Partager via


Stratégie Kerberos

La stratégie de ticket Kerberos est définie au niveau du domaine et implémentée par le centre de distribution de clés du domaine (KDC). La stratégie Kerberos est stockée dans Active Directory en tant que sous-ensemble des attributs de la stratégie de sécurité de domaine. Par défaut, les options de stratégie peuvent être définies uniquement par les membres du groupe Administrateurs de domaine. La stratégie de domaine inclut des options qui :

  • Prise en charge des tickets postdés
  • Prise en charge de la délégation contrainte (Windows Server 2003 uniquement)
  • Tickets de support pouvant être transférés
  • Prendre en charge les tickets renouvelables
  • Définir l’âge maximal du ticket
  • Définir l’âge maximal du renouvellement
  • Définir l’âge maximal du ticket proxy
  • Déconnectez-vous de force des utilisateurs à l’expiration des tickets

Avec délégation contrainte, un ordinateur peut être défini pour autoriser le transfert d’informations d’identification uniquement à une liste spécifique de services. Ces services doivent résider dans le même domaine que l’ordinateur qui transfère les informations d’identification. Sous délégation contrainte, les tickets ne sont plus envoyés du client au serveur. L’ordinateur serveur crée des tickets de service à transférer si nécessaire à partir des informations utilisées pour authentifier le client.

Bien que la stratégie Kerberos pour un domaine autorise l’authentification déléguée en autorisant les tickets à transférer, cet aspect de la stratégie n’a pas besoin d’être appliqué à tous les utilisateurs ou à tous les ordinateurs. Un attribut d’un compte d’utilisateur individuel peut être défini pour désactiver le transfert des informations d’identification de cet utilisateur par n’importe quel serveur. Un attribut du compte d’un ordinateur individuel peut être défini pour désactiver le transfert des informations d’identification de n’importe quel utilisateur. Dans les deux cas, la délégation peut être désactivée en créant une stratégie de groupe à appliquer à tous les utilisateurs ou à tous les ordinateurs d’une unité organisationnelle d’Active Directory.

Windows XP/2000 : délégation contrainte n’est pas prise en charge.