Fournisseur de services de configuration de stratégie - ADMX_Kerberos
Astuce
Ce csp contient des stratégies ADMX qui nécessitent un format SyncML spécial pour activer ou désactiver. Vous devez spécifier le type de données dans syncML en tant que <Format>chr</Format>. Pour plus d’informations, consultez Présentation des stratégies adossées à ADMX.
La charge utile de SyncML doit être encodée en XML ; pour cet encodage XML, vous pouvez utiliser un large éventail d’encodeurs en ligne. Pour éviter d’encoder la charge utile, vous pouvez utiliser CDATA si votre GPM la prend en charge. Pour plus d’informations, consultez Sections CDATA.
AlwaysSendCompoundId
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures ✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures ✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/AlwaysSendCompoundId
Ce paramètre de stratégie contrôle si un appareil envoie toujours une demande d’authentification composée lorsque le domaine de ressource demande une identité composée.
Remarque
Pour qu’un contrôleur de domaine demande l’authentification composée, les stratégies « Prise en charge du KDC pour les revendications, l’authentification composée et le blindage Kerberos » et « Demander l’authentification composée » doivent être configurées et activées dans le domaine du compte de ressources.
Si vous activez ce paramètre de stratégie et que le domaine de ressource demande l’authentification composée, les appareils qui prennent en charge l’authentification composée envoient toujours une demande d’authentification composée.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie et que le domaine de ressource demande une authentification composée, les appareils envoient d’abord une demande d’authentification non composée, puis une demande d’authentification composée lorsque le service demande une authentification composée.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | AlwaysSendCompoundId |
| Nom convivial | Toujours envoyer l’authentification composée en premier |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Kerberos système > |
| Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nom de la valeur de Registre | AlwaysSendCompoundId |
| Nom du fichier ADMX | Kerberos.admx |
DevicePKInitEnabled
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures ✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures ✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/DevicePKInitEnabled
La prise en charge de l’authentification d’appareil à l’aide d’un certificat nécessite une connectivité à un contrôleur de domaine dans le domaine du compte d’appareil qui prend en charge l’authentification par certificat pour les comptes d’ordinateur.
Ce paramètre de stratégie vous permet de définir la prise en charge de Kerberos pour tenter l’authentification à l’aide du certificat de l’appareil pour le domaine.
- Si vous activez ce paramètre de stratégie, les informations d’identification des appareils sont sélectionnées en fonction des options suivantes :
Automatique : l’appareil tente de s’authentifier à l’aide de son certificat. Si le contrôleur de domaine ne prend pas en charge l’authentification de compte d’ordinateur à l’aide de certificats, l’authentification avec mot de passe est tentée.
Force : l’appareil s’authentifie toujours à l’aide de son certificat. Si un contrôleur de domaine qui prend en charge l’authentification de compte d’ordinateur à l’aide de certificats est introuvable, l’authentification échoue.
Si vous désactivez ce paramètre de stratégie, les certificats ne seront jamais utilisés.
Si vous ne configurez pas ce paramètre de stratégie, automatique est utilisé.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | DevicePKInitEnabled |
| Nom convivial | Prise en charge de l’authentification des appareils à l’aide d’un |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Kerberos système > |
| Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nom de la valeur de Registre | DevicePKInitEnabled |
| Nom du fichier ADMX | Kerberos.admx |
HostToRealm
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures ✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures ✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/HostToRealm
Ce paramètre de stratégie vous permet de spécifier les noms d’hôte DNS et les suffixes DNS mappés à un domaine Kerberos.
Si vous activez ce paramètre de stratégie, vous pouvez afficher et modifier la liste des noms d’hôte DNS et des suffixes DNS mappés à un domaine Kerberos tel que défini par stratégie de groupe. Pour afficher la liste des mappages, activez le paramètre de stratégie, puis cliquez sur le bouton Afficher. Pour ajouter un mappage, activez le paramètre de stratégie, notez la syntaxe, puis cliquez sur Afficher. Dans la boîte de dialogue Afficher le contenu de la colonne Nom de la valeur, tapez un nom de domaine. Dans la colonne Valeur, tapez la liste des noms d’hôtes DNS et des suffixes DNS au format de syntaxe approprié. Pour supprimer un mappage de la liste, cliquez sur l’entrée de mappage à supprimer, puis appuyez sur la touche SUPPR. Pour modifier un mappage, supprimez l’entrée actuelle de la liste et ajoutez-en une nouvelle avec des paramètres différents.
Si vous désactivez ce paramètre de stratégie, la liste de mappages de nom d’hôte à domaine Kerberos définie par stratégie de groupe est supprimée.
Si vous ne configurez pas ce paramètre de stratégie, le système utilise les mappages de nom d’hôte à domaine Kerberos qui sont définis dans le Registre local, s’ils existent.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | HostToRealm |
| Nom convivial | Définir des mappages de nom d’hôte à domaine Kerberos |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Kerberos système > |
| Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| Nom de la valeur de Registre | domain_realm_Enabled |
| Nom du fichier ADMX | Kerberos.admx |
KdcProxyDisableServerRevocationCheck
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures ✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures ✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyDisableServerRevocationCheck
Ce paramètre de stratégie vous permet de désactiver la révocation case activée pour le certificat SSL du serveur proxy KDC ciblé.
- Si vous activez ce paramètre de stratégie, la révocation case activée pour le certificat SSL du serveur proxy KDC est ignorée par le client Kerberos. Ce paramètre de stratégie doit être utilisé uniquement pour résoudre les problèmes de connexions de proxy KDC.
Warning
Lorsque la révocation case activée est ignorée, la validité du serveur représenté par le certificat n’est pas garantie.
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le client Kerberos applique le case activée de révocation pour le certificat SSL. La connexion au serveur proxy KDC n’est pas établie si le case activée de révocation échoue.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | KdcProxyDisableServerRevocationCheck |
| Nom convivial | Désactiver la vérification de la révocation du certificat SSL des serveurs proxy KDC |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Kerberos système > |
| Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nom de la valeur de Registre | NoRevocationCheck |
| Nom du fichier ADMX | Kerberos.admx |
KdcProxyServer
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures ✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures ✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyServer
Ce paramètre de stratégie configure le mappage du client Kerberos aux serveurs proxy KDC pour les domaines en fonction de leurs noms de suffixe DNS.
Si vous activez ce paramètre de stratégie, le client Kerberos utilise le serveur proxy KDC pour un domaine lorsqu’un contrôleur de domaine ne peut pas être localisé en fonction des mappages configurés. Pour mapper un serveur proxy KDC à un domaine, activez le paramètre de stratégie, cliquez sur Afficher, puis mappez le ou les noms du serveur proxy KDC au nom DNS du domaine à l’aide de la syntaxe décrite dans le volet d’options. Dans la boîte de dialogue Afficher le contenu de la colonne Nom de la valeur, tapez un nom de suffixe DNS. Dans la colonne Valeur, tapez la liste des serveurs proxy en utilisant le format de syntaxe approprié. Pour afficher la liste des mappages, activez le paramètre de stratégie, puis cliquez sur le bouton Afficher. Pour supprimer un mappage de la liste, cliquez sur l’entrée de mappage à supprimer, puis appuyez sur la touche SUPPR. Pour modifier un mappage, supprimez l’entrée actuelle de la liste et ajoutez-en une nouvelle avec des paramètres différents.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le client Kerberos n’a pas de paramètres de serveurs proxy KDC définis par stratégie de groupe.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | KdcProxyServer |
| Nom convivial | Spécifier des serveurs proxy KDC pour les clients Kerberos |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Kerberos système > |
| Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| Nom de la valeur de Registre | KdcProxyServer_Enabled |
| Nom du fichier ADMX | Kerberos.admx |
MitRealms
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures ✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures ✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/MitRealms
Ce paramètre de stratégie configure le client Kerberos afin qu’il puisse s’authentifier auprès des domaines Kerberos V5 interopérables, comme défini par ce paramètre de stratégie.
Si vous activez ce paramètre de stratégie, vous pouvez afficher et modifier la liste des domaines Kerberos V5 interopérables et leurs paramètres. Pour afficher la liste des domaines Kerberos V5 interopérables, activez le paramètre de stratégie, puis cliquez sur le bouton Afficher. Pour ajouter un domaine Kerberos V5 interopérable, activez le paramètre de stratégie, notez la syntaxe, puis cliquez sur Afficher. Dans la boîte de dialogue Afficher le contenu de la colonne Nom de la valeur, tapez le nom de domaine Kerberos V5 interopérable. Dans la colonne Valeur, tapez les indicateurs de domaine et les noms d’hôte des KDC hôtes en utilisant le format de syntaxe approprié. Pour supprimer une entrée nom de valeur ou valeur de domaine Kerberos V5 interopérable de la liste, cliquez sur l’entrée, puis appuyez sur la touche SUPPR. Pour modifier un mappage, supprimez l’entrée actuelle de la liste et ajoutez-en une nouvelle avec des paramètres différents.
Si vous désactivez ce paramètre de stratégie, les paramètres de domaine Kerberos V5 interopérables définis par stratégie de groupe sont supprimés.
Si vous ne configurez pas ce paramètre de stratégie, le système utilise les paramètres de domaine Kerberos V5 interopérables définis dans le Registre local, s’ils existent.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | MitRealms |
| Nom convivial | Définir les paramètres de domaine Kerberos V5 interopérables |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Kerberos système > |
| Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| Nom de la valeur de Registre | MitRealms_Enabled |
| Nom du fichier ADMX | Kerberos.admx |
ServerAcceptsCompound
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures ✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures ✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/ServerAcceptsCompound
Ce paramètre de stratégie contrôle la configuration du compte Active Directory de l’appareil pour l’authentification composée.
La prise en charge de l’authentification composée utilisée pour le contrôle d’accès nécessite suffisamment de contrôleurs de domaine dans les domaines de compte de ressources pour prendre en charge les demandes. L’administrateur de domaine doit configurer la stratégie « Prise en charge du Access Control dynamique et du blindage Kerberos » sur tous les contrôleurs de domaine pour prendre en charge cette stratégie.
- Si vous activez ce paramètre de stratégie, le compte Active Directory de l’appareil est configuré pour l’authentification composée par les options suivantes :
Jamais : l’authentification composée n’est jamais fournie pour ce compte d’ordinateur.
Automatique : l’authentification composée est fournie pour ce compte d’ordinateur lorsqu’une ou plusieurs applications sont configurées pour dynamic Access Control.
Toujours : l’authentification composée est toujours fournie pour ce compte d’ordinateur.
Si vous désactivez ce paramètre de stratégie, jamais sera utilisé.
Si vous ne configurez pas ce paramètre de stratégie, automatique est utilisé.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | ServerAcceptsCompound |
| Nom convivial | Prise en charge de l’authentification composée |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Kerberos système > |
| Nom de la clé de Registre | Software\Policies\Microsoft\Netlogon\Parameters |
| Nom de la valeur de Registre | CompoundIdDisabled |
| Nom du fichier ADMX | Kerberos.admx |
StrictTarget
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures ✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures ✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/StrictTarget
Ce paramètre de stratégie vous permet de configurer ce serveur afin que Kerberos puisse déchiffrer un ticket qui contient ce SPN généré par le système. Lorsqu’une application tente d’effectuer un appel de procédure distante (RPC) à ce serveur avec une valeur NULL pour le nom de principal du service (SPN), les ordinateurs exécutant Windows 7 ou version ultérieure tentent d’utiliser Kerberos en générant un SPN.
Si vous activez ce paramètre de stratégie, seuls les services exécutés en tant que LocalSystem ou NetworkService sont autorisés à accepter ces connexions. Les services s’exécutant en tant qu’identités différentes de LocalSystem ou NetworkService peuvent ne pas s’authentifier.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, tout service est autorisé à accepter les connexions entrantes à l’aide de ce SPN généré par le système.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | StrictTarget |
| Nom convivial | Exiger une correspondance spN cible stricte sur les appels de procédure distante |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Kerberos système > |
| Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nom de la valeur de Registre | StrictTargetContext |
| Nom du fichier ADMX | Kerberos.admx |
Articles connexes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour