Windows 驗證中使用的群組原則設定
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016
這個針對 IT 專業人員的參考主題介紹驗證程序中 Group Policy 設定的使用和影響。
您可以在 Windows 作業系統中管理驗證,方法是將使用者、電腦和服務帳戶新增至群組,然後再將驗證原則套用至這些群組。 這些原則定義為本地安全原則和管理範本,也稱為 Group Policy 設定。 使用 Group Policy 可設定這兩組設定並散佈至整個組織。
注意
Windows Server 2012 R2 中引入的功能,可讓您使用受保護的帳戶,為目標服務或應用程式 (通常稱為驗證孤島) 設定驗證原則。 如需如何在 Active Directory 中執行此操作的資訊,請參閱 How to Configure Protected Accounts。
例如,您可以根據群組在組織中的功能,將下列原則套用至群組:
在本機登錄或登錄網域
透過網路登錄
重設帳戶
建立帳戶
下表列出與驗證相關的原則群組,並提供指向可幫助您配置這些策略的文件連結。
| 原則群組 | Location | 描述 |
|---|---|---|
| 密碼原則 | Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Account Policies | 密碼原則會影響密碼的特性和行為。 密碼原則用於網域帳戶或本機使用者帳戶。 它們決定密碼的設定,例如強制性和留存期。 如需有關特定設定的資訊,請參閱 Password Policy。 |
| 帳戶鎖定原則 | Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Account Policies | 帳戶鎖定原則選項會在設定次數的失敗登錄嘗試後停用帳戶。 使用這些選項可協助您偵測並封鎖破解密碼的嘗試。 如需帳戶鎖定原則選項的相關資訊,請參閱 Account Lockout Policy。 |
| Kerberos 原則 | Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Account Policies | 與 Kerberos 相關的設定包括票證留存期與強制規則。 Kerberos 原則不適用於本機帳戶資料庫,因為未使用 Kerberos 驗證協定來驗證本機帳戶。 因此,Kerberos 原則設定只能透過預設網域 Group Policy Object (GPO) 進行配置,並會影響網域登錄。 如需網域控制者 Kerberos Policy 選項的相關資訊,請參閱 Kerberos Policy。 |
| 稽核原則 | Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy | 稽核原則可讓您控制和瞭解物件 (例如檔案和資料夾) 的存取權,以及管理使用者與群組帳戶以及使用者登錄與登出。 稽核原則可以指定欲稽核的事件類別、設定安全性記錄的大小和行為,以及決定欲監視的物件和欲監視的存取型別。 |
| 使用者權限指派 | Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment | 使用者許可權通常根據使用者所屬的安全群組 (如 Administrators、Power Users 或 Users 進行分配。 此類別中的原則設定通常用於根據存取方法和安全性群組成員資格來授與或拒絕存取電腦的許可權。 |
| 安全性選項 | Local Computer Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options | 與驗證相關的原則包括: — 裝置 |
| 驗證委派 | Computer Configuration\Administrative Templates\System\Credentials Delegation | 驗證委派是一種機制,可讓本機驗證在其他系統上使用,尤其是網域中的成員伺服器和網域控制者。 這些設定會使用 Credential Security Support Provider (Cred SSP) 以套用至應用程式。 Remote Desktop Connection 就是一個例子。 |
| KDC | Computer Configuration\Administrative Templates\System\KDC | 這些原則設定會影響 Key Distribution Center (KDC) 處理 Kerberos 驗證要求的方式。 |
| Kerberos | Computer Configuration\Administrative Templates\System\Kerberos | 這些原則設定會影響 Kerberos 設定處理宣告支援、Kerberos 裝載、複合驗證、識別 Proxy 伺服器及其他設定的方式。 |
| 登入 | Computer Configuration\Administrative Templates\System\Logon | 這些原則設定可控制系統呈現使用者登錄體驗的方式。 |
| Net Logon | Computer Configuration\Administrative Templates\System\Net Logon | 這些原則設定可控制系統處理網路登錄要求的方式,包括 Domain Controller Locator 的運作方式。 如需有關 Domain Controller Locator 如何配合復寫程式的詳細資訊,請參閱 Understanding Replication Between Sites。 |
| 生物特徵辨識 | Computer Configuration\Administrative Templates\Windows Components\Biometrics | 這些原則設定通常允許或拒絕使用生物識別作為驗證方法。 如需有關 Windows 生物識別實作的資訊,請參閱 Windows Biometric Framework Overview。 |
| Credential User Interface | Computer Configuration\Administrative Templates\Windows Components\Credential User Interface | 這些原則設定可控制進入點管理驗證的方式。 |
| 密碼同步化 | Computer Configuration\Administrative Templates\Windows Components\Password Synchronization | 這些原則設定決定系統如何管理 Windows 與以 UNIX 為基礎的作業系統之間的密碼同步處理。 如需詳細資訊,請參閱 Password Synchronization。 |
| Smart Card | Computer Configuration\Administrative Templates\Windows Components\Smart Card | 這些原則設定可控制系統管理智慧卡登錄的方式。 |
| Windows 登入選項 | Computer Configuration\Administrative Templates\Windows Components\Windows Logon Options | 這些原則設定可控制提供登錄機會的時間及方式。 |
| Ctrl+Alt+Del Options | Computer Configuration\Administrative Templates\Windows Components\Ctrl+Alt+Del Options | 這些原則設定會影響登錄 UI (Secure Desktop) 上的功能 (例如 Task Manager 和電腦的鍵盤鎖定) 的外觀和存取能力。 |
| 登入 | Computer Configuration\Administrative Templates\Windows Components\Logon | 這些原則設定可決定使用者登錄時是否可以執行或執行的程序。 |