共用方式為

Kerberos 原則

  • 發行項

Kerberos 票證原則定義於網域層級,並由網域 密鑰配送中心 (KDC) 實作。 Kerberos 原則會儲存在 Active Directory 中,做為網域安全策略屬性的子集。 根據預設,原則選項只能由網域系統管理員群組的成員設定。 網域原則包含下列選項:

  • 支援張貼的票證
  • 支援限制委派 (僅限 Windows Server 2003)
  • 可轉寄的支援票證
  • 支援可更新票證
  • 設定票證存留期上限
  • 設定更新期限上限
  • 設定 Proxy 票證存留期上限
  • 當票證到期時強制註銷使用者

透過 限制委派,計算機可以設定為只允許將認證轉送至特定服務清單。 這些服務必須與轉送認證的計算機位於相同的網域中。 在 限制委派下,不會再將票證從用戶端傳送至伺服器。 伺服器計算機會建立服務票證,以視需要從用來驗證客戶端的資訊轉寄。

雖然網域的 Kerberos 原則可允許轉送票證來允許委派的驗證,但該原則層面不需要套用至所有使用者或所有計算機。 個別使用者帳戶的屬性可以設定為停用任何伺服器轉送該使用者的認證。 個別電腦帳戶的屬性可以設定為停用任何使用者的認證轉送。 在這兩種情況下,您可以建立組策略來停用委派,以套用至 Active Directory 組織單位中的所有使用者或所有電腦。

Windows XP/2000:不支援 限制委派。