原則 CSP - ADMX_Kerberos
提示
此 CSP 包含 ADMX 支持的原則,需要特殊 SyncML 格式才能啟用或停用。 您必須在 SyncML 中將資料型態指定為 <Format>chr</Format>。 如需詳細資訊,請 參閱瞭解 ADMX 支持的原則。
SyncML 的承載必須是 XML 編碼;針對此 XML 編碼,您可以使用各種在線編碼器。 若要避免編碼承載,如果您的 MDM 支援 CDATA,您可以使用 CDATA。 如需詳細資訊,請參閱 CDATA 區段。
AlwaysSendCompoundId
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/AlwaysSendCompoundId
此原則設定可控制當資源網域要求複合身分識別時,裝置是否一律傳送複合驗證要求。
注意
若要讓域控制器要求複合驗證,必須在資源帳戶網域中設定並啟用「宣告、複合驗證和 Kerberos 防護的 KDC 支援」和「要求複合驗證」原則。
如果您啟用此原則設定,且資源網域要求復合驗證,則支援複合驗證的裝置一律會傳送複合驗證要求。
如果您停用或未設定此原則設定,且資源網域要求復合驗證,則裝置會先傳送非複合驗證要求,然後在服務要求復合驗證時傳送複合驗證要求。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | AlwaysSendCompoundId |
| 易記名稱 | 一律先傳送複合驗證 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Kerberos |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 登錄值名稱 | AlwaysSendCompoundId |
| ADMX 檔案名稱 | Kerberos.admx |
DevicePKInitEnabled
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/DevicePKInitEnabled
使用憑證支援裝置驗證需要連線到裝置帳戶網域中支援計算機帳戶憑證驗證的DC。
此原則設定可讓您設定 Kerberos 的支援,以嘗試使用裝置的憑證對網域進行驗證。
- 如果您啟用此原則設定,將會根據下列選項選取裝置認證:
自動:裝置會嘗試使用其憑證進行驗證。 如果 DC 不支援使用憑證進行計算機帳戶驗證,則會嘗試使用密碼進行驗證。
強制:裝置一律會使用其憑證進行驗證。 如果找不到支援使用憑證進行計算機帳戶驗證的DC,則驗證將會失敗。
如果您停用此原則設定,就永遠不會使用憑證。
如果您未設定此原則設定,則會使用自動設定。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | DevicePKInitEnabled |
| 易記名稱 | 使用憑證支援裝置驗證 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Kerberos |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 登錄值名稱 | DevicePKInitEnabled |
| ADMX 檔案名稱 | Kerberos.admx |
HostToRealm
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11,版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/HostToRealm
此原則設定可讓您指定哪些 DNS 主機名和哪些 DNS 後綴對應至 Kerberos 領域。
如果啟用此原則設定,您可以檢視和變更對應至 Kerberos 領域之 DNS 主機名和 DNS 後綴的清單,如 群組原則 所定義。 若要檢視對應清單,請啟用原則設定,然後按兩下 [顯示] 按鈕。 若要新增對應,請啟用原則設定、記下語法,然後按兩下 [顯示]。 在 [值名稱] 資料行的 [顯示內容] 對話框中,輸入領域名稱。 在 [值] 資料行中,使用適當的語法格式輸入 DNS 主機名和 DNS 後綴的清單。 若要從清單中移除對應,請按下要移除的對應項目,然後按DELETE鍵。 若要編輯對應,請從清單中移除目前的專案,並新增具有不同參數的新專案。
如果您停用此原則設定,則會刪除由 群組原則 定義的主機名對 Kerberos 領域對應清單。
如果您未設定此原則設定,系統會使用本機登錄中所定義的主機名對 Kerberos 領域對應。如果有的話。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | HostToRealm |
| 易記名稱 | 定義主機名對 Kerberos 領域對應 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Kerberos |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| 登錄值名稱 | domain_realm_Enabled |
| ADMX 檔案名稱 | Kerberos.admx |
KdcProxyDisableServerRevocationCheck
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11,版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyDisableServerRevocationCheck
此原則設定可讓您針對目標 KDC Proxy 伺服器的 SSL 憑證停用撤銷檢查。
- 如果啟用此原則設定,Kerberos 用戶端會忽略 KDC Proxy 伺服器的 SSL 憑證撤銷檢查。 此原則設定只能用於針對 KDC Proxy 連線進行疑難解答。
警告
忽略撤銷檢查時,憑證所代表的伺服器不保證有效。
- 如果您停用或未設定此原則設定,Kerberos 用戶端會強制執行 SSL 憑證的撤銷檢查。 如果撤銷檢查失敗,則不會建立與 KDC Proxy 伺服器的連線。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | KdcProxyDisableServerRevocationCheck |
| 易記名稱 | 停用 KDC Proxy 伺服器之 SSL 憑證的撤銷檢查 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Kerberos |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 登錄值名稱 | NoRevocationCheck |
| ADMX 檔案名稱 | Kerberos.admx |
KdcProxyServer
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyServer
此原則設定會根據網域的 DNS 後綴名稱,設定 Kerberos 用戶端對應至網域的 KDC Proxy 伺服器。
如果啟用此原則設定,Kerberos 用戶端會在無法根據設定的對應找到域控制器時,針對網域使用 KDC Proxy 伺服器。 若要將 KDC Proxy 伺服器對應至網域,請啟用原則設定,按兩下 [顯示],然後使用選項窗格中所述的語法,將 KDC Proxy 伺服器名稱 (的) 對應至網域的 DNS 名稱。 在 [值名稱] 資料行的 [顯示內容] 對話框中,輸入 DNS 後綴名稱。 在 [值] 資料行中,使用適當的語法格式輸入 Proxy 伺服器清單。 若要檢視對應清單,請啟用原則設定,然後按兩下 [顯示] 按鈕。 若要從清單中移除對應,請按下要移除的對應項目,然後按DELETE鍵。 若要編輯對應,請從清單中移除目前的專案,並新增具有不同參數的新專案。
如果您停用或未設定此原則設定,Kerberos 用戶端就不會有 群組原則 定義的 KDC Proxy 伺服器設定。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | KdcProxyServer |
| 易記名稱 | 指定 Kerberos 用戶端的 KDC Proxy 伺服器 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Kerberos |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| 登錄值名稱 | KdcProxyServer_Enabled |
| ADMX 檔案名稱 | Kerberos.admx |
MitRealms
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/MitRealms
此原則設定會設定 Kerberos 用戶端,以便使用可互通的 Kerberos V5 領域進行驗證,如此原則設定所定義。
如果啟用此原則設定,您可以檢視和變更可互操作 Kerberos V5 領域及其設定的清單。 若要檢視可互通 Kerberos V5 領域清單,請啟用原則設定,然後按兩下 [顯示] 按鈕。 若要新增可互通的 Kerberos V5 領域,請啟用原則設定、記下語法,然後按兩下 [顯示]。 在 [值名稱] 資料行的 [顯示內容] 對話框中,輸入可互操作的 Kerberos V5 領域名稱。 在 [值] 數據行中,使用適當的語法格式輸入主機 KDC 的領域旗標和主機名。 若要從清單中移除可互操作的 Kerberos V5 領域值名稱或值專案,請按此項目,然後按 DELETE 鍵。 若要編輯對應,請從清單中移除目前的專案,並新增具有不同參數的新專案。
如果您停用此原則設定,則會刪除 群組原則 定義的可互操作 Kerberos V5 領域設定。
如果您未設定此原則設定,系統會使用本機登錄中定義的可互操作 Kerberos V5 領域設定,如果存在的話。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | MitRealms |
| 易記名稱 | 定義可互操作的 Kerberos V5 領域設定 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Kerberos |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos |
| 登錄值名稱 | MitRealms_Enabled |
| ADMX 檔案名稱 | Kerberos.admx |
ServerAcceptsCompound
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/ServerAcceptsCompound
此原則設定可控制針對複合驗證設定裝置的 Active Directory 帳戶。
支援提供用於訪問控制的複合驗證,在資源帳戶網域中需要足夠的域控制器來支援要求。 網域系統管理員必須在所有域控制器上設定「支援動態 存取控制和 Kerberos 防護」原則,才能支援此原則。
- 如果啟用此原則設定,裝置的 Active Directory 帳戶將會透過下列選項設定為複合驗證:
永不:此計算機帳戶永遠不會提供復合驗證。
自動:針對動態 存取控制 設定一或多個應用程式時,會為此計算機帳戶提供複合驗證。
一律:此計算機帳戶一律會提供復合驗證。
如果您停用此原則設定,則永遠不會使用 。
如果您未設定此原則設定,則會使用自動設定。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | ServerAcceptsCompound |
| 易記名稱 | 支持複合驗證 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Kerberos |
| 登錄機碼名稱 | Software\Policies\Microsoft\Netlogon\Parameters |
| 登錄值名稱 | CompoundIdDisabled |
| ADMX 檔案名稱 | Kerberos.admx |
StrictTarget
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10 版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/StrictTarget
此原則設定可讓您設定此伺服器,讓 Kerberos 可以解密包含此系統產生之 SPN 的票證。 當應用程式嘗試對此伺服器進行遠端過程呼叫 (RPC) ,且此伺服器的服務主體名稱 (SPN) 為 NULL 值時,執行 Windows 7 或更新版本的電腦會藉由產生 SPN 來嘗試使用 Kerberos。
如果啟用此原則設定,則只允許以 LocalSystem 或 NetworkService 身分執行的服務接受這些連線。 以不同於LocalSystem或 NetworkService 身分識別執行的服務可能無法驗證。
如果您停用或未設定此原則設定,則允許任何服務使用此系統產生的SPN來接受連入連線。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | StrictTarget |
| 易記名稱 | 在遠端過程調用上需要嚴格的目標 SPN 比對 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > Kerberos |
| 登錄機碼名稱 | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| 登錄值名稱 | StrictTargetContext |
| ADMX 檔案名稱 | Kerberos.admx |
相關文章
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應