Kerberos-szabályzat

A Kerberos jegyszabályzat a tartomány szintjén van definiálva, és a tartomány Kulcsterjesztési központ (KDC) valósítja meg. A Kerberos-szabályzat az Active Directoryban található a tartományi biztonsági szabályzat attribútumainak részhalmazaként. Alapértelmezés szerint a házirend-beállításokat csak a Tartományi rendszergazdák csoport tagjai állíthatják be. A tartományházirend a következő beállításokat tartalmazza:

• A közzétett jegyek támogatása
• Korlátozott delegálás támogatása (csak Windows Server 2003 esetén)
• Továbbítható támogatási jegyek
• Megújuló jegyek támogatása
• A jegy maximális életkorának beállítása
• A megújítás maximális életkorának beállítása
• Proxyjegy maximális korának beállítása
• Kényszerített kijelentkezés a felhasználókról a jegyek lejáratakor

korlátozott delegálásiesetén a számítógép beállítható úgy, hogy a hitelesítő adatok csak egy adott szolgáltatáslistára legyenek továbbítva. Ezeknek a szolgáltatásoknak ugyanabban a tartományban kell lenniük, mint a hitelesítő adatokat továbbító számítógépnek. A korlátozott delegálási alatt a rendszer már nem küld jegyeket az ügyféltől a kiszolgálónak. A kiszolgáló számítógépe szolgáltatásjegyeket hoz létre, hogy szükség szerint továbbítsa az ügyfél hitelesítéséhez használt információkból.

Bár egy tartomány Kerberos-szabályzata engedélyezheti a delegált hitelesítést a jegyek továbbításának engedélyezésével, a szabályzatnak nem kell minden felhasználóra vagy minden számítógépre vonatkoznia. Egy egyéni felhasználói fiók attribútuma beállítható úgy, hogy bármely kiszolgáló letiltsa a felhasználó hitelesítő adatainak továbbítását. Az egyes számítógépek fiókjának attribútuma beállítható úgy, hogy bármely felhasználótól letiltsa a hitelesítő adatok továbbítását. A delegálás mindkét esetben letiltható egy olyan csoportházirend létrehozásával, amely az Active Directory szervezeti egységének összes felhasználójára vagy összes számítógépére érvényes.

Windows XP/2000: Korlátozott delegálás nem támogatott.