Criteri Kerberos

I criteri di ticket Kerberos vengono definiti a livello di dominio e implementati dal Centro distribuzione chiavi (KDC) del dominio. I criteri Kerberos vengono archiviati in Active Directory come subset degli attributi dei criteri di sicurezza del dominio. Per impostazione predefinita, le opzioni dei criteri possono essere impostate solo dai membri del gruppo Domain Administrators. I criteri di dominio includono opzioni che:

• Ticket postdati di supporto
• Supporto della delega vincolata (solo Windows Server 2003)
• Ticket di supporto che possono essere inoltrati
• Supportare i ticket rinnovabili
• Impostare la validità massima del ticket
• Impostare la validità massima per il rinnovo
• Impostare la validità massima del ticket proxy
• Disconnettere forzatamente gli utenti alla scadenza dei ticket

Con la delega vincolata, è possibile impostare un computer per consentire l'inoltro delle credenziali solo a un elenco specifico di servizi. Tali servizi devono trovarsi nello stesso dominio del computer che inoltra le credenziali. In delega vincolata, i ticket non vengono più inviati dal client al server. Il computer server crea ticket di servizio da inoltrare in base alle informazioni usate per autenticare il client.

Anche se i criteri Kerberos per un dominio possono consentire l'autenticazione delegata consentendo l'inoltro dei ticket, tale aspetto dei criteri non deve essere applicato a tutti gli utenti o a tutti i computer. Un attributo di un singolo account utente può essere impostato per disabilitare l'inoltro delle credenziali di tale utente da qualsiasi server. Un attributo dell'account di un singolo computer può essere impostato per disabilitare l'inoltro delle credenziali da qualsiasi utente. In entrambi i casi, la delega può essere disabilitata creando criteri di gruppo da applicare a tutti gli utenti o a tutti i computer in un'unità organizzativa di Active Directory.

Windows XP/2000: La delega vincolata non è supportata.