原則 CSP - ADMX_CredSsp

提示

此 CSP 包含 ADMX 支持的原則,需要特殊 SyncML 格式才能啟用或停用。 您必須在 SyncML 中將資料型態指定為 <Format>chr</Format>。 如需詳細資訊,請 參閱瞭解 ADMX 支持的原則

SyncML 的承載必須是 XML 編碼;針對此 XML 編碼,您可以使用各種在線編碼器。 若要避免編碼承載,如果您的 MDM 支援 CDATA,您可以使用 CDATA。 如需詳細資訊,請參閱 CDATA 區段

AllowDefaultCredentials

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10,版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11,版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefaultCredentials

此原則設定適用於使用 Cred SSP 元件的應用程式 (例如:遠端桌面連線) 。

使用受信任的 X509 憑證或 Kerberos 來完成伺服器驗證時,會套用此原則設定。

  • 如果啟用此原則設定,您可以指定使用者默認認證可以委派的伺服器, (預設認證是您第一次登入 Windows) 時所使用的認證。

當使用者下次登入執行 Windows 的計算機時,原則就會生效。

  • 如果您在此原則設定) 預設停用或未設定 (,則不允許任何計算機委派預設認證。 視此委派行為而定,應用程式可能會無法通過驗證。 如需詳細資訊,請參閱 KB。

適用於 KB 的 FWlink:

https://go.microsoft.com/fwlink/?LinkId=301508

注意

[允許委派預設認證] 原則設定可以設定為 SPN) (一或多個服務主體名稱。 SPN 代表可以委派使用者認證的目標伺服器。 指定SPN時,允許使用單一通配符。

例如:

TERMSRV/host.humanresources.fabrikam.com 在 host.humanresources.fabrikam.com 計算機上執行的遠端桌面會話主機。

TERMSRV/* 在所有電腦上執行的遠端桌面會話主機。

TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 中所有計算機上執行的遠端桌面會話主機。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 AllowDefaultCredentials
易記名稱 允許委派預設認證
位置 [電腦設定]
路徑 系統 > 認證委派
登錄機碼名稱 Software\Policies\Microsoft\Windows\CredentialsDelegation
登錄值名稱 AllowDefaultCredentials
ADMX 檔案名稱 CredSsp.admx

AllowDefCredentialsWhenNTLMOnly

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10,版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11,版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowDefCredentialsWhenNTLMOnly

此原則設定適用於使用 Cred SSP 元件的應用程式 (例如:遠端桌面連線) 。

透過NTLM完成伺服器驗證時,會套用此原則設定。

  • 如果啟用此原則設定,您可以指定使用者默認認證可以委派的伺服器, (預設認證是您第一次登入 Windows) 時所使用的認證。

  • 如果您在此原則設定) 預設停用或未設定 (,則不允許任何計算機委派預設認證。

注意

[允許使用僅限 NTLM 伺服器驗證委派預設認證] 原則設定可以設定為一或多個服務主體名稱, (SPN) 。 SPN 代表可以委派使用者認證的目標伺服器。 指定SPN時,允許使用單一通配符。

例如:

TERMSRV/host.humanresources.fabrikam.com 在 host.humanresources.fabrikam.com 計算機上執行的遠端桌面會話主機。

TERMSRV/* 在所有電腦上執行的遠端桌面會話主機。

TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 中所有計算機上執行的遠端桌面會話主機。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 AllowDefCredentialsWhenNTLMOnly
易記名稱 允許使用僅限 NTLM 的伺服器驗證委派預設認證
位置 [電腦設定]
路徑 系統 > 認證委派
登錄機碼名稱 Software\Policies\Microsoft\Windows\CredentialsDelegation
登錄值名稱 AllowDefCredentialsWhenNTLMOnly
ADMX 檔案名稱 CredSsp.admx

AllowEncryptionOracle

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowEncryptionOracle

加密 Oracle 補救。

此原則設定適用於使用 CredSSP 元件的應用程式 (例如:遠端桌面連線) 。

某些版本的 CredSSP 通訊協定容易受到用戶端的加密 Oracle 攻擊。 此原則可控制與易受攻擊客戶端和伺服器的相容性。 此原則可讓您設定加密 Oracle 弱點所需的保護層級。

如果啟用此原則設定,將會根據下列選項選取 CredSSP 版本支援:

強制更新的用戶端:使用 CredSSP 的用戶端應用程式將無法回復為不安全的版本,而使用 CredSSP 的服務將無法接受未修補的用戶端。 請注意,在所有遠端主機都支援最新版本之前,不應該部署此設定。

緩和:使用 CredSSP 的用戶端應用程式將無法回復為不安全的版本,但使用 CredSSP 的服務會接受未修補的用戶端。 如需其餘未修補用戶端所造成風險的重要資訊,請參閱下列連結。

易受攻擊:使用 CredSSP 的用戶端應用程式會支援切換回不安全的版本和使用 CredSSP 的服務,讓遠端伺服器暴露在攻擊中,並接受未修補的用戶端。

如需保護弱點和服務需求的詳細資訊,請參閱 https://go.microsoft.com/fwlink/?linkid=866660

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 AllowEncryptionOracle
易記名稱 加密 Oracle 補救
位置 [電腦設定]
路徑 系統 > 認證委派
登錄機碼名稱 Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
ADMX 檔案名稱 CredSsp.admx

AllowFreshCredentials

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentials

此原則設定適用於使用 Cred SSP 元件的應用程式 (例如:遠端桌面連線) 。

透過受信任的 X509 憑證或 Kerberos 完成伺服器驗證時,就會套用此原則設定。

  • 如果啟用此原則設定,您可以指定可以委派使用者全新認證的伺服器, (在執行應用程式) 時,系統會提示您輸入的全新認證。

  • 如果您未預設設定 () 此原則設定,則在適當的相互驗證之後,允許在任何計算機上執行的遠端桌面會話主機委派全新認證 (TERMSRV/*) 。

  • 如果您停用此原則設定,則不允許將全新認證委派給任何計算機。

注意

[允許委派全新認證] 原則設定可以設定為 SPN) (一或多個服務主體名稱。 SPN 代表可以委派使用者認證的目標伺服器。 指定SPN時,允許使用單一通配符。

例如:

TERMSRV/host.humanresources.fabrikam.com。

在 host.humanresources.fabrikam.com 計算機上執行的遠端桌面會話主機。

TERMSRV/* 在所有電腦上執行的遠端桌面會話主機。

TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 中所有計算機上執行的遠端桌面會話主機。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 AllowFreshCredentials
易記名稱 允許委派全新認證
位置 [電腦設定]
路徑 系統 > 認證委派
登錄機碼名稱 Software\Policies\Microsoft\Windows\CredentialsDelegation
登錄值名稱 AllowFreshCredentials
ADMX 檔案名稱 CredSsp.admx

AllowFreshCredentialsWhenNTLMOnly

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11,版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowFreshCredentialsWhenNTLMOnly

此原則設定適用於使用 Cred SSP 元件的應用程式 (例如:遠端桌面連線) 。

透過NTLM完成伺服器驗證時,會套用此原則設定。

  • 如果啟用此原則設定,您可以指定可以委派使用者全新認證的伺服器, (在執行應用程式) 時,系統會提示您輸入的全新認證。

  • 如果您未預設設定 () 此原則設定,則在適當的相互驗證之後,允許在任何計算機上執行的遠端桌面會話主機委派全新認證 (TERMSRV/*) 。

  • 如果您停用此原則設定,則不允許將全新認證委派給任何計算機。

注意

[允許使用僅限 NTLM 的伺服器驗證委派全新認證] 原則設定可以設定為一或多個服務主體名稱, (SPN) 。 SPN 代表可以委派使用者認證的目標伺服器。 指定SPN時,允許使用單一通配符。

例如:

TERMSRV/host.humanresources.fabrikam.com 在 host.humanresources.fabrikam.com 計算機上執行的遠端桌面會話主機。

TERMSRV/* 在所有電腦上執行的遠端桌面會話主機。

TERMSRV/*.humanresources.fabrikam.com 在 humanresources.fabrikam.com 的所有電腦上執行的遠端桌面會話主機。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 AllowFreshCredentialsWhenNTLMOnly
易記名稱 允許使用僅限 NTLM 的伺服器驗證委派全新認證
位置 [電腦設定]
路徑 系統 > 認證委派
登錄機碼名稱 Software\Policies\Microsoft\Windows\CredentialsDelegation
登錄值名稱 AllowFreshCredentialsWhenNTLMOnly
ADMX 檔案名稱 CredSsp.admx

AllowSavedCredentials

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11,版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentials

此原則設定適用於使用 Cred SSP 元件的應用程式 (例如:遠端桌面連線) 。

透過受信任的 X509 憑證或 Kerberos 完成伺服器驗證時,就會套用此原則設定。

  • 如果啟用此原則設定,您可以指定可以委派使用者儲存認證的伺服器, (儲存的認證是您選擇使用 Windows 認證管理員) 儲存/記住的認證。

  • 如果您未預設設定 () 此原則設定,則在適當的相互驗證之後,允許將儲存的認證委派給在任何計算機上執行的遠端桌面會話主機, (TERMSRV/*) 。

  • 如果您停用此原則設定,則不允許將儲存的認證委派給任何計算機。

注意

[允許委派已儲存的認證] 原則設定可以設定為 SPN) (一或多個服務主體名稱。 SPN 代表可以委派使用者認證的目標伺服器。 指定SPN時,允許使用單一通配符。

例如:

TERMSRV/host.humanresources.fabrikam.com 在 host.humanresources.fabrikam.com 計算機上執行的遠端桌面會話主機。

TERMSRV/* 在所有電腦上執行的遠端桌面會話主機。

TERMSRV/*.humanresources.fabrikam.com 在 humanresources.fabrikam.com 的所有電腦上執行的遠端桌面會話主機。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 AllowSavedCredentials
易記名稱 允許委派已儲存的認證
位置 [電腦設定]
路徑 系統 > 認證委派
登錄機碼名稱 Software\Policies\Microsoft\Windows\CredentialsDelegation
登錄值名稱 AllowSavedCredentials
ADMX 檔案名稱 CredSsp.admx

AllowSavedCredentialsWhenNTLMOnly

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/AllowSavedCredentialsWhenNTLMOnly

此原則設定適用於使用 Cred SSP 元件的應用程式 (例如:遠端桌面連線) 。

透過NTLM完成伺服器驗證時,會套用此原則設定。

  • 如果啟用此原則設定,您可以指定可以委派使用者儲存認證的伺服器, (儲存的認證是您選擇使用 Windows 認證管理員) 儲存/記住的認證。

  • 如果您未預設設定 () 此原則設定,則在適當的相互驗證之後,如果用戶端電腦不是任何網域的成員,則允許將儲存的認證委派給在任何計算機上執行的遠端桌面會話主機 (TERMSRV/*) 。 如果用戶端已加入網域,預設不允許將儲存的認證委派給任何計算機。

  • 如果您停用此原則設定,則不允許將儲存的認證委派給任何計算機。

注意

[允許使用僅限 NTLM 的伺服器驗證委派已儲存的認證] 原則設定可以設定為一或多個服務主體名稱, (SPN) 。 SPN 代表可以委派使用者認證的目標伺服器。 指定SPN時,允許使用單一通配符。

例如:

TERMSRV/host.humanresources.fabrikam.com 在 host.humanresources.fabrikam.com 計算機上執行的遠端桌面會話主機。

TERMSRV/* 在所有電腦上執行的遠端桌面會話主機。

TERMSRV/*.humanresources.fabrikam.com 在 humanresources.fabrikam.com 的所有電腦上執行的遠端桌面會話主機。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 AllowSavedCredentialsWhenNTLMOnly
易記名稱 允許使用僅限 NTLM 的伺服器驗證委派已儲存的認證
位置 [電腦設定]
路徑 系統 > 認證委派
登錄機碼名稱 Software\Policies\Microsoft\Windows\CredentialsDelegation
登錄值名稱 AllowSavedCredentialsWhenNTLMOnly
ADMX 檔案名稱 CredSsp.admx

DenyDefaultCredentials

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10,版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10,版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11,版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyDefaultCredentials

此原則設定適用於使用 Cred SSP 元件的應用程式 (例如:遠端桌面連線) 。

  • 如果啟用此原則設定,您可以指定使用者的預設認證無法委派的伺服器, (默認認證是您第一次登入 Windows) 時所使用的認證。

  • 如果您預設停用或未設定 () 此原則設定,則此原則設定不會指定任何伺服器。

注意

[拒絕委派預設認證] 原則設定可以設定為 SPN) (一或多個服務主體名稱。 SPN 代表無法委派使用者認證的目標伺服器。 指定SPN時,允許使用單一通配符。

例如:

TERMSRV/host.humanresources.fabrikam.com 在 host.humanresources.fabrikam.com 計算機上執行的遠端桌面會話主機。

TERMSRV/* 在所有電腦上執行的遠端桌面會話主機。

TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 中所有計算機上執行的遠端桌面會話主機。

此原則設定可以與 [允許委派預設認證] 原則設定搭配使用,以定義在 [允許委派預設認證] 伺服器清單中使用通配符時,允許的特定伺服器例外狀況。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 DenyDefaultCredentials
易記名稱 拒絕委派預設認證
位置 [電腦設定]
路徑 系統 > 認證委派
登錄機碼名稱 Software\Policies\Microsoft\Windows\CredentialsDelegation
登錄值名稱 DenyDefaultCredentials
ADMX 檔案名稱 CredSsp.admx

DenyFreshCredentials

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10,版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10,版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11,版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenyFreshCredentials

此原則設定適用於使用 Cred SSP 元件的應用程式 (例如:遠端桌面連線) 。

  • 如果啟用此原則設定,您可以指定使用者的全新認證無法委派的伺服器, (在執行應用程式時提示您) 。

  • 如果您預設停用或未設定 () 此原則設定,則此原則設定不會指定任何伺服器。

注意

[拒絕委派全新認證] 原則設定可以設定為 SPN) (一或多個服務主體名稱。 SPN 代表無法委派使用者認證的目標伺服器。 指定SPN時,允許使用單一通配符。

例如:

TERMSRV/host.humanresources.fabrikam.com 在 host.humanresources.fabrikam.com 計算機上執行的遠端桌面會話主機。

TERMSRV/* 在所有電腦上執行的遠端桌面會話主機。

TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 中所有計算機上執行的遠端桌面會話主機。

此原則設定可以與 [允許委派全新認證] 原則設定搭配使用,以定義在 [允許委派全新認證] 伺服器清單中使用通配符時,允許的特定伺服器例外狀況。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 DenyFreshCredentials
易記名稱 拒絕委派全新認證
位置 [電腦設定]
路徑 系統 > 認證委派
登錄機碼名稱 Software\Policies\Microsoft\Windows\CredentialsDelegation
登錄值名稱 DenyFreshCredentials
ADMX 檔案名稱 CredSsp.admx

DenySavedCredentials

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/DenySavedCredentials

此原則設定適用於使用 Cred SSP 元件的應用程式 (例如:遠端桌面連線) 。

  • 如果啟用此原則設定,您可以指定無法委派使用者儲存認證的伺服器, (儲存的認證是您選擇使用 Windows 認證管理員) 儲存/記住的認證。

  • 如果您預設停用或未設定 () 此原則設定,則此原則設定不會指定任何伺服器。

注意

[拒絕委派已儲存的認證] 原則設定可以設定為 SPN) (一或多個服務主體名稱。 SPN 代表無法委派使用者認證的目標伺服器。 指定SPN時,允許使用單一通配符。

例如:

TERMSRV/host.humanresources.fabrikam.com 在 host.humanresources.fabrikam.com 計算機上執行的遠端桌面會話主機。

TERMSRV/* 在所有電腦上執行的遠端桌面會話主機。

TERMSRV/*.humanresources.fabrikam.com .humanresources.fabrikam.com 中所有計算機上執行的遠端桌面會話主機。

此原則設定可以與 [允許委派已儲存的認證] 原則設定搭配使用,以定義在 [允許委派儲存的認證] 伺服器清單中使用通配符時,允許的特定伺服器例外狀況。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 DenySavedCredentials
易記名稱 拒絕委派已儲存的認證
位置 [電腦設定]
路徑 系統 > 認證委派
登錄機碼名稱 Software\Policies\Microsoft\Windows\CredentialsDelegation
登錄值名稱 DenySavedCredentials
ADMX 檔案名稱 CredSsp.admx

RestrictedRemoteAdministration

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本
✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本
✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本
✅Windows 11 版本 21H2 [10.0.22000] 和更新版本
./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration

在受限 管理員 或遠端 Credential Guard 模式中執行時,參與的應用程式不會向遠端主機公開已登入或提供的認證。 受限制 管理員 限制從遠端主機存取位於其他伺服器或網路上的資源,因為未委派認證。 遠端 Credential Guard 不會限制對資源的存取,因為它會將所有要求重新導向回客戶端裝置。

參與的應用程式:

遠端桌面用戶端。

  • 如果您啟用此原則設定,則支援下列選項:

限制認證委派:參與的應用程式必須使用受限 管理員 或遠端 Credential Guard 來連線到遠端主機。

需要遠端 Credential Guard:參與的應用程式必須使用遠端 Credential Guard 來連線到遠端主機。

需要受限 管理員:參與的應用程式必須使用受限 管理員 連線到遠端主機。

  • 如果您停用或未設定此原則設定,則不會強制執行受限制的 管理員 和遠端 Credential Guard 模式,且參與的應用程式可以將認證委派給遠端裝置。

注意

若要停用大部分的認證委派,藉由修改位於計算機設定\系統管理範本\系統\認證委派) (的系統管理範本設定,即可拒絕認證安全性支援提供者 (CredSSP) 中的委派。

注意

在 Windows 8.1 和 Windows Server 2012 R2 上,啟用此原則將會強制執行受限制的系統管理模式,而不論選擇的模式為何。 這些版本不支持遠端 Credential Guard。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代

提示

這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則

ADMX 對應

名稱
名稱 RestrictedRemoteAdministration
易記名稱 限制委派認證至遠端伺服器
位置 [電腦設定]
路徑 系統 > 認證委派
登錄機碼名稱 Software\Policies\Microsoft\Windows\CredentialsDelegation
登錄值名稱 RestrictedRemoteAdministration
ADMX 檔案名稱 CredSsp.admx

原則設定服務提供者