프록시 서버 목록을 입력합니다. 매핑 목록을 보려면 정책 설정을 사용하도록 설정한 다음 표시 단추를 클릭합니다. 목록에서 매핑을 제거하려면 제거할 매핑 항목을 클릭한 다음 DELETE 키를 누릅니다. 매핑을 편집하려면 목록에서 현재 항목을 제거하고 다른 매개 변수를 사용하여 새 항목을 추가합니다.

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면 Kerberos 클라이언트에 그룹 정책으로 정의된 KDC 프록시 서버 설정이 없습니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 KdcProxyServer
이름 Kerberos 클라이언트에 대한 KDC 프록시 서버 지정
위치 컴퓨터 구성
경로 시스템 > Kerberos
레지스트리 키 이름 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
레지스트리 값 이름 KdcProxyServer_Enabled
ADMX 파일 이름 Kerberos.admx

MitRealms

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/MitRealms

이 정책 설정은 이 정책 설정에 정의된 대로 상호 운용 가능한 Kerberos V5 영역으로 인증할 수 있도록 Kerberos 클라이언트를 구성합니다.

  • 이 정책 설정을 사용하도록 설정하면 상호 운용 가능한 Kerberos V5 영역 및 해당 설정 목록을 보고 변경할 수 있습니다. 상호 운용 가능한 Kerberos V5 영역 목록을 보려면 정책 설정을 사용하도록 설정한 다음 표시 단추를 클릭합니다. 상호 운용 가능한 Kerberos V5 영역을 추가하려면 정책 설정을 사용하도록 설정하고 구문을 적어두고 표시를 클릭합니다. 값 이름 열의 콘텐츠 표시 대화 상자에서 상호 운용 가능한 Kerberos V5 영역 이름을 입력합니다. 값 열에 적절한 구문 형식을 사용하여 호스트 KDC의 영역 플래그 및 호스트 이름을 입력합니다. 상호 운용 가능한 Kerberos V5 영역 값 이름 또는 값 항목을 목록에서 제거하려면 항목을 클릭한 다음 DELETE 키를 누릅니다. 매핑을 편집하려면 목록에서 현재 항목을 제거하고 다른 매개 변수를 사용하여 새 항목을 추가합니다.

  • 이 정책 설정을 사용하지 않도록 설정하면 그룹 정책에 의해 정의된 상호 운용 가능한 Kerberos V5 영역 설정이 삭제됩니다.

  • 이 정책 설정을 구성하지 않으면 시스템에서 로컬 레지스트리에 정의된 상호 운용 가능한 Kerberos V5 영역 설정(있는 경우)을 사용합니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 MitRealms
이름 상호 운용 가능한 Kerberos V5 영역 설정 정의
위치 컴퓨터 구성
경로 시스템 > Kerberos
레지스트리 키 이름 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
레지스트리 값 이름 MitRealms_Enabled
ADMX 파일 이름 Kerberos.admx

ServerAcceptsCompound

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/ServerAcceptsCompound

이 정책 설정은 복합 인증을 위해 디바이스의 Active Directory 계정을 구성하는 것을 제어합니다.

액세스 제어에 사용되는 복합 인증을 제공하려면 리소스 계정 도메인에서 요청을 지원하기에 충분한 도메인 컨트롤러가 필요합니다. 도메인 관리자는 이 정책을 지원하려면 모든 도메인 컨트롤러에서 "동적 액세스 제어 및 Kerberos 아머링 지원" 정책을 구성해야 합니다.

  • 이 정책 설정을 사용하도록 설정하면 다음 옵션에 따라 디바이스의 Active Directory 계정이 복합 인증에 대해 구성됩니다.

절대 안 함: 이 컴퓨터 계정에 대해 복합 인증이 제공되지 않습니다.

자동: 하나 이상의 애플리케이션이 동적 액세스 제어에 대해 구성된 경우 이 컴퓨터 계정에 대해 복합 인증이 제공됩니다.

항상: 이 컴퓨터 계정에 대해 복합 인증이 항상 제공됩니다.

  • 이 정책 설정을 사용하지 않도록 설정하면 절대 사용되지 않습니다.

  • 이 정책 설정을 구성하지 않으면 자동이 사용됩니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 ServerAcceptsCompound
이름 복합 인증 지원
위치 컴퓨터 구성
경로 시스템 > Kerberos
레지스트리 키 이름 Software\Policies\Microsoft\Netlogon\Parameters
레지스트리 값 이름 CompoundIdDisabled
ADMX 파일 이름 Kerberos.admx

StrictTarget

범위 에디션 적용 가능한 OS
✅ 장치
❌ 사용자
✅ 프로
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상
✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상
✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상
✅ Windows 11 버전 21H2 [10.0.22000] 이상
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/StrictTarget

이 정책 설정을 사용하면 Kerberos가 이 시스템 생성 SPN을 포함하는 티켓의 암호를 해독할 수 있도록 이 서버를 구성할 수 있습니다. 애플리케이션이 SPN(서비스 사용자 이름)에 대한 NULL 값으로 이 서버에 대한 RPC(원격 프로시저 호출)를 시도하면 Windows 7 이상을 실행하는 컴퓨터는 SPN을 생성하여 Kerberos를 사용하려고 시도합니다.

  • 이 정책 설정을 사용하도록 설정하면 LocalSystem 또는 NetworkService로 실행되는 서비스만 이러한 연결을 수락할 수 있습니다. LocalSystem 또는 NetworkService와 다른 ID로 실행되는 서비스는 인증에 실패할 수 있습니다.

  • 이 정책 설정을 사용하지 않거나 구성하지 않으면 모든 서비스에서 이 시스템 생성 SPN을 사용하여 들어오는 연결을 수락할 수 있습니다.

설명 프레임워크 속성:

속성 이름 속성 값
형식 chr (문자열)
액세스 유형 추가, 삭제, 가져오기, 바꾸기

ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.

ADMX 매핑:

이름
이름 StrictTarget
이름 원격 프로시저 호출에서 엄격한 대상 SPN 일치 필요
위치 컴퓨터 구성
경로 시스템 > Kerberos
레지스트리 키 이름 Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
레지스트리 값 이름 StrictTargetContext
ADMX 파일 이름 Kerberos.admx

정책 구성 서비스 공급자