Freigeben über


Kerberos-Richtlinie

Die Kerberos-Ticketrichtlinie wird auf Domänenebene definiert und vom Key Distribution Center (KDC) der Domäne implementiert. Die Kerberos-Richtlinie wird in Active Directory als Teilmenge der Attribute der Domänensicherheitsrichtlinie gespeichert. Standardmäßig können Richtlinienoptionen nur von Mitgliedern der Gruppe "Domänenadministratoren" festgelegt werden. Domänenrichtlinie enthält Optionen, die:

  • Support postdated Tickets
  • Unterstützung eingeschränkter Delegierung (nur Windows Server 2003)
  • Supporttickets, die weitergeleitet werden können
  • Support für erneuerbare Tickets
  • Maximales Ticketalter festlegen
  • Maximales Verlängerungsalter festlegen
  • Maximales Alter des Proxytickets festlegen
  • Abmelden von Benutzern, wenn Tickets ablaufen

Mit eingeschränkten Delegierungs-kann ein Computer so festgelegt werden, dass die Weiterleitung von Anmeldeinformationen nur an eine bestimmte Liste von Diensten zulässig ist. Diese Dienste müssen sich in derselben Domäne wie der Computer befinden, auf dem die Anmeldeinformationen weitergeleitet werden. Unter eingeschränkten Delegierungs-werden Tickets nicht mehr vom Client an den Server gesendet. Der Servercomputer erstellt Diensttickets, um nach Bedarf von Informationen, die zur Authentifizierung des Clients verwendet werden, weiterzuleiten.

Obwohl kerberos-Richtlinie für eine Domäne die delegierte Authentifizierung zulassen kann, indem Tickets weitergeleitet werden können, muss dieser Aspekt der Richtlinie nicht für alle Benutzer oder alle Computer gelten. Ein Attribut eines einzelnen Benutzerkontos kann festgelegt werden, um die Weiterleitung der Anmeldeinformationen dieses Benutzers von jedem Server zu deaktivieren. Ein Attribut des Kontos eines einzelnen Computers kann festgelegt werden, um die Weiterleitung von Anmeldeinformationen von jedem Benutzer zu deaktivieren. In beiden Fällen kann die Delegierung deaktiviert werden, indem eine Gruppenrichtlinie erstellt wird, die für alle Benutzer oder alle Computer in einer Organisationseinheit des Active Directory gilt.

Windows XP/2000: Eingeschränkte Delegierung wird nicht unterstützt.