Windows 身份验证中使用的组策略设置

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

此面向 IT 专业人员的参考主题介绍了身份验证过程中组策略设置的使用和影响。

可以通过将用户、计算机和服务帐户添加到组,然后将身份验证策略应用到这些组来管理Windows操作系统中的身份验证。 这些策略定义为本地安全策略和管理模板,也称为组策略设置。 这两个集都可以使用 组策略在整个组织中配置和分发。

注意

Windows Server 2012 R2 中引入的功能允许使用受保护的帐户为目标服务或应用程序(通常称为身份验证孤岛)配置身份验证策略。 有关如何在 Active Directory 中执行此操作的信息,请参阅 如何配置受保护的帐户

例如,可以根据组织中的组功能将以下策略应用于组:

  • 在本地或域登录

  • 通过网络登录

  • 重置帐户

  • 创建帐户

下表列出了与身份验证相关的策略组,并提供可帮助你配置这些策略的文档的链接。

策略组 位置 说明
密码策略 本地计算机策略\计算机配置\Windows 设置\安全性设置\帐户策略 密码策略会影响密码的特征和行为。 密码策略用于域帐户或本地用户帐户。 它们确定密码的设置,例如强制和生存期。

有关特定设置的信息,请参阅 密码策略

帐户锁定策略 本地计算机策略\计算机配置\Windows 设置\安全性设置\帐户策略 帐户锁定策略选项在一组失败的登录尝试后禁用帐户。 使用这些选项可帮助你检测和阻止尝试中断密码。

有关帐户锁定策略选项的信息,请参阅 帐户锁定策略

Kerberos 策略 本地计算机策略\计算机配置\Windows 设置\安全性设置\帐户策略 与 Kerberos 相关的设置包括票证生存期和强制规则。 Kerberos 策略不适用于本地帐户数据库,因为 Kerberos 身份验证协议不用于对本地帐户进行身份验证。 因此,只能通过使用默认域组策略对象 (GPO) 配置 Kerberos 策略设置,从而影响域登录。

有关域控制器的 Kerberos 策略选项的信息,请参阅 Kerberos 策略

审核策略 本地计算机策略\计算机配置\Windows 设置\安全设置\本地策略\审核策略 通过审核策略,可以控制和了解对对象(如文件和文件夹)的访问,以及管理用户和组帐户以及用户登录和注销。 审核策略可以指定要审核的事件类别、设置安全日志的大小和行为,并确定要监视访问的对象以及要监视的访问类型。

用户权限分配 本地计算机策略\计算机配置\Windows 设置\安全设置\本地策略\用户权限分配 用户权限通常根据用户所属的安全组(如管理员、Power Users 或用户)分配。 此类别中的策略设置通常用于根据访问方法和安全组成员身份授予或拒绝访问计算机的权限。
安全选项 本地计算机策略\计算机配置\Windows 设置\安全设置\本地策略\安全选项 与身份验证相关的策略包括:

- 设备
- 域控制器
- 域成员
- 交互式登录
- Microsoft 网络服务器
- 网络访问
- 网络安全
- 恢复控制台
- 关闭

凭据委派 计算机配置\管理模板\系统\凭据委派 凭据委派是一种机制,允许在其他系统上使用本地凭据,尤其是域中的成员服务器和域控制器。 这些设置适用于使用凭据安全支持提供程序 (Cred SSP) 的应用程序。 远程桌面连接是一个示例。
KDC 计算机配置\管理模板\System\KDC 这些策略设置会影响密钥分发中心 (KDC) (域控制器上的服务)如何处理 Kerberos 身份验证请求。
Kerberos 计算机配置\管理模板\System\Kerberos 这些策略设置会影响 Kerberos 的配置方式,以处理对声明的支持、Kerberos 保护、复合身份验证、标识代理服务器和其他配置。
登录 计算机配置\管理模板\系统\登录 这些策略设置控制系统向用户呈现登录体验的方式。
Net Logon 计算机配置\管理模板\System\Net Logon 这些策略设置控制系统如何处理网络登录请求,包括域控制器定位器的行为方式。

有关域控制器定位器如何适应复制过程的详细信息,请参阅 了解站点之间的复制

生物识别 计算机配置\管理模板\Windows组件\生物识别 这些策略设置通常允许或拒绝使用生物识别作为身份验证方法。

有关生物识别Windows实现的信息,请参阅Windows生物识别框架概述。

凭据用户界面 计算机配置\管理模板\Windows组件\凭据用户界面 这些策略设置控制在入口点管理凭据的方式。
密码同步 计算机配置\管理模板\Windows组件\密码同步 这些策略设置确定系统如何管理基于Windows和UNIX操作系统之间的密码同步。

有关详细信息,请参阅 密码同步

智能卡 计算机配置\管理模板\Windows组件\智能卡 这些策略设置控制系统管理智能卡登录的方式。

Windows登录选项 计算机配置\管理模板\Windows组件\Windows登录选项 这些策略设置控制登录机会的可用时间和方式。
Ctrl+Alt+Del 选项 计算机配置\管理模板\Windows组件\Ctrl+Alt+Del 选项 这些策略设置会影响登录 UI 上功能的外观和辅助功能, (安全桌面) ,例如任务管理器和计算机的键盘锁。
登录 计算机配置\管理模板\Windows组件\登录 这些策略设置确定用户登录时是否可以运行哪些进程。

其他参考

Windows 身份验证技术概述