Partager via


Fournisseur de services de configuration de stratégie - Kerberos

Astuce

Ce csp contient des stratégies ADMX qui nécessitent un format SyncML spécial pour activer ou désactiver. Vous devez spécifier le type de données dans syncML en tant que <Format>chr</Format>. Pour plus d’informations, consultez Présentation des stratégies adossées à ADMX.

La charge utile de SyncML doit être encodée en XML ; pour cet encodage XML, vous pouvez utiliser un large éventail d’encodeurs en ligne. Pour éviter d’encoder la charge utile, vous pouvez utiliser CDATA si votre GPM la prend en charge. Pour plus d’informations, consultez Sections CDATA.

AllowForestSearchOrder

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Kerberos/AllowForestSearchOrder

Ce paramètre de stratégie définit la liste des forêts d’approbation que le client Kerberos recherche lors de la tentative de résolution des noms de principal de service en deux parties.

  • Si vous activez ce paramètre de stratégie, le client Kerberos recherche les forêts de cette liste s’il ne parvient pas à résoudre un SPN en deux parties. Si une correspondance est trouvée, le client Kerberos demande un ticket de référence au domaine approprié.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le client Kerberos ne recherche pas dans les forêts répertoriées pour résoudre le SPN. Si le client Kerberos ne parvient pas à résoudre le SPN parce que le nom est introuvable, l’authentification NTLM peut être utilisée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom ForestSearch
Nom convivial Utiliser l’ordre de recherche de forêt
Emplacement Configuration ordinateur
Chemin d'accès Kerberos système >
Nom de la clé de Registre Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nom de la valeur de Registre UseForestSearch
Nom du fichier ADMX Kerberos.admx

CloudKerberosTicketRetrievalEnabled

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled

Ce paramètre de stratégie permet de récupérer le ticket d’octroi de ticket Kerberos Microsoft Entra lors de l’ouverture de session.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le ticket d’octroi de ticket Kerberos Microsoft Entra n’est pas récupéré lors de l’ouverture de session.

  • Si vous activez ce paramètre de stratégie, le ticket d’octroi de ticket Kerberos Microsoft Entra est récupéré lors de l’ouverture de session.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Désactivé.
1 Activé.

Mappage de stratégie de groupe :

Nom Valeur
Nom CloudKerberosTicketRetrievalEnabled
Nom convivial Autoriser la récupération du ticket d’octroi de ticket Kerberos Azure AD lors de l’ouverture de session
Emplacement Configuration ordinateur
Chemin d'accès Kerberos système >
Nom de la clé de Registre Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nom de la valeur de Registre CloudKerberosTicketRetrievalEnabled
Nom du fichier ADMX Kerberos.admx

KerberosClientSupportsClaimsCompoundArmor

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Kerberos/KerberosClientSupportsClaimsCompoundArmor

Ce paramètre de stratégie contrôle si un appareil demande des revendications et une authentification composée pour le Access Control dynamique et le blindage Kerberos à l’aide de l’authentification Kerberos avec des domaines qui prennent en charge ces fonctionnalités.

  • Si vous activez ce paramètre de stratégie, les ordinateurs clients demandent des revendications, fournissent les informations requises pour créer des messages Kerberos d’authentification composée et de blindage dans des domaines qui prennent en charge les revendications et l’authentification composée pour les Access Control dynamiques et le blindage Kerberos.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les appareils clients ne demandent pas de revendications, fournissent les informations requises pour créer des messages Kerberos d’authentification composés et de blindage. Les services hébergés sur l’appareil ne pourront pas récupérer les revendications des clients à l’aide de la transition de protocole Kerberos.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom EnableCbacAndArmor
Nom convivial Prise en charge des clients Kerberos pour les revendications, l’authentification composée et le blindage Kerberos
Emplacement Configuration ordinateur
Chemin d'accès Kerberos système >
Nom de la clé de Registre Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nom de la valeur de Registre EnableCbacAndArmor
Nom du fichier ADMX Kerberos.admx

PKInitHashAlgorithmConfiguration

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 22H2 [10.0.22621] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration

Ce paramètre de stratégie contrôle les algorithmes de hachage ou de somme de contrôle utilisés par le client Kerberos lors de l’exécution de l’authentification par certificat.

  • Si vous activez cette stratégie, vous serez en mesure de configurer l’un des quatre états pour chaque algorithme :

  • « Default » définit l’algorithme à l’état recommandé.

  • « Pris en charge » permet d’utiliser l’algorithme. L’activation des algorithmes qui ont été désactivés par défaut peut réduire votre sécurité.

  • « Audited » active l’utilisation de l’algorithme et signale un événement (ID 206) chaque fois qu’il est utilisé. Cet état est destiné à vérifier que l’algorithme n’est pas utilisé et peut être désactivé en toute sécurité.

  • « Non pris en charge » désactive l’utilisation de l’algorithme. Cet état est destiné aux algorithmes qui sont considérés comme non sécurisés.

  • Si vous désactivez ou ne configurez pas cette stratégie, chaque algorithme suppose l’état « Par défaut ».

Événements générés par cette configuration : 205, 206, 207, 208.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Désactivé/Non configuré.
1 Activé.

Mappage de stratégie de groupe :

Nom Valeur
Nom PKInitHashAlgorithmConfiguration
Nom convivial Configurer des algorithmes de hachage pour l’ouverture de session de certificat
Emplacement Configuration ordinateur
Chemin d'accès Kerberos système >
Nom de la clé de Registre Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nom de la valeur de Registre PKInitHashAlgorithmConfigurationEnabled
Nom du fichier ADMX Kerberos.admx

PKInitHashAlgorithmSHA1

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 22H2 [10.0.22621] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA1

Ce paramètre de stratégie contrôle la configuration de l’algorithme SHA1 utilisé par le client Kerberos lors de l’authentification par certificat. Cette stratégie est appliquée uniquement si Kerberos/PKInitHashAlgorithmConfiguration est activé. Vous pouvez configurer l’un des quatre états pour cet algorithme :

  • 0 - Non pris en charge : cet état désactive l’utilisation de l’algorithme. Cet état est destiné aux algorithmes qui sont considérés comme non sécurisés.
  • 1 - Valeur par défaut : cet état définit l’algorithme à l’état recommandé.
  • 2 - Audité : cet état permet d’utiliser l’algorithme et signale un événement (ID 206) chaque fois qu’il est utilisé. Cet état est destiné à vérifier que l’algorithme n’est pas utilisé et peut être désactivé en toute sécurité.
  • 3 - Pris en charge : cet état permet l’utilisation de l’algorithme. L’activation des algorithmes qui ont été désactivés par défaut peut réduire votre sécurité.

Si vous ne configurez pas cette stratégie, l’algorithme SHA1 suppose l’état Par défaut .

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1
Dépendance [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Type de dépendance : DependsOn
URI de dépendance : Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Valeur autorisée de dépendance : [1]
Type de valeur autorisée de dépendance : Range

Valeurs autorisées:

Valeur Description
0 Non pris en charge.
1 (par défaut) Par défaut.
2 Vérifiés.
3 Pris en charge.

Mappage de stratégie de groupe :

Nom Valeur
Nom PKInitHashAlgorithmConfiguration
Nom convivial Configurer des algorithmes de hachage pour l’ouverture de session de certificat
Emplacement Configuration ordinateur
Chemin d'accès Kerberos système >
Nom de la clé de Registre Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nom de la valeur de Registre PKInitHashAlgorithmConfigurationEnabled
Nom du fichier ADMX Kerberos.admx

PKInitHashAlgorithmSHA256

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 22H2 [10.0.22621] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA256

Ce paramètre de stratégie contrôle la configuration de l’algorithme SHA256 utilisé par le client Kerberos lors de l’exécution de l’authentification par certificat. Cette stratégie est appliquée uniquement si Kerberos/PKInitHashAlgorithmConfiguration est activé. Vous pouvez configurer l’un des quatre états pour cet algorithme :

  • 0 - Non pris en charge : cet état désactive l’utilisation de l’algorithme. Cet état est destiné aux algorithmes qui sont considérés comme non sécurisés.
  • 1 - Valeur par défaut : cet état définit l’algorithme à l’état recommandé.
  • 2 - Audité : cet état permet d’utiliser l’algorithme et signale un événement (ID 206) chaque fois qu’il est utilisé. Cet état est destiné à vérifier que l’algorithme n’est pas utilisé et peut être désactivé en toute sécurité.
  • 3 - Pris en charge : cet état permet l’utilisation de l’algorithme. L’activation des algorithmes qui ont été désactivés par défaut peut réduire votre sécurité.

Si vous ne configurez pas cette stratégie, l’algorithme SHA256 prend l’état Par défaut .

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1
Dépendance [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Type de dépendance : DependsOn
URI de dépendance : Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Valeur autorisée de dépendance : [1]
Type de valeur autorisée de dépendance : Range

Valeurs autorisées:

Valeur Description
0 Non pris en charge.
1 (par défaut) Par défaut.
2 Vérifiés.
3 Pris en charge.

Mappage de stratégie de groupe :

Nom Valeur
Nom PKInitHashAlgorithmConfiguration
Nom convivial Configurer des algorithmes de hachage pour l’ouverture de session de certificat
Emplacement Configuration ordinateur
Chemin d'accès Kerberos système >
Nom de la clé de Registre Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nom de la valeur de Registre PKInitHashAlgorithmConfigurationEnabled
Nom du fichier ADMX Kerberos.admx

PKInitHashAlgorithmSHA384

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 22H2 [10.0.22621] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA384

Ce paramètre de stratégie contrôle la configuration de l’algorithme SHA384 utilisé par le client Kerberos lors de l’authentification par certificat. Cette stratégie est appliquée uniquement si Kerberos/PKInitHashAlgorithmConfiguration est activé. Vous pouvez configurer l’un des quatre états pour cet algorithme :

  • 0 - Non pris en charge : cet état désactive l’utilisation de l’algorithme. Cet état est destiné aux algorithmes qui sont considérés comme non sécurisés.
  • 1 - Valeur par défaut : cet état définit l’algorithme à l’état recommandé.
  • 2 - Audité : cet état permet d’utiliser l’algorithme et signale un événement (ID 206) chaque fois qu’il est utilisé. Cet état est destiné à vérifier que l’algorithme n’est pas utilisé et peut être désactivé en toute sécurité.
  • 3 - Pris en charge : cet état permet l’utilisation de l’algorithme. L’activation des algorithmes qui ont été désactivés par défaut peut réduire votre sécurité.

Si vous ne configurez pas cette stratégie, l’algorithme SHA384 suppose l’état Par défaut .

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1
Dépendance [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Type de dépendance : DependsOn
URI de dépendance : Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Valeur autorisée de dépendance : [1]
Type de valeur autorisée de dépendance : Range

Valeurs autorisées:

Valeur Description
0 Non pris en charge.
1 (par défaut) Par défaut.
2 Vérifiés.
3 Pris en charge.

Mappage de stratégie de groupe :

Nom Valeur
Nom PKInitHashAlgorithmConfiguration
Nom convivial Configurer des algorithmes de hachage pour l’ouverture de session de certificat
Emplacement Configuration ordinateur
Chemin d'accès Kerberos système >
Nom de la clé de Registre Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nom de la valeur de Registre PKInitHashAlgorithmConfigurationEnabled
Nom du fichier ADMX Kerberos.admx

PKInitHashAlgorithmSHA512

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 22H2 [10.0.22621] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA512

Ce paramètre de stratégie contrôle la configuration de l’algorithme SHA512 utilisé par le client Kerberos lors de l’authentification par certificat. Cette stratégie est appliquée uniquement si Kerberos/PKInitHashAlgorithmConfiguration est activé. Vous pouvez configurer l’un des quatre états pour cet algorithme :

  • 0 - Non pris en charge : cet état désactive l’utilisation de l’algorithme. Cet état est destiné aux algorithmes qui sont considérés comme non sécurisés.
  • 1 - Valeur par défaut : cet état définit l’algorithme à l’état recommandé.
  • 2 - Audité : cet état permet d’utiliser l’algorithme et signale un événement (ID 206) chaque fois qu’il est utilisé. Cet état est destiné à vérifier que l’algorithme n’est pas utilisé et peut être désactivé en toute sécurité.
  • 3 - Pris en charge : cet état permet l’utilisation de l’algorithme. L’activation des algorithmes qui ont été désactivés par défaut peut réduire votre sécurité.

Si vous ne configurez pas cette stratégie, l’algorithme SHA512 suppose l’état Par défaut .

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1
Dépendance [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Type de dépendance : DependsOn
URI de dépendance : Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Valeur autorisée de dépendance : [1]
Type de valeur autorisée de dépendance : Range

Valeurs autorisées:

Valeur Description
0 Non pris en charge.
1 (par défaut) Par défaut.
2 Vérifiés.
3 Pris en charge.

Mappage de stratégie de groupe :

Nom Valeur
Nom PKInitHashAlgorithmConfiguration
Nom convivial Configurer des algorithmes de hachage pour l’ouverture de session de certificat
Emplacement Configuration ordinateur
Chemin d'accès Kerberos système >
Nom de la clé de Registre Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nom de la valeur de Registre PKInitHashAlgorithmConfigurationEnabled
Nom du fichier ADMX Kerberos.admx

RequireKerberosArmoring

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireKerberosArmoring

Ce paramètre de stratégie détermine si un ordinateur exige que les échanges de messages Kerberos soient blindés lors de la communication avec un contrôleur de domaine.

Warning

Lorsqu’un domaine ne prend pas en charge le blindage Kerberos en activant « Prise en charge des Access Control dynamiques et du blindage Kerberos », toute l’authentification de tous ses utilisateurs échoue à partir des ordinateurs sur lesquels ce paramètre de stratégie est activé.

  • Si vous activez ce paramètre de stratégie, les ordinateurs clients du domaine appliquent l’utilisation du blindage Kerberos uniquement dans les échanges de messages du service d’authentification (AS) et du service d’octroi de tickets (TGS) avec les contrôleurs de domaine.

Remarque

Le stratégie de groupe Kerberos « Prise en charge du client Kerberos pour les revendications, l’authentification composée et le blindage Kerberos » doit également être activé pour prendre en charge le blindage Kerberos.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les ordinateurs clients du domaine appliquent l’utilisation du blindage Kerberos dans la mesure du possible, comme pris en charge par le domaine cible.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom ClientRequireFast
Nom convivial Échec des demandes d’authentification lorsque le blindage Kerberos n’est pas disponible
Emplacement Configuration ordinateur
Chemin d'accès Kerberos système >
Nom de la clé de Registre Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nom de la valeur de Registre RequireFast
Nom du fichier ADMX Kerberos.admx

RequireStrictKDCValidation

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireStrictKDCValidation

Ce paramètre de stratégie contrôle le comportement du client Kerberos lors de la validation du certificat KDC pour l’carte intelligente et l’ouverture de session de certificat système.

  • Si vous activez ce paramètre de stratégie, le client Kerberos exige que le certificat X.509 du KDC contienne l’identificateur d’objet d’objectif de clé KDC dans les extensions EKU (Extended Key Usage) et que le certificat X.509 du KDC contienne une extension dNSName subjectAltName (SAN) qui correspond au nom DNS du domaine. Si l’ordinateur est joint à un domaine, le client Kerberos exige que le certificat X.509 du KDC soit signé par une autorité de certification dans le magasin NTAuth. Si l’ordinateur n’est pas joint à un domaine, le client Kerberos autorise l’utilisation du certificat d’autorité de certification racine sur le carte intelligent dans la validation du chemin d’accès du certificat X.509 du KDC.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le client Kerberos exige uniquement que le certificat KDC contienne l’identificateur d’objet d’objectif d’authentification du serveur dans les extensions EKU qui peut être émis sur n’importe quel serveur.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom ValidateKDC
Nom convivial Exiger une validation KDC stricte
Emplacement Configuration ordinateur
Chemin d'accès Kerberos système >
Nom de la clé de Registre Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nom de la valeur de Registre KdcValidation
Nom du fichier ADMX Kerberos.admx

SetMaximumContextTokenSize

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Kerberos/SetMaximumContextTokenSize

Ce paramètre de stratégie vous permet de définir la valeur retournée aux applications qui demandent la taille maximale de la taille maximale de la mémoire tampon du jeton de contexte SSPI.

La taille de la mémoire tampon de jeton de contexte détermine la taille maximale des jetons de contexte SSPI qu’une application attend et alloue. En fonction du traitement des demandes d’authentification et des appartenances aux groupes, la mémoire tampon peut être inférieure à la taille réelle du jeton de contexte SSPI.

  • Si vous activez ce paramètre de stratégie, le client ou le serveur Kerberos utilise la valeur configurée ou la valeur maximale autorisée localement, selon la valeur la plus petite.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le client ou le serveur Kerberos utilise la valeur configurée localement ou la valeur par défaut.

Remarque

Ce paramètre de stratégie configure la valeur de Registre MaxTokenSize existante dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters, qui a été ajoutée dans Windows XP et Windows Server 2003, avec une valeur par défaut de 12 000 octets. À compter de Windows 8 la valeur par défaut est de 48 000 octets. En raison de l’encodage base64 des jetons de contexte d’authentification http, il n’est pas recommandé de définir cette valeur de plus de 48 000 octets.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom MaxTokenSize
Nom convivial Définir la taille maximale de la mémoire tampon du jeton de contexte SSPI Kerberos
Emplacement Configuration ordinateur
Chemin d'accès Kerberos système >
Nom de la clé de Registre System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Nom de la valeur de Registre EnableMaxTokenSize
Nom du fichier ADMX Kerberos.admx

UPNNameHints

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1809 [10.0.17763] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/Kerberos/UPNNameHints

Les appareils joints à Microsoft Entra ID dans un environnement hybride doivent interagir avec les contrôleurs domaine Active Directory, mais ils ne disposent pas de la possibilité intégrée de trouver un contrôleur de domaine dont dispose un appareil joint à un domaine. Cela peut entraîner des échecs lorsqu’un tel appareil doit résoudre un Microsoft Entra UPN en un principal Active Directory. Ce paramètre ajoute une liste de domaines qu’un appareil joint Microsoft Entra doit tenter de contacter s’il n’est pas en mesure de résoudre un UPN en principal.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Liste (délimiteur : 0xF000)

Fournisseur de services de configuration de stratégie