智慧卡群組原則和登錄設定
本文適用於 IT 專業人員和智慧卡開發人員,說明可用於設定智慧卡的 群組原則 設定、登錄機碼設定、本機安全策略設定,以及認證委派原則設定。
下列各節和數據表會列出智慧卡相關的 群組原則 設定和登錄機碼,這些設定和登錄機碼可以根據每部計算機來設定。 如果您使用網域 群組原則 物件 (GPO) ,您可以編輯 群組原則 設定並套用至本機或網域電腦。
智慧卡的主要 群組原則 設定
下列智慧卡 群組原則 設定位於計算機設定\系統管理範本\Windows 元件\智慧卡。
登入機碼位於下列位置:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScPnP\EnableScPnP
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CertProp
注意
智慧卡卡片讀 取器 登錄信息位於HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\Readers中。
智慧卡登錄信息位於 HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Calais\SmartCards中。
下表列出這些 GPO 設定的預設值。 變化記載於本文中的原則描述之下。
| 伺服器類型或 GPO | 預設值 |
|---|---|
| 默認網域原則 | 未設定 |
| 預設域控制器原則 | 未設定 |
| Stand-Alone 伺服器預設設定 | 未設定 |
| 域控制器的有效預設設定 | 停用 |
| 成員伺服器有效預設設定 | 停用 |
| 用戶端電腦有效預設設定 | 停用 |
允許沒有擴充金鑰使用憑證屬性的憑證
您可以使用此原則設定來允許不使用擴充金鑰的憑證 (EKU) 設定為用於登入。
注意
擴充金鑰使用方式憑證屬性也稱為擴充密鑰使用方式。
在 Windows Vista 之前的 Windows 版本中,用來登入的智慧卡憑證需要具有智慧卡登入物件標識符的 EKU 擴充功能。 此原則設定可用來修改該限制。
開啟此原則設定時,具有下列屬性的憑證也可用來使用智慧卡登入:
- 沒有 EKU 的憑證
- 具有所有用途 EKU 的憑證
- 具有客戶端驗證 EKU 的憑證
未開啟此原則設定時,只能使用包含智慧卡登入對象標識符的憑證來使用智慧卡登入。
| 項目 | 描述 |
|---|---|
| 登錄機碼 | AllowCertificatesWithNoEKU |
| 預設值 | 每個作業系統版本沒有變更 停用和未設定是相等的 |
| 群組原則管理 | 重新啟動需求:無 註銷需求:無 原則衝突:無 |
允許將 ECC 憑證用於登入和驗證
您可以使用此原則設定來控制智慧卡上 ECC) 憑證 (橢圓曲線密碼編譯是否可用來登入網域。
開啟此設定時,智慧卡上的 ECC 憑證可用來登入網域。
未開啟此設定時,智慧卡上的 ECC 憑證就無法用來登入網域。
| 項目 | 描述 |
|---|---|
| 登錄機碼 | EnumerateECCCerts |
| 預設值 | 每個作業系統版本沒有變更 停用和未設定是相等的 |
| 群組原則管理 | 重新啟動需求:無 註銷需求:無 原則衝突:無 |
| 附註和資源 | 此原則設定只會影響使用者登入網域的能力。 智慧卡上用於文件簽署等其他應用程式的 ECC 憑證不會受到此原則設定的影響。 如果您使用ECDSA 金鑰登入,則也必須有相關聯的ECDH 金鑰,才能在未連線到網路時允許登入。 |
允許在登入時顯示整合式解除封鎖畫面
您可以使用此原則設定來判斷登入使用者介面 (UI) 中是否提供整合式解除封鎖功能。 這項功能是在 Windows Vista 的認證安全性支援提供者中導入為標準功能。
開啟此設定時,可使用整合式解除封鎖功能。
未開啟此設定時,即無法使用此功能。
| 項目 | 描述 |
|---|---|
| 登錄機碼 | AllowIntegratedUnblock |
| 預設值 | 每個作業系統版本沒有變更 停用和未設定是相等的 |
| 群組原則管理 | 重新啟動需求:無 註銷需求:無 原則衝突:無 |
| 附註和資源 | 若要使用整合式解除封鎖功能,智慧卡必須支援它。 請洽閱硬體製造商,確認智慧卡支援這項功能。 您可以設定封鎖智慧卡時顯示字串的原則設定,以建立使用者在封鎖 智慧卡時看到的自定義訊息。 |
允許登入有效的簽章金鑰
您可以使用此原則設定來允許列舉簽章金鑰型憑證並可供登入。
開啟此設定時,登入畫面上會列出智慧卡上任何具有僅限簽章密鑰的憑證。
未開啟此設定時,登入畫面上不會列出智慧卡上具有僅限簽章密鑰的憑證。
| 項目 | 描述 |
|---|---|
| 登錄機碼 | AllowSignatureOnlyKeys |
| 預設值 | 每個作業系統版本沒有變更 停用和未設定是相等的 |
| 群組原則管理 | 重新啟動需求:無 註銷需求:無 原則衝突:無 |
允許時間無效的憑證
您可以使用此原則設定來允許顯示已過期或尚未有效的憑證進行登入。
注意
在 Windows Vista 之前,必須要有憑證才能包含有效的時間,而且不會過期。 若要使用憑證,域控制器必須接受該憑證。 此原則設定只會控制用戶端電腦上顯示的憑證。
開啟此設定時,無論憑證有無效的時間,或其時間有效性已過期,憑證都會列在登入畫面上。
未開啟此原則設定時,登入畫面上不會列出過期或尚未有效的憑證。
| 項目 | 描述 |
|---|---|
| 登錄機碼 | AllowTimeInvalidCertificates |
| 預設值 | 每個作業系統版本沒有變更 停用和未設定是相等的 |
| 群組原則管理 | 重新啟動需求:無 註銷需求:無 原則衝突:無 |
允許使用者名稱提示
您可以使用此原則設定來判斷在登入期間是否出現選擇性欄位,並提供後續提高許可權程式,讓使用者可以輸入其使用者名稱或使用者名稱和網域,以建立憑證與用戶的關聯。
開啟此原則設定時,使用者會看到選擇性字段,他們可以在其中輸入其使用者名稱或使用者名稱和網域。
未開啟此原則設定時,使用者不會看到此選擇性欄位。
| 項目 | 描述 |
|---|---|
| 登錄機碼 | X509HintsNeeded |
| 預設值 | 每個作業系統版本沒有變更 停用和未設定是相等的 |
| 群組原則管理 | 重新啟動需求:無 註銷需求:無 原則衝突:無 |
設定跟證書清除
您可以使用此原則設定來管理跟證書的清除行為。 憑證是使用信任鏈結來驗證,而數字證書的信任錨點是根證書頒發機構單位 (CA) 。 CA 可以發行多個憑證,並以跟證書作為樹狀結構的頂端憑證。 私鑰可用來簽署其他憑證。 這會立即為跟證書底下的所有憑證建立繼承的可信度。
開啟此原則設定時,您可以設定下列清除選項:
- 沒有清除。 當使用者註銷或移除智慧卡時,在其會話期間使用的跟證書會保存在計算機上。
- 清除智慧卡移除時的憑證。 拿掉智慧卡時,會移除跟證書。
- 在註銷時清除憑證。 當使用者註銷 Windows 時,會移除跟證書。
未開啟此原則設定時,當使用者註銷 Windows 時,會自動移除跟證書。
| 項目 | 描述 |
|---|---|
| 登錄機碼 | RootCertificateCleanupOption |
| 預設值 | 每個作業系統版本沒有變更 停用和未設定是相等的 |
| 群組原則管理 | 重新啟動需求:無 註銷需求:無 原則衝突:無 |
封鎖智慧卡時顯示字串
您可以使用此原則設定來變更使用者在智慧卡遭到封鎖時看到的預設訊息。
開啟此原則設定時,您可以建立和管理使用者在封鎖智慧卡時看到的顯示訊息。
當此原則設定未在 (開啟,且已) 啟用整合式解除封鎖功能時,使用者會在智慧卡遭到封鎖時看到系統的預設訊息。
| 項目 | 描述 |
|---|---|
| 登錄機碼 | IntegratedUnblockPromptString |
| 預設值 | 每個作業系統版本沒有變更 停用和未設定是相等的 |
| 群組原則管理 | 重新啟動需求:無 註銷需求:無 原則衝突:只有在啟用登入原則 時顯示 [允許整合式解除封鎖] 畫面時 ,此原則設定才有效。 |
篩選重複的登入憑證
您可以使用此原則設定來設定要顯示哪些有效的登入憑證。
注意
在憑證更新期間,用戶的智慧卡可以有多個從相同證書範本簽發的有效登入憑證,這可能會對要選取的憑證造成混淆。 當憑證更新且舊憑證尚未過期時,可能會發生此行為。
如果兩個憑證是從相同主要版本的相同範本發出,而且它們適用於相同的使用者 (這取決於其 UPN) ,則會判斷它們是相同的。
開啟此原則設定時,會進行篩選,讓使用者只能從最新的有效憑證中選取。
如果未開啟此原則設定,則會向用戶顯示所有憑證。
套用 [ 允許時間無效的憑證 ] 原則設定之後,此原則設定會套用至計算機。
| 項目 | 描述 |
|---|---|
| 登錄機碼 | FilterDuplicateCerts |
| 預設值 | 每個作業系統版本沒有變更 停用和未設定是相等的 |
| 群組原則管理 | 重新啟動需求:無 註銷需求:無 原則衝突:無 |
| 附註和資源 | 如果智慧卡上有兩個或多個相同的憑證,且已啟用此原則設定,則會顯示到期時間最遠的憑證。 |
強制從智慧卡讀取所有憑證
您可以使用此原則設定來管理 Windows 如何從智慧卡讀取所有憑證以進行登入。 在登入期間,Windows 只會從智慧卡讀取預設憑證,除非它支援在單一呼叫中擷取所有憑證。 此原則設定會強制 Windows 從智慧卡讀取所有憑證。
開啟此原則設定時,無論 CSP 功能集為何,Windows 都會嘗試從智慧卡讀取所有憑證。
未開啟此原則時,Windows 會嘗試只從不支援在單一呼叫中擷取所有憑證的智慧卡讀取預設憑證。 預設以外的憑證無法登入。
| 項目 | 描述 |
|---|---|
| 登錄機碼 | ForceReadingAllCertificates |
| 預設值 | 每個作業系統版本沒有變更 停用和未設定是相等的 |
| 群組原則管理 | 重新啟動需求:無 註銷需求:無 原則衝突:無 重要:在某些情況下,啟用此原則設定可能會對登入程式期間的效能造成負面影響。 |
| 附註和資源 | 請連絡智慧卡廠商,以判斷您的智慧卡和相關聯的 CSP 是否支援必要的行為。 |
通知用戶智慧卡驅動程式安裝成功
您可以使用此原則設定來控制安裝智慧卡設備驅動器時,使用者是否看到確認訊息。
開啟此原則設定時,使用者會在安裝智慧卡設備驅動器時看到確認訊息。
未開啟此設定時,使用者不會看到智慧卡設備驅動器安裝訊息。
| -- | -- |
|---|---|
| 登錄機碼 | ScPnPNotification |
| 預設值 | 每個作業系統版本沒有變更 停用和未設定是相等的 |
| 群組原則管理 | 重新啟動需求:無 註銷需求:無 原則衝突:無 |
| 附註和資源 | 此原則設定僅適用於已透過 Windows 硬體質量實驗室 (WHQL) 測試程式的智慧卡驅動程式。 |
防止認證管理員傳回純文本 PIN
您可以使用此原則設定來防止認證管理員傳回純文字 PIN。
注意
認證管理員是由本機電腦上的使用者所控制,並儲存來自支援瀏覽器和 Windows 應用程式的認證。 認證會儲存在計算機上使用者配置檔下的特殊加密資料夾中。
開啟此原則設定時,認證管理員不會傳回純文本 PIN。
未開啟此設定時,認證管理員可以傳回純文本 PIN。
| 項目 | 描述 |
|---|---|
| 登錄機碼 | DisallowPlaintextPin |
| 預設值 | 每個作業系統版本沒有變更 停用和未設定是相等的 |
| 群組原則管理 | 重新啟動需求:無 註銷需求:無 原則衝突:無 |
| 附註和資源 | 如果啟用此原則設定,某些智慧卡可能無法在執行 Windows 的電腦上運作。 請洽詢智慧卡製造商,以判斷是否應該啟用此原則設定。 |
反轉顯示時儲存在憑證中的主體名稱
您可以使用此原則設定來控制主體名稱在登入期間的顯示方式。
注意
為了協助用戶區分一個憑證與另一個憑證,預設會顯示用戶主體名稱 (UPN) 和一般名稱。 例如,啟用此設定時,如果憑證主體為 CN=User1、OU=Users、DN=example、DN=com,且 UPN 為 user1@example.com,則會以 顯示 User1。user1@example.com 如果UPN不存在,則會顯示整個主體名稱。 此設定會控制該主體名稱的外觀,而且可能需要為您的組織進行調整。
開啟此原則設定時,登入期間的主體名稱會與其儲存在憑證中的方式相反。
未開啟此原則設定時,主體名稱會與儲存在憑證中的名稱相同。
| 項目 | 描述 |
|---|---|
| 登錄機碼 | ReverseSubject |
| 預設值 | 每個作業系統版本沒有變更 停用和未設定是相等的 |
| 群組原則管理 | 重新啟動需求:無 註銷需求:無 原則衝突:無 |
開啟智慧卡的憑證傳播
您可以使用此原則設定來管理插入智慧卡時所發生的憑證傳播。
注意
當登入的使用者在連結至計算機的讀取器中插入智慧卡時,就會套用憑證傳播服務。 此動作會導致從智慧卡讀取憑證。 憑證接著會新增至使用者的個人存放區。
開啟此原則設定時,會在使用者插入智慧卡時發生憑證傳播。
關閉此原則設定時,不會發生憑證傳播,而且憑證無法供 Outlook 等應用程式使用。
| 項目 | 描述 |
|---|---|
| 登錄機碼 | CertPropEnabled |
| 預設值 | 每個作業系統版本沒有變更 啟用和未設定是相等的 |
| 群組原則管理 | 重新啟動需求:無 註銷需求:無 原則衝突:必須啟用此原則設定,才能讓 [ 開啟從智慧卡傳播跟證書 ] 設定在啟用時運作。 |
開啟從智慧卡傳播跟證書
您可以使用此原則設定來管理插入智慧卡時發生的跟證書傳播。
注意
當登入的使用者在連結至計算機的讀取器中插入智慧卡時,就會套用憑證傳播服務。 此動作會導致從智慧卡讀取憑證。 憑證接著會新增至使用者的個人存放區。
開啟此原則設定時,會在使用者插入智慧卡時發生跟證書傳播。
未開啟此原則設定時,當使用者插入智慧卡時,不會發生跟證書傳播。
| 項目 | 描述 |
|---|---|
| 登錄機碼 | EnableRootCertificate Propagation |
| 預設值 | 每個作業系統版本沒有變更 啟用和未設定是相等的 |
| 群組原則管理 | 重新啟動需求:無 註銷需求:無 原則衝突:若要讓此原則設定能夠運作,也必須啟用 [從智慧卡開啟憑證傳播 ] 原則設定。 |
| 附註和資源 |
開啟智慧卡 隨插即用 服務
您可以使用此原則設定來控制是否啟用智慧卡 隨插即用。
注意
您的使用者可以從透過 Windows Update 發佈驅動程式的廠商使用智慧卡,而不需要特殊中間件。 這些驅動程式的下載方式與 Windows 中其他裝置的驅動程式相同。 如果 Windows Update 無法使用適當的驅動程式,這些卡片會使用任何支援的 Windows 版本隨附的 PIV 相容迷你驅動程式。
開啟此原則設定時,系統會在第一次將智慧卡插入智慧卡卡片閱讀機時,嘗試安裝智慧卡設備驅動器。
未開啟此原則設定時,當智慧卡插入智慧卡卡片閱讀機時,不會安裝設備驅動器。
| 項目 | 描述 |
|---|---|
| 登錄機碼 | EnableScPnP |
| 預設值 | 每個作業系統版本沒有變更 啟用和未設定是相等的 |
| 群組原則管理 | 重新啟動需求:無 註銷需求:無 原則衝突:無 |
| 附註和資源 | 此原則設定僅適用於已透過 Windows 硬體質量實驗室 (WHQL) 測試程式的智慧卡驅動程式。 |
基礎 CSP 和智慧卡 KSP 登錄機碼
您可以針對基底密碼編譯服務提供者 (CSP) 和智慧卡密鑰儲存提供者 (KSP) 設定下列登錄機碼。 下表列出索引鍵。 所有索引鍵都會使用 DWORD 類型。
基底 CSP 的登錄機碼位於 的登錄中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Smart Card Crypto Provider。
智慧卡 KSP 的登入機碼位於 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Cryptography\Providers\Microsoft Smart Card Key Storage Provider。
基底 CSP 和智慧卡 KSP 的登錄機碼
| 登錄機碼 | 描述 |
|---|---|
| AllowPrivateExchangeKeyImport | 非零值可讓 RSA 交換 (例如,加密) 私鑰匯入以用於金鑰封存案例。 默認值:000000000 |
| AllowPrivateSignatureKeyImport | 非零值允許匯入 RSA 簽章私鑰,以便在金鑰封存案例中使用。 默認值:000000000 |
| DefaultPrivateKeyLenBits | 視需要定義私鑰的預設長度。 默認值:00000400 預設金鑰產生參數:1024 位金鑰 |
| RequireOnCardPrivateKeyGen | 此金鑰會設定需要在卡片上產生私鑰 (預設) 的旗標。 如果設定此值,可以在主機上產生的金鑰匯入智慧卡。 這用於不支援卡片密鑰產生或需要金鑰委付的智慧卡。 默認值:000000000 |
| TransactionTimeoutMilliseconds | 預設逾時值可讓您指定花費過多時間的交易是否會失敗。 默認值:000005dc 保留智慧卡交易的預設逾時為1.5秒。 |
智慧卡 KSP 的其他登錄機碼:
| 登錄機碼 | 描述 |
|---|---|
| AllowPrivateECDHEKeyImport | 此值可讓暫時橢圓曲線 Diffie-Hellman (ECDHE) 私鑰匯入以用於密鑰封存案例。 默認值:000000000 |
| AllowPrivateECDSAKeyImport | 此值可讓橢圓曲線數位簽名演算法 (ECDSA) 私鑰匯入以用於密鑰封存案例。 默認值:000000000 |
CRL 檢查登錄機碼
下表列出在金鑰發佈中心 (KDC) 或用戶端 (CRL) 檢查,關閉證書吊銷清單的金鑰和對應值。 若要管理 CRL 檢查,您必須設定 KDC 和客戶端的設定。
| 登錄機碼 | 詳細資料 |
|---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Services\Kdc\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors |
類型 = DWORD 值 = 1 |
HKEY_LOCAL_MACHINE\SYSTEM\CCS\Control\LSA\Kerberos\Parameters\UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors |
類型 = DWORD 值 = 1 |
其他智慧卡 群組原則 設定和登錄機碼
在智慧卡部署中,您可以使用其他 群組原則 設定來增強易用性或安全性。 這兩個可補充智慧卡部署的原則設定如下:
- 關閉計算機的委派
- 互動式登錄:不建議使用 CTRL+ALT+DEL ()
下列智慧卡相關 群組原則 設定位於計算機設定\Windows 設定\安全性設定\本機原則\安全性選項中。
本機安全策略設定
| 群組原則 設定和登錄機碼 | 預設值 | 描述 |
|---|---|---|
| 互動式登入: 須有智慧卡 scforceoption |
停用 | 此安全策略設定需要使用者使用智慧卡登入計算機。 啟用 使用者只能使用智慧卡登入計算機。 禁用 使用者可以使用任何方法登入計算機。 注意:啟用時,Windows LAPS 管理的本機帳戶會豁免此原則。 |
| 互動式登入: 智慧卡移除操作 scremoveoption |
未定義此原則設定,這表示系統會將它視為 無動作。 | 此設定會決定當已登入使用者的智慧卡從智慧卡卡片閱讀機中移除時,會發生什麼情況。 選項包括: 無動作 鎖定工作站:移除智慧卡時會鎖定工作站,讓使用者可以離開區域、使用智慧卡,並且仍然維護受保護的會話。 強制註銷:移除智慧卡時,用戶會自動註銷。 如果遠端桌面服務會話中斷連線:移除智慧卡會中斷會話的連線,而不會註銷使用者。 用戶可以重新插入智慧卡,並於稍後繼續會話,或是在配備智慧卡卡片閱讀機的另一部計算機上,而不需要再次登入。 如果會話是本機,則此原則設定的運作方式與 [鎖定工作站 ] 選項相同。 |
從 secpol.msc 編輯器 (本機安全策略) ,您可以編輯並套用系統原則來管理本機或網域電腦的認證委派。
下列智慧卡相關 群組原則 設定位於計算機設定\系統管理範本\系統\認證委派中。
登入機碼位於 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults。
注意
在下表中,執行應用程式時會提示您輸入的全新認證。
認證委派原則設定
| 群組原則 設定和登錄機碼 | 預設值 | 描述 |
|---|---|---|
| 允許委派全新認證 AllowFreshCredentials |
未設定 | 此原則設定適用: 透過受信任的 X509 憑證或 Kerberos 通訊協定達成伺服器驗證時。 針對使用 CredSSP 元件的應用程式, (例如遠端桌面服務) 。 已啟用:您可以指定可以委派使用者最新認證的伺服器。 未設定:在適當的相互驗證之後,允許在任何計算機上執行的遠端桌面服務委派全新認證。 已停用:不允許將全新認證委派給任何計算機。 注意:此原則設定可以設定為SPN) (一或多個服務主體名稱。 SPN 代表可以委派使用者認證的目標伺服器。 指定 SPN 時,允許使用單一通配符,例如: 在任何電腦上執行的遠端桌面工作階段主機 (RD 工作階段主機) 使用 *TERMSRV/** 。 針對在 host.humanresources.fabrikam.com 電腦上執行的 RD 工作階段主機,請使用 TERMSRV/ host.humanresources.fabrikam.com。 針對在 .humanresources.fabrikam.com 中所有計算機上執行的 RD 工作階段主機使用 TERMSRV/* .humanresources.fabrikam.com |
| 允許使用僅限 NTLM 的伺服器驗證委派全新認證 AllowFreshCredentialsWhenNTLMOnly |
未設定 | 此原則設定適用: 使用 NTLM 完成伺服器驗證時。 使用 CredSSP 元件的應用程式 (例如遠端桌面) 。 已啟用:您可以指定可以委派使用者最新認證的伺服器。 未設定:在適當的相互驗證之後,允許將全新認證委派給在任何計算機上執行的 RD 會話主機, (TERMSRV/*) 。 已停用:不允許將全新認證委派給任何計算機。 注意:此原則設定可以設定為一或多個SPN。 SPN 代表可以委派使用者認證的目標伺服器。 指定SPN時,允許單一通配符 (*) 。 如需範例,請參閱 允許委派全新認證 原則設定描述。 |
| 拒絕委派全新認證 DenyFreshCredentials |
未設定 | 此原則設定適用於使用 CredSSP 元件的應用程式 (例如遠端桌面) 。 已啟用:您可以指定無法委派使用者最新認證的伺服器。 停 用或 未設定:未指定伺服器。 注意:此原則設定可以設定為一或多個SPN。 SPN 代表無法委派使用者認證的目標伺服器。 指定SPN時,允許單一通配符 (*) 。 如需範例,請參閱「允許委派全新認證」原則設定。 |
如果您使用遠端桌面服務搭配智慧卡登入,則無法委派預設和已儲存的認證。 下表中的登錄機碼HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults位於 ,而對應的 群組原則 設定則會被忽略。
| 登錄機碼 | 對應的 群組原則 設定 |
|---|---|
| AllowDefaultCredentials | 允許委派預設認證 |
| AllowDefaultCredentialsWhenNTLMOnly | 允許使用僅限 NTLM 的伺服器驗證委派預設認證 |
| AllowSavedCredentials | 允許委派已儲存的認證 |
| AllowSavedCredentialsWhenNTLMOnly | 允許使用僅限 NTLM 的伺服器驗證委派已儲存的認證 |