原則 CSP - Kerberos
提示
此 CSP 包含 ADMX 支持的原則,需要特殊 SyncML 格式才能啟用或停用。 您必須在 SyncML 中將資料型態指定為 <Format>chr</Format>。 如需詳細資訊,請 參閱瞭解 ADMX 支持的原則。
SyncML 的承載必須是 XML 編碼;針對此 XML 編碼,您可以使用各種在線編碼器。 若要避免編碼承載,如果您的 MDM 支援 CDATA,您可以使用 CDATA。 如需詳細資訊,請參閱 CDATA 區段。
AllowForestSearchOrder
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/AllowForestSearchOrder
此原則設定會定義 Kerberos 用戶端嘗試解析兩部分服務主體名稱時,Kerberos 用戶端 (SPN) 時所搜尋的信任樹系列表。
如果啟用此原則設定,Kerberos 用戶端會在此清單中搜尋樹系,如果無法解析兩部分的 SPN。 如果找到相符專案,Kerberos 用戶端會向適當的網域要求轉介票證。
如果您停用或未設定此原則設定,Kerberos 用戶端不會搜尋列出的樹系來解析 SPN。 如果 Kerberos 用戶端因為找不到名稱而無法解析 SPN,則可能會使用 NTLM 驗證。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | ForestSearch |
| 易記名稱 | 使用樹系搜尋順序 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Kerberos |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 登錄值名稱 | UseForestSearch |
| ADMX 檔案名稱 | Kerberos.admx |
CloudKerberosTicketRetrievalEnabled
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11,版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled
此原則設定允許在登入期間擷取 Microsoft Entra Kerberos 票證授與票證。
如果您停用或未設定此原則設定,登入期間不會擷取 Microsoft Entra Kerberos 票證授權票證。
如果您啟用此原則設定,登入期間會擷取 Microsoft Entra Kerberos 票證授與票證。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 已停用。 |
| 1 | 啟用。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | CloudKerberosTicketRetrievalEnabled |
| 易記名稱 | 允許在登入期間擷取 Azure AD Kerberos 票證授與票證 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Kerberos |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 登錄值名稱 | CloudKerberosTicketRetrievalEnabled |
| ADMX 檔案名稱 | Kerberos.admx |
KerberosClientSupportsClaimsCompoundArmor
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/KerberosClientSupportsClaimsCompoundArmor
此原則設定可控制裝置是否會使用 Kerberos 驗證搭配支援這些功能的網域,要求動態 存取控制 和 Kerberos 防護的宣告和復合驗證。
如果啟用此原則設定,用戶端計算機會要求宣告,並提供在網域中建立複合驗證和保護 Kerberos 訊息所需的資訊,以支援動態 存取控制 和 Kerberos 防護的宣告和復合驗證。
如果您停用或未設定此原則設定,用戶端裝置將不會要求宣告、提供建立複合驗證和保護 Kerberos 訊息所需的資訊。 裝載於裝置上的服務將無法使用 Kerberos 通訊協定轉換來擷取用戶端的宣告。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | EnableCbacAndArmor |
| 易記名稱 | Kerberos 用戶端支援宣告、復合驗證和 Kerberos 防護 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Kerberos |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 登錄值名稱 | EnableCbacAndArmor |
| ADMX 檔案名稱 | Kerberos.admx |
PKInitHashAlgorithmConfiguration
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 22H2 [10.0.22621] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
此原則設定可控制 Kerberos 用戶端在執行憑證驗證時所使用的哈希或總和檢查碼演算法。
如果啟用此原則,您將能夠為每個演算法設定四種狀態的其中一個:
“Default” 會將演演算法設定為建議的狀態。
「支援」可啟用演算法的使用方式。 啟用預設已停用的演算法可能會降低您的安全性。
「已稽核」會啟用演算法的使用方式,並在每次使用時報告事件標識 (標識碼 206) 。 此狀態的目的是要確認演算法並未被使用,而且可以安全地停用。
「不支援」會停用演算法的使用方式。 此狀態適用於被視為不安全的演算法。
如果您停用或未設定此原則,則每個演算法都會採用「預設」狀態。
此組態所產生的事件:205、206、207、208。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 0 |
允許的值:
| 值 | 描述 |
|---|---|
| 0 (預設值) | 已停用/未設定。 |
| 1 | 啟用。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | PKInitHashAlgorithmConfiguration |
| 易記名稱 | 設定憑證登入的哈希演算法 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Kerberos |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 登錄值名稱 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX 檔案名稱 | Kerberos.admx |
PKInitHashAlgorithmSHA1
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11,版本 22H2 [10.0.22621] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA1
此原則設定可控制 Kerberos 用戶端在執行憑證驗證時所使用的 SHA1 演演算法組態。 只有在啟用 Kerberos/PKInitHashAlgorithmConfiguration 時,才會強制執行此原則。 您可以為此演算法設定四種狀態之一:
- 0 - 不支援:此狀態會停用演算法的使用方式。 此狀態適用於被視為不安全的演算法。
- 1 - 預設值:此狀態會將演算法設定為建議的狀態。
- 2 - 稽核:此狀態可讓您使用演算法,並在每次使用時報告事件 (標識碼 206) 。 此狀態的目的是要確認演算法並未被使用,而且可以安全地停用。
- 3 - 支援:此狀態可讓您使用演算法。 啟用預設已停用的演算法可能會降低您的安全性。
如果您未設定此原則,SHA1 演算法會假設為 默認 狀態。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
| 相依性 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | 相依性類型: DependsOn 相依性 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration 相依性允許的值: [1] 相依性允許的值類型: Range |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 不支援。 |
| 1 (預設) | 預設。 |
| 2 | 審計。 |
| 3 | 支援。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | PKInitHashAlgorithmConfiguration |
| 易記名稱 | 設定憑證登入的哈希演算法 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Kerberos |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 登錄值名稱 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX 檔案名稱 | Kerberos.admx |
PKInitHashAlgorithmSHA256
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11,版本 22H2 [10.0.22621] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA256
此原則設定可控制 Kerberos 用戶端在執行憑證驗證時所使用的 SHA256 演算法組態。 只有在啟用 Kerberos/PKInitHashAlgorithmConfiguration 時,才會強制執行此原則。 您可以為此演算法設定四種狀態之一:
- 0 - 不支援:此狀態會停用演算法的使用方式。 此狀態適用於被視為不安全的演算法。
- 1 - 預設值:此狀態會將演算法設定為建議的狀態。
- 2 - 稽核:此狀態可讓您使用演算法,並在每次使用時報告事件 (標識碼 206) 。 此狀態的目的是要確認演算法並未被使用,而且可以安全地停用。
- 3 - 支援:此狀態可讓您使用演算法。 啟用預設已停用的演算法可能會降低您的安全性。
如果您未設定此原則,SHA256 演算法會採用 默認 狀態。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
| 相依性 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | 相依性類型: DependsOn 相依性 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration 相依性允許的值: [1] 相依性允許的值類型: Range |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 不支援。 |
| 1 (預設) | 預設。 |
| 2 | 審計。 |
| 3 | 支援。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | PKInitHashAlgorithmConfiguration |
| 易記名稱 | 設定憑證登入的哈希演算法 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Kerberos |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 登錄值名稱 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX 檔案名稱 | Kerberos.admx |
PKInitHashAlgorithmSHA384
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 22H2 [10.0.22621] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA384
此原則設定可控制 Kerberos 用戶端在執行憑證驗證時所使用的 SHA384 演算法組態。 只有在啟用 Kerberos/PKInitHashAlgorithmConfiguration 時,才會強制執行此原則。 您可以為此演算法設定四種狀態之一:
- 0 - 不支援:此狀態會停用演算法的使用方式。 此狀態適用於被視為不安全的演算法。
- 1 - 預設值:此狀態會將演算法設定為建議的狀態。
- 2 - 稽核:此狀態可讓您使用演算法,並在每次使用時報告事件 (標識碼 206) 。 此狀態的目的是要確認演算法並未被使用,而且可以安全地停用。
- 3 - 支援:此狀態可讓您使用演算法。 啟用預設已停用的演算法可能會降低您的安全性。
如果您未設定此原則,SHA384 演算法會採用 默認 狀態。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
| 相依性 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | 相依性類型: DependsOn 相依性 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration 相依性允許的值: [1] 相依性允許的值類型: Range |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 不支援。 |
| 1 (預設) | 預設。 |
| 2 | 審計。 |
| 3 | 支援。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | PKInitHashAlgorithmConfiguration |
| 易記名稱 | 設定憑證登入的哈希演算法 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Kerberos |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 登錄值名稱 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX 檔案名稱 | Kerberos.admx |
PKInitHashAlgorithmSHA512
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 22H2 [10.0.22621] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA512
此原則設定可控制 Kerberos 用戶端在執行憑證驗證時所使用的 SHA512 演算法組態。 只有在啟用 Kerberos/PKInitHashAlgorithmConfiguration 時,才會強制執行此原則。 您可以為此演算法設定四種狀態之一:
- 0 - 不支援:此狀態會停用演算法的使用方式。 此狀態適用於被視為不安全的演算法。
- 1 - 預設值:此狀態會將演算法設定為建議的狀態。
- 2 - 稽核:此狀態可讓您使用演算法,並在每次使用時報告事件 (標識碼 206) 。 此狀態的目的是要確認演算法並未被使用,而且可以安全地停用。
- 3 - 支援:此狀態可讓您使用演算法。 啟用預設已停用的演算法可能會降低您的安全性。
如果您未設定此原則,SHA512 演算法會採用 默認 狀態。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | int |
| 存取類型 | 新增、刪除、取得、取代 |
| 預設值 | 1 |
| 相依性 [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | 相依性類型: DependsOn 相依性 URI: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration 相依性允許的值: [1] 相依性允許的值類型: Range |
允許的值:
| 值 | 說明 |
|---|---|
| 0 | 不支援。 |
| 1 (預設) | 預設。 |
| 2 | 審計。 |
| 3 | 支援。 |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | PKInitHashAlgorithmConfiguration |
| 易記名稱 | 設定憑證登入的哈希演算法 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Kerberos |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 登錄值名稱 | PKInitHashAlgorithmConfigurationEnabled |
| ADMX 檔案名稱 | Kerberos.admx |
RequireKerberosArmoring
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireKerberosArmoring
此原則設定可控制計算機是否需要在與域控制器通訊時保護 Kerberos 訊息交換。
警告
當網域啟用 「支援動態 存取控制 和 Kerberos 防護」來不支援 Kerberos 防護時,則其所有使用者的所有驗證都會在啟用此原則設定的電腦上失敗。
- 如果啟用此原則設定,網域中的用戶端計算機只會在驗證服務中強制使用 Kerberos 防護, (AS) 和票證授與服務, (TGS) 與域控制器進行訊息交換。
注意
Kerberos 群組原則 也必須啟用「宣告、復合驗證和 Kerberos 防護的 Kerberos 用戶端支援」,才能支援 Kerberos 防護。
- 如果停用或未設定此原則設定,網域中的用戶端計算機會盡可能強制使用 Kerberos 防護,如目標網域所支援。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | ClientRequireFast |
| 易記名稱 | 無法使用 Kerberos 防護時,驗證要求失敗 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Kerberos |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 登錄值名稱 | RequireFast |
| ADMX 檔案名稱 | Kerberos.admx |
RequireStrictKDCValidation
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireStrictKDCValidation
此原則設定可控制 Kerberos 用戶端在驗證智慧卡和系統憑證登入 KDC 憑證時的行為。
如果啟用此原則設定,Kerberos 用戶端會要求 KDC 的 X.509 憑證在擴充密鑰使用方式 (EKU) 延伸模組中包含 KDC 金鑰用途物件標識符,而且 KDC 的 X.509 憑證包含符合網域 DNS 名稱的 dNSName subjectAltName (SAN) 擴充功能。 如果計算機已加入網域,Kerberos 用戶端會要求 KDC 的 X.509 憑證必須由 NTAuth 存放區中的證書頒發機構單位 (CA) 簽署。 如果計算機未加入網域,Kerberos 用戶端會允許智慧卡上的根 CA 憑證用於 KDC X.509 憑證的路徑驗證。
如果您停用或未設定此原則設定,Kerberos 用戶端只需要 KDC 憑證在 EKU 擴充功能中包含伺服器驗證用途物件識別碼,才能發行給任何伺服器。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | ValidateKDC |
| 易記名稱 | 需要嚴格的 KDC 驗證 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Kerberos |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 登錄值名稱 | KdcValidation |
| ADMX 檔案名稱 | Kerberos.admx |
SetMaximumContextTokenSize
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/SetMaximumContextTokenSize
此原則設定可讓您設定傳回給要求 SSPI 內容令牌緩衝區大小上限之應用程式的值。
內容令牌緩衝區的大小決定應用程式預期和配置的 SSPI 內容令牌大小上限。 根據驗證要求處理和群組成員資格,緩衝區可能會小於SSPI內容令牌的實際大小。
如果您啟用此原則設定,Kerberos 用戶端或伺服器會使用已設定的值,或本機允許的最大值,以較小者為準。
如果您停用或未設定此原則設定,Kerberos 用戶端或伺服器會使用本機設定的值或預設值。
注意
此原則設定會在 windows XP 和 Windows Server 2003 中新增的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters 中設定現有的 MaxTokenSize 登錄值,預設值為 12,000 個字節。 從 Windows 8 開始,預設值為48,000個字節。 由於 HTTP 的驗證內容令牌 base64 編碼,因此不建議將此值設定為超過 48,000 個字節。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | MaxTokenSize |
| 易記名稱 | 設定 Kerberos SSPI 內容令牌緩衝區大小上限 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Kerberos |
| 登錄機碼名稱 | System\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
| 登錄值名稱 | EnableMaxTokenSize |
| ADMX 檔案名稱 | Kerberos.admx |
UPNNameHints
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/Kerberos/UPNNameHints
在混合式環境中加入 Microsoft Entra ID的裝置需要與 Active Directory 網域 控制器互動,但缺少內建能力來尋找已加入網域的裝置擁有的域控制器。 當這類裝置需要將 Microsoft Entra UPN 解析為 Active Directory 主體時,這可能會導致失敗。 如果已加入 Microsoft Entra 裝置無法將 UPN 解析為主體,則此參數會新增其應嘗試連絡的網域清單。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 |
chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |