Política Kerberos

A política de tíquete Kerberos é definida no nível do domínio e implementada pelo Centro de Distribuição de Chaves (KDC) do domínio. A política Kerberos é armazenada no Ative Directory como um subconjunto dos atributos da diretiva de segurança de domínio. Por padrão, as opções de política só podem ser definidas por membros do grupo Administradores de Domínio. A política de domínio inclui opções que:

• Suporte a tickets pós-datados
• Delegação restrita de suporte (somente Windows Server 2003)
• Tickets de suporte que podem ser encaminhados
• Apoie tickets renováveis
• Definir idade máxima do bilhete
• Definir idade máxima de renovação
• Definir idade máxima do ticket proxy
• Fazer logoff forçado dos usuários quando os tíquetes expirarem

Com delegação restrita, um computador pode ser configurado para permitir o encaminhamento de credenciais apenas para uma lista específica de serviços. Esses serviços devem residir no mesmo domínio que o computador que encaminha as credenciais. Sob delegação restrita, os tíquetes não são mais enviados do cliente para o servidor. O computador servidor cria tíquetes de serviço para encaminhar, conforme necessário, a partir das informações usadas para autenticar o cliente.

Embora a política Kerberos para um domínio possa permitir autenticação delegada permitindo que tíquetes sejam encaminhados, esse aspeto da política não precisa se aplicar a todos os usuários ou a todos os computadores. Um atributo de uma conta de usuário individual pode ser definido para desabilitar o encaminhamento das credenciais de desse usuário por qualquer servidor. Um atributo da conta de um computador individual pode ser definido para desativar o encaminhamento de credenciais de qualquer usuário. Em ambos os casos, a delegação pode ser desabilitada criando uma diretiva de grupo para ser aplicada a todos os usuários ou a todos os computadores em uma unidade organizacional do Ative Directory.

Windows XP/2000: A delegação restrita não é suportada.