정책 CSP - ADMX_kdc
팁
이 CSP에는 사용하거나 사용하지 않도록 설정하기 위해 특별한 SyncML 형식이 필요한 ADMX 지원 정책이 포함되어 있습니다. SyncML의 데이터 형식을 로 <Format>chr</Format>지정해야 합니다. 자세한 내용은 ADMX 기반 정책 이해를 참조하세요.
SyncML의 페이로드는 XML로 인코딩되어야 합니다. 이 XML 인코딩의 경우 사용할 수 있는 다양한 온라인 인코더가 있습니다. 페이로드를 인코딩하지 않도록 MDM에서 지원하는 경우 CDATA를 사용할 수 있습니다. 자세한 내용은 CDATA 섹션을 참조하세요.
CbacAndArmor
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 2004 [10.0.19041.1202] 이상 ✅Windows 10 버전 2009 [10.0.19042.1202] 이상 ✅Windows 10 버전 21H1 [10.0.19043.1202] 이상 ✅Windows 11, 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/CbacAndArmor
이 정책 설정을 사용하면 Kerberos 인증을 사용하여 동적 Access Control 및 Kerberos 아머링에 대한 클레임 및 복합 인증을 지원하도록 도메인 컨트롤러를 구성할 수 있습니다.
이 정책 설정을 사용하도록 설정하면 동적 Access Control 대한 클레임 및 복합 인증을 지원하고 Kerberos 아머 인식인 클라이언트 컴퓨터는 Kerberos 인증 메시지에 이 기능을 사용합니다. 도메인에서 이 정책을 일관되게 적용하려면 이 정책을 모든 도메인 컨트롤러에 적용해야 합니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 도메인 컨트롤러는 클레임, 복합 인증 또는 아머링을 지원하지 않습니다.
"지원되지 않음" 옵션을 구성하는 경우 도메인 컨트롤러는 Windows Server 2008 R2 또는 이전 운영 체제를 실행하는 도메인 컨트롤러의 기본 동작인 클레임, 복합 인증 또는 아머링을 지원하지 않습니다.
참고
이 KDC 정책의 다음 옵션을 적용하려면 지원되는 시스템에서 Kerberos 그룹 정책 "클레임, 복합 인증 및 Kerberos 아머링에 대한 Kerberos 클라이언트 지원"을 사용하도록 설정해야 합니다. Kerberos 정책 설정을 사용하도록 설정하지 않으면 Kerberos 인증 메시지는 이러한 기능을 사용하지 않습니다.
"지원됨"을 구성하는 경우 도메인 컨트롤러는 클레임, 복합 인증 및 Kerberos 아머링을 지원합니다. 도메인 컨트롤러는 도메인이 동적 Access Control 및 Kerberos 아머링에 대한 클레임 및 복합 인증을 수행할 수 있음을 Kerberos 클라이언트 컴퓨터에 보급합니다.
도메인 기능 수준 요구 사항.
"항상 클레임 제공" 및 "비무장 인증 요청 실패" 옵션의 경우 도메인 기능 수준이 Windows Server 2008 R2 이상으로 설정된 경우 도메인 컨트롤러는 "지원되는" 옵션이 선택된 것처럼 동작합니다.
도메인 기능 수준이 Windows Server 2012 설정되면 도메인 컨트롤러는 도메인이 동적 Access Control 및 Kerberos 아머링에 대한 클레임 및 복합 인증을 수행할 수 있음을 Kerberos 클라이언트 컴퓨터에 보급하고 다음을 수행합니다.
"항상 클레임 제공" 옵션을 설정하는 경우 항상 계정에 대한 클레임을 반환하고 FAST(유연한 인증 보안 터널링)를 보급하기 위한 RFC 동작을 지원합니다.
"비무장 인증 요청 실패" 옵션을 설정하면 비무장 Kerberos 메시지가 거부됩니다.
Warning
"비무장 인증 요청 실패"가 설정되면 Kerberos 아머링을 지원하지 않는 클라이언트 컴퓨터가 도메인 컨트롤러에 인증되지 않습니다.
이 기능이 효과적인지 확인하려면 동적 Access Control 대한 클레임 및 복합 인증을 지원하고 인증 요청을 처리하기 위해 Kerberos 아머를 인식하는 충분한 도메인 컨트롤러를 배포합니다. 이 정책을 지원하는 도메인 컨트롤러 수가 부족하면 동적 Access Control 또는 Kerberos 아머링이 필요할 때마다 인증 실패가 발생합니다(즉, "지원되는" 옵션이 사용됨).
이 정책 설정을 사용할 때 도메인 컨트롤러 성능에 미치는 영향:
보안 Kerberos 도메인 기능 검색이 필요하기 때문에 추가 메시지 교환이 발생합니다.
동적 Access Control 대한 클레임 및 복합 인증은 메시지에서 데이터의 크기와 복잡성을 증가하여 처리 시간이 늘어나고 Kerberos 서비스 티켓 크기가 커지게 됩니다.
Kerberos 아머링이 Kerberos 메시지를 완전히 암호화하고 Kerberos 오류에 서명하여 처리 시간이 늘어나지만 서비스 티켓 크기는 변경되지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | CbacAndArmor |
| 이름 | 클레임, 복합 인증 및 Kerberos 아머링에 대한 KDC 지원 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > KDC |
| 레지스트리 키 이름 | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| 레지스트리 값 이름 | EnableCbacAndArmor |
| ADMX 파일 이름 | kdc.admx |
emitlili
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 2004 [10.0.19041.1202] 이상 ✅Windows 10 버전 2009 [10.0.19042.1202] 이상 ✅Windows 10 버전 21H1 [10.0.19043.1202] 이상 ✅Windows 11, 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/emitlili
이 정책 설정은 도메인 컨트롤러가 클라이언트 컴퓨터에 이전 로그온에 대한 정보를 제공하는지 여부를 제어합니다.
- 이 정책 설정을 사용하도록 설정하면 도메인 컨트롤러는 이전 로그온에 대한 정보 메시지를 제공합니다.
Windows 로그온이 이 기능을 활용하려면 Windows 구성 요소 아래의 Windows 로그온 옵션 노드에 있는 "사용자 로그온 중 이전 로그온에 대한 정보 표시" 정책 설정도 사용하도록 설정해야 합니다.
- 이 정책 설정을 사용하지 않거나 구성하지 않으면 "사용자 로그온 중 이전 로그온에 대한 정보 표시" 정책 설정을 사용하지 않는 한 도메인 컨트롤러는 이전 로그온에 대한 정보를 제공하지 않습니다.
참고
이전 로그온에 대한 정보는 도메인 기능 수준이 Windows Server 2008인 경우에만 제공됩니다. 도메인 기능 수준이 Windows Server 2003, Windows 2000 네이티브 또는 Windows 2000 혼합인 도메인에서는 도메인 컨트롤러가 이전 로그온에 대한 정보를 제공할 수 없으며 이 정책 설정을 사용하도록 설정해도 아무런 영향을 주지 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | emitlili |
| 이름 | 클라이언트 컴퓨터에 이전 로그온에 대한 정보 제공 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > KDC |
| 레지스트리 키 이름 | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| 레지스트리 값 이름 | EmitLILI |
| ADMX 파일 이름 | kdc.admx |
ForestSearch
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 2004 [10.0.19041.1202] 이상 ✅Windows 10 버전 2009 [10.0.19042.1202] 이상 ✅Windows 10 버전 21H1 [10.0.19043.1202] 이상 ✅Windows 11, 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/ForestSearch
이 정책 설정은 KDC(키 배포 센터)가 두 부분으로 구성된 SPN(서비스 사용자 이름)을 resolve 때 검색하는 신뢰 포리스트 목록을 정의합니다.
이 정책 설정을 사용하도록 설정하면 KDC는 로컬 포리스트에서 두 부분으로 구성된 SPN을 resolve 수 없는 경우 이 목록의 포리스트를 검색합니다. 포리스트 검색은 전역 카탈로그 또는 이름 접미사 힌트를 사용하여 수행됩니다. 일치하는 항목이 발견되면 KDC는 적절한 도메인에 대한 추천 티켓을 클라이언트에 반환합니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 KDC는 나열된 포리스트를 검색하여 SPN을 resolve 않습니다. 이름이 없으므로 KDC에서 SPN을 resolve 수 없는 경우 NTLM 인증을 사용할 수 있습니다.
일관된 동작을 보장하려면 이 정책 설정을 지원하고 도메인의 모든 도메인 컨트롤러에서 동일하게 설정해야 합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | ForestSearch |
| 이름 | 포리스트 검색 순서 사용 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > KDC |
| 레지스트리 키 이름 | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| 레지스트리 값 이름 | UseForestSearch |
| ADMX 파일 이름 | kdc.admx |
PKINITFreshness
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 2004 [10.0.19041.1202] 이상 ✅Windows 10 버전 2009 [10.0.19042.1202] 이상 ✅Windows 10 버전 21H1 [10.0.19043.1202] 이상 ✅Windows 11, 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/PKINITFreshness
PKInit Freshness Extension을 지원하려면 Windows Server 2016 도메인 기능 수준(DFL)이 필요합니다. 도메인 컨트롤러의 도메인이 Windows Server 2016 DFL 이상에 있지 않으면 이 정책이 적용되지 않습니다.
이 정책 설정을 사용하면 PKInit Freshness 확장을 지원하도록 DC(도메인 컨트롤러)를 구성할 수 있습니다.
- 이 정책 설정을 사용하도록 설정하면 다음 옵션이 지원됩니다.
지원됨: 요청 시 PKInit Freshness 확장이 지원됩니다. PKInit Freshness 확장을 사용하여 성공적으로 인증하는 Kerberos 클라이언트는 새 공개 키 ID SID를 가져옵니다.
필수: 성공적인 인증을 위해서는 PKInit Freshness 확장이 필요합니다. PKInit Freshness 확장을 지원하지 않는 Kerberos 클라이언트는 공개 키 자격 증명을 사용할 때 항상 실패합니다.
- 이 정책 설정을 사용하지 않거나 구성하지 않으면 DC는 PKInit Freshness 확장을 제공하지 않으며 새로 고침을 확인하지 않고 유효한 인증 요청을 수락하지 않습니다. 사용자는 새 공개 키 ID SID를 받지 못합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | PKINITFreshness |
| 이름 | PKInit Freshness 확장에 대한 KDC 지원 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > KDC |
| 레지스트리 키 이름 | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| ADMX 파일 이름 | kdc.admx |
RequestCompoundId
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 2004 [10.0.19041.1202] 이상 ✅Windows 10 버전 2009 [10.0.19042.1202] 이상 ✅Windows 10 버전 21H1 [10.0.19043.1202] 이상 ✅Windows 11, 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/RequestCompoundId
이 정책 설정을 사용하면 복합 인증을 요청하도록 도메인 컨트롤러를 구성할 수 있습니다.
참고
도메인 컨트롤러가 복합 인증을 요청하려면 "클레임, 복합 인증 및 Kerberos 아머링에 대한 KDC 지원" 정책을 구성하고 사용하도록 설정해야 합니다.
이 정책 설정을 사용하도록 설정하면 도메인 컨트롤러가 복합 인증을 요청합니다. 반환된 서비스 티켓은 계정이 명시적으로 구성된 경우에만 복합 인증을 포함합니다. 도메인에서 이 정책을 일관되게 적용하려면 이 정책을 모든 도메인 컨트롤러에 적용해야 합니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 도메인 컨트롤러는 계정 구성에 관계없이 클라이언트가 복합 인증 요청을 보낼 때마다 복합 인증이 포함된 서비스 티켓을 반환합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | RequestCompoundId |
| 이름 | 복합 인증 요청 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > KDC |
| 레지스트리 키 이름 | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| 레지스트리 값 이름 | RequestCompoundId |
| ADMX 파일 이름 | kdc.admx |
TicketSizeThreshold
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
| ✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10 버전 2004 [10.0.19041.1202] 이상 ✅Windows 10 버전 2009 [10.0.19042.1202] 이상 ✅Windows 10 버전 21H1 [10.0.19043.1202] 이상 ✅Windows 11, 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/TicketSizeThreshold
이 정책 설정을 사용하면 Kerberos 인증 중에 발생한 경고 이벤트를 트리거할 Kerberos 티켓 크기를 구성할 수 있습니다. 티켓 크기 경고는 시스템 로그에 기록됩니다.
이 정책 설정을 사용하도록 설정하면 경고 이벤트를 트리거하는 Kerberos 티켓에 대한 임계값 제한을 설정할 수 있습니다. 너무 높게 설정하면 경고 이벤트가 기록되지 않더라도 인증 실패가 발생할 수 있습니다. 너무 낮게 설정하면 로그에 티켓 경고가 너무 많아 분석에 유용할 수 없습니다. 이 값은 Kerberos 정책 "최대 Kerberos SSPI 컨텍스트 토큰 버퍼 크기 설정" 또는 그룹 정책 사용하여 구성하지 않는 경우 사용자 환경에서 사용되는 가장 작은 MaxTokenSize와 동일한 값으로 설정해야 합니다.
이 정책 설정을 사용하지 않거나 구성하지 않으면 임계값은 기본값인 12,000바이트(Windows 7, Windows Server 2008 R2 및 이전 버전에 대한 기본 Kerberos MaxTokenSize)로 설정됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
| 이름 | 값 |
|---|---|
| 이름 | TicketSizeThreshold |
| 이름 | 대형 Kerberos 티켓에 대한 경고 |
| 위치 | 컴퓨터 구성 |
| 경로 | 시스템 > KDC |
| 레지스트리 키 이름 | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
| 레지스트리 값 이름 | EnableTicketSizeThreshold |
| ADMX 파일 이름 | kdc.admx |
관련 문서
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기