Kerberos 策略

Kerberos 票证策略在域级别定义,并由域的 密钥分发中心 (KDC) 实现。 Kerberos 策略作为域安全策略属性的子集存储在 Active Directory 中。 默认情况下,策略选项只能由域管理员组的成员设置。 域策略包括以下选项:

  • 支持发布的票证
  • 仅支持 (Windows Server 2003) 约束委派
  • 可转发的支持票证
  • 支持可续订票证
  • 设置最大票证期限
  • 设置最长续订期限
  • 设置最大代理票证期限
  • 票证过期时强行注销用户

使用 约束委派,可以将计算机设置为仅允许将凭据转发到特定的服务列表。 这些服务必须与转发凭据的计算机位于同一域中。 在 受限委派下,票证不再从客户端发送到服务器。 服务器计算机创建服务票证,以便根据需要从用于对客户端进行身份验证的信息转发。

尽管域的 Kerberos 策略可以通过允许转发票证来允许委派身份验证,但策略的这一方面不需要适用于所有用户或所有计算机。 可以将单个用户帐户的属性设置为禁止由任何服务器转发该用户的 凭据 。 可以将单个计算机的帐户的属性设置为禁用从任何用户转发凭据。 在这两种情况下,可以通过创建组策略来禁用委派,以应用于 Active Directory 组织单位中的所有用户或所有计算机。

Windows XP/2000:不支持约束委派。