Fournisseur de services de configuration de stratégie - Kerberos
Astuce
Ce csp contient des stratégies ADMX qui nécessitent un format SyncML spécial pour activer ou désactiver. Vous devez spécifier le type de données dans syncML en tant que <Format>chr</Format>. Pour plus d’informations, consultez Présentation des stratégies adossées à ADMX.
La charge utile de SyncML doit être encodée en XML ; pour cet encodage XML, vous pouvez utiliser un large éventail d’encodeurs en ligne. Pour éviter d’encoder la charge utile, vous pouvez utiliser CDATA si votre GPM la prend en charge. Pour plus d’informations, consultez Sections CDATA.
AllowForestSearchOrder
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Kerberos/AllowForestSearchOrder
Ce paramètre de stratégie définit la liste des forêts d’approbation que le client Kerberos recherche lors de la tentative de résolution des noms de principal de service en deux parties.
Si vous activez ce paramètre de stratégie, le client Kerberos recherche les forêts de cette liste s’il ne parvient pas à résoudre un SPN en deux parties. Si une correspondance est trouvée, le client Kerberos demande un ticket de référence au domaine approprié.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le client Kerberos ne recherche pas dans les forêts répertoriées pour résoudre le SPN. Si le client Kerberos ne parvient pas à résoudre le SPN parce que le nom est introuvable, l’authentification NTLM peut être utilisée.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | ForestSearch |
| Nom convivial | Utiliser l’ordre de recherche de forêt |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Kerberos système > |
| Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nom de la valeur de Registre | UseForestSearch |
| Nom du fichier ADMX | Kerberos.admx |
CloudKerberosTicketRetrievalEnabled
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled
Ce paramètre de stratégie permet de récupérer le ticket d’octroi de ticket Kerberos Microsoft Entra lors de l’ouverture de session.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le ticket d’octroi de ticket Kerberos Microsoft Entra n’est pas récupéré lors de l’ouverture de session.
Si vous activez ce paramètre de stratégie, le ticket d’octroi de ticket Kerberos Microsoft Entra est récupéré lors de l’ouverture de session.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | int |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeur par défaut | 0 |
Valeurs autorisées:
| Valeur | Description |
|---|---|
| 0 (par défaut) | Désactivé. |
| 1 | Activé. |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | CloudKerberosTicketRetrievalEnabled |
| Nom convivial | Autoriser la récupération du ticket d’octroi de ticket Kerberos Azure AD lors de l’ouverture de session |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Kerberos système > |
| Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nom de la valeur de Registre | CloudKerberosTicketRetrievalEnabled |
| Nom du fichier ADMX | Kerberos.admx |
KerberosClientSupportsClaimsCompoundArmor
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Kerberos/KerberosClientSupportsClaimsCompoundArmor
Ce paramètre de stratégie contrôle si un appareil demande des revendications et une authentification composée pour le Access Control dynamique et le blindage Kerberos à l’aide de l’authentification Kerberos avec des domaines qui prennent en charge ces fonctionnalités.
Si vous activez ce paramètre de stratégie, les ordinateurs clients demandent des revendications, fournissent les informations requises pour créer des messages Kerberos d’authentification composée et de blindage dans des domaines qui prennent en charge les revendications et l’authentification composée pour les Access Control dynamiques et le blindage Kerberos.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les appareils clients ne demandent pas de revendications, fournissent les informations requises pour créer des messages Kerberos d’authentification composés et de blindage. Les services hébergés sur l’appareil ne pourront pas récupérer les revendications des clients à l’aide de la transition de protocole Kerberos.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | EnableCbacAndArmor |
| Nom convivial | Prise en charge des clients Kerberos pour les revendications, l’authentification composée et le blindage Kerberos |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Kerberos système > |
| Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nom de la valeur de Registre | EnableCbacAndArmor |
| Nom du fichier ADMX | Kerberos.admx |
PKInitHashAlgorithmConfiguration
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 22H2 [10.0.22621] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Ce paramètre de stratégie contrôle les algorithmes de hachage ou de somme de contrôle utilisés par le client Kerberos lors de l’exécution de l’authentification par certificat.
Si vous activez cette stratégie, vous serez en mesure de configurer l’un des quatre états pour chaque algorithme :
« Default » définit l’algorithme à l’état recommandé.
« Pris en charge » permet d’utiliser l’algorithme. L’activation des algorithmes qui ont été désactivés par défaut peut réduire votre sécurité.
« Audited » active l’utilisation de l’algorithme et signale un événement (ID 206) chaque fois qu’il est utilisé. Cet état est destiné à vérifier que l’algorithme n’est pas utilisé et peut être désactivé en toute sécurité.
« Non pris en charge » désactive l’utilisation de l’algorithme. Cet état est destiné aux algorithmes qui sont considérés comme non sécurisés.
Si vous désactivez ou ne configurez pas cette stratégie, chaque algorithme suppose l’état « Par défaut ».
Événements générés par cette configuration : 205, 206, 207, 208.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | int |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeur par défaut | 0 |
Valeurs autorisées:
| Valeur | Description |
|---|---|
| 0 (par défaut) | Désactivé/Non configuré. |
| 1 | Activé. |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | PKInitHashAlgorithmConfiguration |
| Nom convivial | Configurer des algorithmes de hachage pour l’ouverture de session de certificat |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Kerberos système > |
| Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nom de la valeur de Registre | PKInitHashAlgorithmConfigurationEnabled |
| Nom du fichier ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA1
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 22H2 [10.0.22621] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA1
Ce paramètre de stratégie contrôle la configuration de l’algorithme SHA1 utilisé par le client Kerberos lors de l’authentification par certificat. Cette stratégie est appliquée uniquement si Kerberos/PKInitHashAlgorithmConfiguration est activé. Vous pouvez configurer l’un des quatre états pour cet algorithme :
- 0 - Non pris en charge : cet état désactive l’utilisation de l’algorithme. Cet état est destiné aux algorithmes qui sont considérés comme non sécurisés.
- 1 - Valeur par défaut : cet état définit l’algorithme à l’état recommandé.
- 2 - Audité : cet état permet d’utiliser l’algorithme et signale un événement (ID 206) chaque fois qu’il est utilisé. Cet état est destiné à vérifier que l’algorithme n’est pas utilisé et peut être désactivé en toute sécurité.
- 3 - Pris en charge : cet état permet l’utilisation de l’algorithme. L’activation des algorithmes qui ont été désactivés par défaut peut réduire votre sécurité.
Si vous ne configurez pas cette stratégie, l’algorithme SHA1 suppose l’état Par défaut .
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | int |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeur par défaut | 1 |
| Dépendance [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Type de dépendance : DependsOn URI de dépendance : Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valeur autorisée de dépendance : [1] Type de valeur autorisée de dépendance : Range |
Valeurs autorisées:
| Valeur | Description |
|---|---|
| 0 | Non pris en charge. |
| 1 (par défaut) | Par défaut. |
| 2 | Vérifiés. |
| 3 | Pris en charge. |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | PKInitHashAlgorithmConfiguration |
| Nom convivial | Configurer des algorithmes de hachage pour l’ouverture de session de certificat |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Kerberos système > |
| Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nom de la valeur de Registre | PKInitHashAlgorithmConfigurationEnabled |
| Nom du fichier ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA256
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 22H2 [10.0.22621] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA256
Ce paramètre de stratégie contrôle la configuration de l’algorithme SHA256 utilisé par le client Kerberos lors de l’exécution de l’authentification par certificat. Cette stratégie est appliquée uniquement si Kerberos/PKInitHashAlgorithmConfiguration est activé. Vous pouvez configurer l’un des quatre états pour cet algorithme :
- 0 - Non pris en charge : cet état désactive l’utilisation de l’algorithme. Cet état est destiné aux algorithmes qui sont considérés comme non sécurisés.
- 1 - Valeur par défaut : cet état définit l’algorithme à l’état recommandé.
- 2 - Audité : cet état permet d’utiliser l’algorithme et signale un événement (ID 206) chaque fois qu’il est utilisé. Cet état est destiné à vérifier que l’algorithme n’est pas utilisé et peut être désactivé en toute sécurité.
- 3 - Pris en charge : cet état permet l’utilisation de l’algorithme. L’activation des algorithmes qui ont été désactivés par défaut peut réduire votre sécurité.
Si vous ne configurez pas cette stratégie, l’algorithme SHA256 prend l’état Par défaut .
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | int |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeur par défaut | 1 |
| Dépendance [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Type de dépendance : DependsOn URI de dépendance : Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valeur autorisée de dépendance : [1] Type de valeur autorisée de dépendance : Range |
Valeurs autorisées:
| Valeur | Description |
|---|---|
| 0 | Non pris en charge. |
| 1 (par défaut) | Par défaut. |
| 2 | Vérifiés. |
| 3 | Pris en charge. |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | PKInitHashAlgorithmConfiguration |
| Nom convivial | Configurer des algorithmes de hachage pour l’ouverture de session de certificat |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Kerberos système > |
| Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nom de la valeur de Registre | PKInitHashAlgorithmConfigurationEnabled |
| Nom du fichier ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA384
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 22H2 [10.0.22621] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA384
Ce paramètre de stratégie contrôle la configuration de l’algorithme SHA384 utilisé par le client Kerberos lors de l’authentification par certificat. Cette stratégie est appliquée uniquement si Kerberos/PKInitHashAlgorithmConfiguration est activé. Vous pouvez configurer l’un des quatre états pour cet algorithme :
- 0 - Non pris en charge : cet état désactive l’utilisation de l’algorithme. Cet état est destiné aux algorithmes qui sont considérés comme non sécurisés.
- 1 - Valeur par défaut : cet état définit l’algorithme à l’état recommandé.
- 2 - Audité : cet état permet d’utiliser l’algorithme et signale un événement (ID 206) chaque fois qu’il est utilisé. Cet état est destiné à vérifier que l’algorithme n’est pas utilisé et peut être désactivé en toute sécurité.
- 3 - Pris en charge : cet état permet l’utilisation de l’algorithme. L’activation des algorithmes qui ont été désactivés par défaut peut réduire votre sécurité.
Si vous ne configurez pas cette stratégie, l’algorithme SHA384 suppose l’état Par défaut .
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | int |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeur par défaut | 1 |
| Dépendance [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Type de dépendance : DependsOn URI de dépendance : Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valeur autorisée de dépendance : [1] Type de valeur autorisée de dépendance : Range |
Valeurs autorisées:
| Valeur | Description |
|---|---|
| 0 | Non pris en charge. |
| 1 (par défaut) | Par défaut. |
| 2 | Vérifiés. |
| 3 | Pris en charge. |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | PKInitHashAlgorithmConfiguration |
| Nom convivial | Configurer des algorithmes de hachage pour l’ouverture de session de certificat |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Kerberos système > |
| Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nom de la valeur de Registre | PKInitHashAlgorithmConfigurationEnabled |
| Nom du fichier ADMX | Kerberos.admx |
PKInitHashAlgorithmSHA512
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 22H2 [10.0.22621] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA512
Ce paramètre de stratégie contrôle la configuration de l’algorithme SHA512 utilisé par le client Kerberos lors de l’authentification par certificat. Cette stratégie est appliquée uniquement si Kerberos/PKInitHashAlgorithmConfiguration est activé. Vous pouvez configurer l’un des quatre états pour cet algorithme :
- 0 - Non pris en charge : cet état désactive l’utilisation de l’algorithme. Cet état est destiné aux algorithmes qui sont considérés comme non sécurisés.
- 1 - Valeur par défaut : cet état définit l’algorithme à l’état recommandé.
- 2 - Audité : cet état permet d’utiliser l’algorithme et signale un événement (ID 206) chaque fois qu’il est utilisé. Cet état est destiné à vérifier que l’algorithme n’est pas utilisé et peut être désactivé en toute sécurité.
- 3 - Pris en charge : cet état permet l’utilisation de l’algorithme. L’activation des algorithmes qui ont été désactivés par défaut peut réduire votre sécurité.
Si vous ne configurez pas cette stratégie, l’algorithme SHA512 suppose l’état Par défaut .
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | int |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeur par défaut | 1 |
| Dépendance [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] | Type de dépendance : DependsOn URI de dépendance : Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration Valeur autorisée de dépendance : [1] Type de valeur autorisée de dépendance : Range |
Valeurs autorisées:
| Valeur | Description |
|---|---|
| 0 | Non pris en charge. |
| 1 (par défaut) | Par défaut. |
| 2 | Vérifiés. |
| 3 | Pris en charge. |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | PKInitHashAlgorithmConfiguration |
| Nom convivial | Configurer des algorithmes de hachage pour l’ouverture de session de certificat |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Kerberos système > |
| Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nom de la valeur de Registre | PKInitHashAlgorithmConfigurationEnabled |
| Nom du fichier ADMX | Kerberos.admx |
RequireKerberosArmoring
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireKerberosArmoring
Ce paramètre de stratégie détermine si un ordinateur exige que les échanges de messages Kerberos soient blindés lors de la communication avec un contrôleur de domaine.
Warning
Lorsqu’un domaine ne prend pas en charge le blindage Kerberos en activant « Prise en charge des Access Control dynamiques et du blindage Kerberos », toute l’authentification de tous ses utilisateurs échoue à partir des ordinateurs sur lesquels ce paramètre de stratégie est activé.
- Si vous activez ce paramètre de stratégie, les ordinateurs clients du domaine appliquent l’utilisation du blindage Kerberos uniquement dans les échanges de messages du service d’authentification (AS) et du service d’octroi de tickets (TGS) avec les contrôleurs de domaine.
Remarque
Le stratégie de groupe Kerberos « Prise en charge du client Kerberos pour les revendications, l’authentification composée et le blindage Kerberos » doit également être activé pour prendre en charge le blindage Kerberos.
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les ordinateurs clients du domaine appliquent l’utilisation du blindage Kerberos dans la mesure du possible, comme pris en charge par le domaine cible.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | ClientRequireFast |
| Nom convivial | Échec des demandes d’authentification lorsque le blindage Kerberos n’est pas disponible |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Kerberos système > |
| Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nom de la valeur de Registre | RequireFast |
| Nom du fichier ADMX | Kerberos.admx |
RequireStrictKDCValidation
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireStrictKDCValidation
Ce paramètre de stratégie contrôle le comportement du client Kerberos lors de la validation du certificat KDC pour l’carte intelligente et l’ouverture de session de certificat système.
Si vous activez ce paramètre de stratégie, le client Kerberos exige que le certificat X.509 du KDC contienne l’identificateur d’objet d’objectif de clé KDC dans les extensions EKU (Extended Key Usage) et que le certificat X.509 du KDC contienne une extension dNSName subjectAltName (SAN) qui correspond au nom DNS du domaine. Si l’ordinateur est joint à un domaine, le client Kerberos exige que le certificat X.509 du KDC soit signé par une autorité de certification dans le magasin NTAuth. Si l’ordinateur n’est pas joint à un domaine, le client Kerberos autorise l’utilisation du certificat d’autorité de certification racine sur le carte intelligent dans la validation du chemin d’accès du certificat X.509 du KDC.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le client Kerberos exige uniquement que le certificat KDC contienne l’identificateur d’objet d’objectif d’authentification du serveur dans les extensions EKU qui peut être émis sur n’importe quel serveur.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | ValidateKDC |
| Nom convivial | Exiger une validation KDC stricte |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Kerberos système > |
| Nom de la clé de Registre | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Nom de la valeur de Registre | KdcValidation |
| Nom du fichier ADMX | Kerberos.admx |
SetMaximumContextTokenSize
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Kerberos/SetMaximumContextTokenSize
Ce paramètre de stratégie vous permet de définir la valeur retournée aux applications qui demandent la taille maximale de la taille maximale de la mémoire tampon du jeton de contexte SSPI.
La taille de la mémoire tampon de jeton de contexte détermine la taille maximale des jetons de contexte SSPI qu’une application attend et alloue. En fonction du traitement des demandes d’authentification et des appartenances aux groupes, la mémoire tampon peut être inférieure à la taille réelle du jeton de contexte SSPI.
Si vous activez ce paramètre de stratégie, le client ou le serveur Kerberos utilise la valeur configurée ou la valeur maximale autorisée localement, selon la valeur la plus petite.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le client ou le serveur Kerberos utilise la valeur configurée localement ou la valeur par défaut.
Remarque
Ce paramètre de stratégie configure la valeur de Registre MaxTokenSize existante dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters, qui a été ajoutée dans Windows XP et Windows Server 2003, avec une valeur par défaut de 12 000 octets. À compter de Windows 8 la valeur par défaut est de 48 000 octets. En raison de l’encodage base64 des jetons de contexte d’authentification http, il n’est pas recommandé de définir cette valeur de plus de 48 000 octets.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
| Nom | Valeur |
|---|---|
| Nom | MaxTokenSize |
| Nom convivial | Définir la taille maximale de la mémoire tampon du jeton de contexte SSPI Kerberos |
| Emplacement | Configuration ordinateur |
| Chemin d'accès | Kerberos système > |
| Nom de la clé de Registre | System\CurrentControlSet\Control\Lsa\Kerberos\Parameters |
| Nom de la valeur de Registre | EnableMaxTokenSize |
| Nom du fichier ADMX | Kerberos.admx |
UPNNameHints
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
| ✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1809 [10.0.17763] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/Kerberos/UPNNameHints
Les appareils joints à Microsoft Entra ID dans un environnement hybride doivent interagir avec les contrôleurs domaine Active Directory, mais ils ne disposent pas de la possibilité intégrée de trouver un contrôleur de domaine dont dispose un appareil joint à un domaine. Cela peut entraîner des échecs lorsqu’un tel appareil doit résoudre un Microsoft Entra UPN en un principal Active Directory. Ce paramètre ajoute une liste de domaines qu’un appareil joint Microsoft Entra doit tenter de contacter s’il n’est pas en mesure de résoudre un UPN en principal.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format | chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Articles connexes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour