原則 CSP - ADMX_kdc
提示
此 CSP 包含 ADMX 支持的原則,需要特殊 SyncML 格式才能啟用或停用。 您必須在 SyncML 中將資料型態指定為 <Format>chr</Format>。 如需詳細資訊,請 參閱瞭解 ADMX 支持的原則。
SyncML 的承載必須是 XML 編碼;針對此 XML 編碼,您可以使用各種在線編碼器。 若要避免編碼承載,如果您的 MDM 支援 CDATA,您可以使用 CDATA。 如需詳細資訊,請參閱 CDATA 區段。
CbacAndArmor
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/CbacAndArmor
此原則設定可讓您設定域控制器,以支援使用 Kerberos 驗證進行動態存取控制和 Kerberos 防護的宣告和復合驗證。
如果您啟用此原則設定,支援動態訪問控制之宣告和複合驗證且具有 Kerberos 防護功能的用戶端計算機會將此功能用於 Kerberos 驗證訊息。 此原則應該套用至所有域控制器,以確保此原則在網域中的應用一致。
如果您停用或未設定此原則設定,域控制器不支援宣告、復合驗證或防護。
如果您設定 [不支援] 選項,域控制器不支援宣告、復合驗證或防護,這是執行 Windows Server 2008 R2 或舊版操作系統的域控制器默認行為。
注意
若要讓此 KDC 原則的下列選項生效,必須在支援的系統上啟用 Kerberos 組策略「宣告、複合驗證和 Kerberos 防護的 Kerberos 用戶端支援」。 如果未啟用 Kerberos 原則設定,Kerberos 驗證訊息將不會使用這些功能。
如果您設定「支援」,域控制器支援宣告、復合驗證和 Kerberos 防護。 域控制器會向 Kerberos 用戶端電腦公告網域能夠宣告和複合驗證以進行動態訪問控制和 Kerberos 防護。
網域功能等級需求。
針對 [一律提供宣告] 和 [失敗未分攤的驗證要求] 選項,當網域功能等級設定為 Windows Server 2008 R2 或更早版本時,域控制器的行為就如同選取 [支援] 選項一樣。
當網域功能等級設定為 Windows Server 2012 時,域控制器會向 Kerberos 用戶端電腦公告網域能夠進行動態訪問控制和 Kerberos 防護的宣告和複合驗證,以及:
如果您設定 [一律提供宣告] 選項,則一律會傳回帳戶的宣告,並支援 RFC 行為來公告彈性驗證安全通道 (FAST) 。
如果您設定 [失敗未分攤的驗證要求] 選項,則會拒絕未分攤的 Kerberos 訊息。
警告
設定 「失敗未分攤的驗證要求」時,不支援 Kerberos 防護的用戶端計算機將無法向域控制器進行驗證。
若要確保這項功能有效,請部署足夠的域控制器,以支援動態訪問控制的宣告和複合驗證,並具有 Kerberos 防護功能來處理驗證要求。 支援此原則的域控制器數目不足,每當需要動態訪問控制或 Kerberos 防護時,就會導致驗證失敗 (也就是) 啟用 [支援] 選項。
開啟此原則設定時對網域控制器效能的影響:
需要安全的 Kerberos 網域功能探索,才能進行額外的訊息交換。
動態訪問控制的宣告和複合驗證會增加訊息中數據的大小和複雜度,進而增加處理時間和更大的 Kerberos 服務票證大小。
Kerberos 防護會完全加密 Kerberos 訊息,並簽署 Kerberos 錯誤,進而增加處理時間,但不會變更服務票證大小。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | CbacAndArmor |
| 易記名稱 | 宣告、復合驗證和 Kerberos 防護的 KDC 支援 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > KDC |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| 登錄值名稱 | EnableCbacAndArmor |
| ADMX 檔案名稱 | kdc.admx |
emitlili
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/emitlili
此原則設定可控制域控制器是否提供先前登入用戶端電腦的相關信息。
- 如果您啟用此原則設定,域控制器會提供先前登入的相關信息訊息。
若要讓 Windows 登入利用這項功能,也必須啟用 [Windows 元件] 下 [Windows 登入選項] 節點中的 [在使用者登入期間顯示先前登入的相關信息] 原則設定。
- 如果停用或未設定此原則設定,除非啟用 [在使用者登入期間顯示先前登入的相關信息] 原則設定,否則域控制器不會提供先前登入的相關信息。
注意
只有在網域功能等級為 Windows Server 2008 時,才會提供先前登入的相關信息。 在網域功能等級為 Windows Server 2003、Windows 2000 原生或 Windows 2000 混合的網域中,域控制器無法提供先前登入的相關信息,而且啟用此原則設定不會影響任何專案。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | emitlili |
| 易記名稱 | 提供先前登入用戶端計算機的相關信息 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > KDC |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| 登錄值名稱 | EmitLILI |
| ADMX 檔案名稱 | kdc.admx |
ForestSearch
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/ForestSearch
此原則設定會定義密鑰發佈中心 (KDC 在嘗試解析 SPN) 兩部分服務主體名稱時, () 搜尋的信任樹系列表。
如果您啟用此原則設定,如果 KDC 無法解析本機樹系中的兩部分 SPN,則 KDC 會在此清單中搜尋樹系。 樹系搜尋是使用全域編錄或名稱後綴提示來執行。 如果找到相符專案,KDC 會將轉介票證傳回給適當網域的用戶端。
如果您停用或未設定此原則設定,KDC 將不會搜尋列出的樹系來解析 SPN。 如果 KDC 因為找不到名稱而無法解析 SPN,則可能會使用 NTLM 驗證。
若要確保行為一致,必須在網域中的所有域控制器上支援並設定相同的原則設定。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | ForestSearch |
| 易記名稱 | 使用樹系搜尋順序 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > KDC |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| 登錄值名稱 | UseForestSearch |
| ADMX 檔案名稱 | kdc.admx |
PKINITFreshness
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/PKINITFreshness
支援 PKInit Freshness Extension 需要 Windows Server 2016 網域功能等級 (DFL) 。 如果域控制器的網域不在 Windows Server 2016 DFL 或更高版本,則不會套用此原則。
此原則設定可讓您 (DC) 設定域控制器,以支援 PKInit Freshness Extension。
- 如果您啟用此原則設定,則支援下列選項:
支援:要求時支援 PKInit Freshness Extension。 Kerberos 用戶端成功使用 PKInit Freshness Extension 進行驗證,將會取得全新的公鑰身分識別 SID。
必要:成功驗證需要 PKInit Freshness Extension。 使用公鑰認證時,不支援 PKInit Freshness Extension 的 Kerberos 用戶端一律會失敗。
- 如果您停用或未設定此原則設定,則 DC 永遠不會提供 PKInit Freshness Extension,並且接受有效的驗證要求,而不會檢查有效期限。 用戶永遠不會收到全新的公鑰身分識別 SID。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | PKINITFreshness |
| 易記名稱 | PKInit Freshness Extension 的 KDC 支援 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > KDC |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| ADMX 檔案名稱 | kdc.admx |
RequestCompoundId
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/RequestCompoundId
此原則設定可讓您設定域控制器來要求復合驗證。
注意
若要讓域控制器要求複合驗證,必須設定並啟用「宣告、復合驗證和 Kerberos 防護的 KDC 支援」原則。
如果啟用此原則設定,域控制器將會要求復合驗證。 只有在明確設定帳戶時,傳回的服務票證才會包含復合驗證。 此原則應該套用至所有域控制器,以確保此原則在網域中的應用一致。
如果您停用或未設定此原則設定,無論帳戶設定為何,域控制器都會傳回包含複合驗證的服務票證。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | RequestCompoundId |
| 易記名稱 | 要求複合驗證 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > KDC |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| 登錄值名稱 | RequestCompoundId |
| ADMX 檔案名稱 | kdc.admx |
TicketSizeThreshold
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅ Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 和更新版本 ✅ Windows 10 版本 21H1 與 KB5005101 [10.0.19043.1202] 和更新版本 ✅ Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/TicketSizeThreshold
此原則設定可讓您設定 Kerberos 票證的大小,以觸發 Kerberos 驗證期間發出的警告事件。 票證大小警告會記錄在系統記錄檔中。
如果啟用此原則設定,您可以設定 Kerberos 票證的臨界值限制,以觸發警告事件。 如果設定太高,則即使未記錄警告事件,仍可能會發生驗證失敗。 如果設定太低,則記錄檔中會出現太多票證警告,以供分析之用。 如果您未使用組策略進行設定,此值應設定為與 Kerberos 原則「設定 Kerberos SSPI 內容令牌緩衝區大小上限」或您環境中使用的最小 MaxTokenSize 相同的值。
如果停用或未設定此原則設定,閾值預設為 12,000 個字節,這是 Windows 7、Windows Server 2008 R2 和舊版的預設 Kerberos MaxTokenSize。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | TicketSizeThreshold |
| 易記名稱 | 大型 Kerberos 票證的警告 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > KDC |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| 登錄值名稱 | EnableTicketSizeThreshold |
| ADMX 檔案名稱 | kdc.admx |