Kerberos 策略

Kerberos 票证策略在域级别定义，并由域的 密钥分发中心（KDC）实现。 Kerberos 策略作为域安全策略属性的子集存储在 Active Directory 中。 默认情况下，策略选项只能由域管理员组的成员设置。 域策略包括以下选项：

• 支持发布的票证
• 支持约束委派（仅限 Windows Server 2003）
• 可转发的支持票证
• 支持可续订票证
• 设置最大票证期限
• 设置最长续订期限
• 设置最大代理票证期限
• 票证过期时强行注销用户

使用 约束委派，可以将计算机设置为仅允许将凭据转发到特定的服务列表。 这些服务必须与转发凭据的计算机位于同一域中。 在 约束委派下，票证不再从客户端发送到服务器。 服务器计算机创建服务票证，以便根据需要从用于对客户端进行身份验证的信息转发。

尽管域的 Kerberos 策略可以通过允许转发票证来允许委派身份验证，但策略的这一方面不需要适用于所有用户或所有计算机。 可以将单个用户帐户的属性设置为禁用由任何服务器转发该用户的凭据。 可以将单个计算机的帐户属性设置为禁用从任何用户转发凭据。 在这两种情况下，可以通过创建组策略来禁用委派，以应用于 Active Directory 组织单位中的所有用户或所有计算机。

Windows XP/2000：不支持 约束委派。