Поставщик служб CSP политики — ADMX_Kerberos
Совет
Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.
Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.
AlwaysSendCompoundId
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/AlwaysSendCompoundId
Этот параметр политики определяет, всегда ли устройство отправляет сложный запрос проверки подлинности, когда домен ресурса запрашивает составное удостоверение.
Примечание.
Чтобы контроллер домена запрашивал составную проверку подлинности, политики "Поддержка KDC для утверждений, составная проверка подлинности и защита Kerberos" и "Составная проверка подлинности запроса" должны быть настроены и включены в домене учетной записи ресурса.
Если этот параметр политики включен и домен ресурсов запрашивает составную проверку подлинности, устройства, поддерживающие составную проверку подлинности, всегда отправляют запрос составной проверки подлинности.
Если этот параметр политики отключен или не настроен, а домен ресурсов запрашивает составную проверку подлинности, устройства сначала отправят запрос несоединяемой проверки подлинности, а затем составной запрос проверки подлинности, когда служба запрашивает составную проверку подлинности.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | AlwaysSendCompoundId |
| Понятное имя | Сначала всегда отправлять составную проверку подлинности |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Имя значения реестра | AlwaysSendCompoundId |
| Имя файла ADMX | Kerberos.admx |
DevicePKInitEnabled
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/DevicePKInitEnabled
Для поддержки проверки подлинности устройства с помощью сертификата потребуется подключение к контроллеру домена в домене учетной записи устройства, который поддерживает проверку подлинности сертификата для учетных записей компьютеров.
Этот параметр политики позволяет настроить поддержку Kerberos для попытки проверки подлинности с помощью сертификата для устройства в домене.
- Если этот параметр политики включен, учетные данные устройств будут выбраны на основе следующих параметров:
Автоматически. Устройство будет пытаться пройти проверку подлинности с помощью сертификата. Если контроллер домена не поддерживает проверку подлинности учетной записи компьютера с помощью сертификатов, будет предпринята попытка проверки подлинности с помощью пароля.
Принудительное. Устройство всегда будет проходить проверку подлинности с помощью сертификата. Если не удается найти контроллер домена, поддерживающий проверку подлинности учетной записи компьютера с помощью сертификатов, проверка подлинности завершится ошибкой.
Если этот параметр политики отключен, сертификаты никогда не будут использоваться.
Если этот параметр политики не настроен, будет использоваться автоматически.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | DevicePKInitEnabled |
| Понятное имя | Поддержка проверки подлинности устройства с помощью сертификата |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Имя значения реестра | DevicePKInitEnabled |
| Имя файла ADMX | Kerberos.admx |
HostToRealm
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/HostToRealm
Этот параметр политики позволяет указать, какие имена узлов DNS и какие DNS-суффиксы сопоставляются с областью Kerberos.
Если этот параметр политики включен, можно просмотреть и изменить список имен узлов DNS и DNS-суффиксов, сопоставленных с областью Kerberos, как определено в групповая политика. Чтобы просмотреть список сопоставлений, включите параметр политики и нажмите кнопку Показать. Чтобы добавить сопоставление, включите параметр политики, обратите внимание на синтаксис и нажмите кнопку Показать. В диалоговом окне Показать содержимое в столбце Имя значения введите имя области. В столбце Значение введите список имен узлов DNS и DNS-суффиксов в соответствующем формате синтаксиса. Чтобы удалить сопоставление из списка, щелкните удаляемую запись сопоставления и нажмите клавишу DELETE. Чтобы изменить сопоставление, удалите текущую запись из списка и добавьте новую с другими параметрами.
Если этот параметр политики отключен, список сопоставлений имен узлов и областей Kerberos, определенных групповая политика, удаляется.
Если этот параметр политики не настроен, система будет использовать сопоставления между именами узлов и областями Kerberos, определенными в локальном реестре, если они существуют.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | HostToRealm |
| Понятное имя | Определение сопоставлений между именами узлов и областями Kerberos |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| Имя значения реестра | domain_realm_Enabled |
| Имя файла ADMX | Kerberos.admx |
KdcProxyDisableServerRevocationCheck
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyDisableServerRevocationCheck
Этот параметр политики позволяет отключить проверка отзыва для SSL-сертификата целевого прокси-сервера KDC.
- Если этот параметр политики включен, клиент Kerberos игнорирует отзыв проверка SSL-сертификата прокси-сервера KDC. Этот параметр политики следует использовать только при устранении неполадок прокси-подключений KDC.
Warning
Если проверка отзыва игнорируется, сервер, представленный сертификатом, не гарантируется допустимым.
- Если этот параметр политики отключен или не настроен, клиент Kerberos принудительно отменит проверка для SSL-сертификата. Подключение к прокси-серверу KDC не устанавливается, если проверка отзыва завершается сбоем.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | KdcProxyDisableServerRevocationCheck |
| Понятное имя | Отключение проверки отзыва SSL-сертификата прокси-серверов KDC |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Имя значения реестра | NoRevocationCheck |
| Имя файла ADMX | Kerberos.admx |
KdcProxyServer
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyServer
Этот параметр политики настраивает сопоставление клиента Kerberos с прокси-серверами KDC для доменов на основе имен ИХ DNS-суффиксов.
Если этот параметр политики включен, клиент Kerberos будет использовать прокси-сервер KDC для домена, если контроллер домена не может быть расположен на основе настроенных сопоставлений. Чтобы сопоставить прокси-сервер KDC с доменом, включите параметр политики, нажмите кнопку Показать, а затем сопоставьте имена прокси-серверов KDC с DNS-именем домена, используя синтаксис, описанный в области параметров. В диалоговом окне Показать содержимое в столбце Имя значения введите имя DNS-суффикса. В столбце Значение введите список прокси-серверов в соответствующем формате синтаксиса. Чтобы просмотреть список сопоставлений, включите параметр политики и нажмите кнопку Показать. Чтобы удалить сопоставление из списка, щелкните удаляемую запись сопоставления и нажмите клавишу DELETE. Чтобы изменить сопоставление, удалите текущую запись из списка и добавьте новую с другими параметрами.
Если этот параметр политики отключен или не настроен, клиент Kerberos не имеет параметров прокси-серверов KDC, определенных групповая политика.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | KdcProxyServer |
| Понятное имя | Указание прокси-серверов KDC для клиентов Kerberos |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| Имя значения реестра | KdcProxyServer_Enabled |
| Имя файла ADMX | Kerberos.admx |
MitRealms
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/MitRealms
Этот параметр политики настраивает клиент Kerberos так, чтобы он смог проходить проверку подлинности в совместимых областях Kerberos версии 5, как определено в этом параметре политики.
Если этот параметр политики включен, можно просмотреть и изменить список совместимых областей Kerberos версии 5 и их параметров. Чтобы просмотреть список совместимых областей Kerberos версии 5, включите параметр политики и нажмите кнопку Показать. Чтобы добавить совместимую область Kerberos версии 5, включите параметр политики, обратите внимание на синтаксис и нажмите кнопку Показать. В диалоговом окне Показать содержимое в столбце Имя значения введите имя совместимой области Kerberos V5. В столбце Значение введите флаги областей и имена узлов узлов, используя соответствующий формат синтаксиса. Чтобы удалить из списка имя значения или значение в области Kerberos версии 5, щелкните запись и нажмите клавишу DELETE. Чтобы изменить сопоставление, удалите текущую запись из списка и добавьте новую с другими параметрами.
Если этот параметр политики отключен, параметры области kerberos V5, определенные групповая политика, удаляются.
Если этот параметр политики не настроен, система использует совместимые параметры области Kerberos версии 5, определенные в локальном реестре, если они существуют.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | MitRealms |
| Понятное имя | Определение параметров области Kerberos версии 5 для взаимодействия |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| Имя значения реестра | MitRealms_Enabled |
| Имя файла ADMX | Kerberos.admx |
ServerAcceptsCompound
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/ServerAcceptsCompound
Этот параметр политики управляет настройкой учетной записи Active Directory устройства для комплексной проверки подлинности.
Для поддержки комплексной проверки подлинности, используемой для управления доступом, потребуется достаточно контроллеров домена в доменах учетных записей ресурсов для поддержки запросов. Администратор домена должен настроить политику "Поддержка динамического контроль доступа и защиты Kerberos" на всех контроллерах домена для поддержки этой политики.
- Если этот параметр политики включен, учетная запись Active Directory устройства будет настроена для комплексной проверки подлинности с помощью следующих параметров:
Никогда: для этой учетной записи компьютера никогда не предоставляется составная проверка подлинности.
Автоматический. Составная проверка подлинности предоставляется для этой учетной записи компьютера, если для одного или нескольких приложений настроено динамическое контроль доступа.
Всегда: для этой учетной записи компьютера всегда предоставляется составная проверка подлинности.
Если этот параметр политики отключен, никогда не будет использоваться.
Если этот параметр политики не настроен, будет использоваться автоматически.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | ServerAcceptsCompound |
| Понятное имя | Поддержка составной проверки подлинности |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Policies\Microsoft\Netlogon\Parameters |
| Имя значения реестра | CompoundIdDisabled |
| Имя файла ADMX | Kerberos.admx |
StrictTarget
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10 версии 2004 [10.0.19041.1202] и более поздних версий ✅Windows 10, версия 2009 [10.0.19042.1202] и более поздние версии ✅Windows 10, версия 21H1 [10.0.19043.1202] и более поздние ✅Windows 11, версия 21H2 [10.0.22000] и более поздние |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/StrictTarget
Этот параметр политики позволяет настроить этот сервер таким образом, чтобы Kerberos могла расшифровать билет, содержащий это созданное системой имя субъекта-службы. Когда приложение пытается выполнить удаленный вызов процедуры (RPC) к этому серверу со значением NULL для имени субъекта-службы (SPN), компьютеры под управлением Windows 7 или более поздней версии пытаются использовать Kerberos, создав имя субъекта-службы.
Если этот параметр политики включен, только службы, работающие как LocalSystem или NetworkService, могут принимать эти подключения. Службы, работающие как удостоверения, отличные от LocalSystem или NetworkService, могут не пройти проверку подлинности.
Если этот параметр политики отключен или не настроен, любая служба может принимать входящие подключения с помощью этого созданного системой имени субъекта-службы.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | StrictTarget |
| Понятное имя | Требование строгого соответствия целевого имени субъекта-службы для удаленных вызовов процедур |
| Location | Конфигурация компьютера |
| Путь | Системный > Kerberos |
| Имя раздела реестра | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Имя значения реестра | StrictTargetContext |
| Имя файла ADMX | Kerberos.admx |
Связанные статьи
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по