Windows 身份验证中使用的组策略设置
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016
此面向 IT 专业人员的参考主题介绍了组策略设置在身份验证过程中的使用和影响。
可以通过以下方式管理 Windows 操作系统中的身份验证:将用户、计算机和服务帐户添加到组,然后将身份验证策略应用于这些组。 这些策略定义为本地安全策略和管理模板,也称为组策略设置。 可以使用组策略在整个组织中配置和分发这两个集。
注意
Windows Server 2012 R2 中引入的功能允许使用受保护的帐户为目标服务或应用程序(通常称为身份验证接收器)配置身份验证策略。 有关如何在 Active Directory 中执行此操作的信息,请参阅如何配置受保护的帐户。
例如,可以根据组在组织中的功能,将以下策略应用于组:
本地登录或登录到域
通过网络登录
重置帐户
创建帐户
下表列出了与身份验证相关的策略组,并提供可帮助你配置这些策略的文档链接。
| 策略组 | 位置 | 说明 |
|---|---|---|
| 密码策略 | 本地计算机策略\计算机配置\Windows 设置\安全设置\帐户策略 | 密码策略会影响密码的特征和行为。 密码策略用于域帐户或本地用户帐户。 它们确定密码的设置,例如强制执行和生存期。 有关特定设置的信息,请参阅密码策略。 |
| 帐户锁定策略 | 本地计算机策略\计算机配置\Windows 设置\安全设置\帐户策略 | 帐户锁定策略选项在一定次数的失败登录尝试后禁用帐户。 使用这些选项有助于检测和阻止尝试破解密码的行为。 有关帐户锁定策略选项的信息,请参阅帐户锁定策略。 |
| Kerberos 策略 | 本地计算机策略\计算机配置\Windows 设置\安全设置\帐户策略 | 与 Kerberos 相关的设置包括票证生存期和强制执行规则。 Kerberos 策略不适用于本地帐户数据库,因为 Kerberos 身份验证协议不用于对本地帐户进行身份验证。 因此,只能通过默认域组策略对象 (GPO) 配置 Kerberos 策略设置,因为它会影响域登录。 有关域控制器的 Kerberos 策略选项的信息,请参阅 Kerberos 策略。 |
| 审核策略 | 本地计算机策略\计算机配置\Windows 设置\安全设置\本地策略\审核策略 | 审核策略允许你控制和了解对象(如文件和文件夹)访问权限,管理用户和组帐户以及用户登录和注销。 审核策略可以指定要审核的事件类别,设置安全日志的大小和行为,并确定要监视其访问权限的对象以及要监视的访问权限类型。 |
| 用户权限分配 | 本地计算机策略\计算机配置\Windows 设置\安全设置\本地策略\用户权限分配 | 用户权限通常根据用户所属的安全组(例如Administrator、Power User 或 User)进行分配。 此类别中的策略设置通常用于根据访问方法和安全组成员身份授予或拒绝访问计算机的权限。 |
| 安全选项 | 本地计算机策略\计算机配置\Windows 设置\安全设置\本地策略\安全选项 | 与身份验证相关的策略包括: - 设备 |
| 凭据委派 | 计算机配置\管理模板\系统\凭据委派 | 凭据委派是一种机制,允许在其他系统上使用本地凭据,尤其是域中的成员服务器和域控制器。 这些设置通过使用凭据安全支持提供程序 (Cred SSP) 应用于应用程序。 远程桌面连接就是一个示例。 |
| KDC | 计算机配置\管理模板\系统\KDC | 这些策略设置会影响密钥发行中心 (KDC)(域控制器上的一项服务)处理 Kerberos 身份验证请求的方式。 |
| Kerberos | 计算机配置\管理模板\系统\Kerberos | 这些策略设置会影响如何配置 Kerberos 以处理对声明、Kerberos 保护、复合身份验证、标识代理服务器和其他配置的支持。 |
| 登录 | 计算机配置\管理模板\系统\登录 | 这些策略设置控制系统如何为用户提供登录体验。 |
| Net Logon | 计算机配置\管理模板\系统\网络登录 | 这些策略设置控制系统如何处理网络登录请求,包括域控制器定位器的行为方式。 有关域控制器定位器如何适应复制过程的详细信息,请参阅了解站点之间的复制。 |
| 生物识别 | 计算机配置\管理模板\Windows 组件\生物识别 | 这些策略设置通常允许或拒绝使用生物识别作为身份验证方法。 有关生物识别的 Windows 实现的信息,请参阅 Windows Biometric Framework 概述。 |
| 凭据用户界面 | 计算机配置\管理模板\Windows 组件\凭据用户界面 | 这些策略设置控制如何在入口点管理凭据。 |
| 密码同步 | 计算机配置\管理模板\Windows 组件\密码同步 | 这些策略设置确定系统如何管理基于 Windows 和基于 UNIX 的操作系统之间的密码同步。 有关详细信息,请参阅密码同步。 |
| 智能卡 | 计算机配置\管理模板\Windows 组件\智能卡 | 这些策略设置控制系统如何管理智能卡登录。 |
| Windows 登录选项 | 计算机配置\管理模板\Windows 组件\Windows 登录选项 | 这些策略设置控制何时以及如何提供登录机会。 |
| Ctrl+Alt+Del 选项 | 计算机配置\管理模板\Windows 组件\Ctrl+Alt+Del 选项 | 这些策略设置会影响登录 UI(安全桌面)功能的外观和辅助功能,例如任务管理器和计算机的键盘锁。 |
| 登录 | 计算机配置\管理模板\Windows 组件\登录 | 这些策略设置确定用户登录时是否可以运行进程或运行哪些进程。 |