Aracılığıyla paylaş

Kerberos İlkesi

  • Makale

Kerberos anahtar ilkesi etki alanı düzeyinde tanımlanır ve etki alanının Anahtar Dağıtım Merkezi (KDC) tarafından uygulanır. Kerberos ilkesi, etki alanı güvenlik ilkesinin özniteliklerinin bir alt kümesi olarak Active Directory'de depolanır. Varsayılan olarak, ilke seçenekleri yalnızca Etki Alanı Yöneticileri grubunun üyeleri tarafından ayarlanabilir. Etki alanı ilkesi şunları içeren seçenekleri içerir:

  • Destek deftere nakledilmiş biletler
  • Kısıtlanmış temsil desteği (yalnızca Windows Server 2003)
  • İletilebilen destek biletleri
  • Yenilenebilir bilet desteği
  • Maksimum bilet yaşını ayarlama
  • Maksimum yenileme yaşını ayarlama
  • En fazla proxy bilet yaşını ayarlama
  • Biletlerin süresi dolduğunda kullanıcıların zorla oturumlarını kapatma

kısıtlanmış temsilile, bir bilgisayar kimlik bilgilerinin yalnızca belirli bir hizmet listesine iletilmesine izin verecek şekilde ayarlanabilir. Bu hizmetler, kimlik bilgilerini iletenin bilgisayarla aynı etki alanında bulunmalıdır. kısıtlanmış temsilcialtında, biletler istemciden sunucuya gönderilmez. Sunucu bilgisayar, istemcinin kimliğini doğrulamak için kullanılan bilgilerden gerektiği şekilde iletilmesi için hizmet biletleri oluşturur.

Bir etki alanı için Kerberos ilkesi, anahtarların iletilmesine izin vererek temsilci kimlik doğrulamasına izin verse de, ilkenin bu yönü tüm kullanıcılar veya tüm bilgisayarlar için geçerli değildir. Tek bir kullanıcı hesabının özniteliği, herhangi bir sunucu tarafındankullanıcınınkimlik bilgilerinin iletilmesi devre dışı bırakılacak şekilde ayarlanabilir. Tek bir bilgisayarın hesabının özniteliği, herhangi bir kullanıcıdan kimlik bilgilerinin iletilmesi devre dışı bırakılacak şekilde ayarlanabilir. Her iki durumda da, Active Directory'nin kuruluş birimindeki tüm kullanıcılara veya tüm bilgisayarlara uygulanacak bir grup ilkesi oluşturularak temsilci seçme devre dışı bırakılabilir.

Windows XP/2000: Kısıtlanmış temsil desteklenmez.