Richtlinien-CSP – ADMX_kdc

Tipp

Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.

Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.

CbacAndArmor

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/CbacAndArmor

Mit dieser Richtlinieneinstellung können Sie einen Domänencontroller konfigurieren, um Ansprüche und Verbundauthentifizierung für dynamische Zugriffssteuerung und Kerberos-Armoring mithilfe der Kerberos-Authentifizierung zu unterstützen.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, verwenden Clientcomputer, die Anspruchs- und Verbundauthentifizierung für die dynamische Zugriffssteuerung unterstützen und kerberos-fähig sind, dieses Feature für Kerberos-Authentifizierungsmeldungen. Diese Richtlinie sollte auf alle Domänencontroller angewendet werden, um eine konsistente Anwendung dieser Richtlinie in der Domäne sicherzustellen.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, unterstützt der Domänencontroller keine Ansprüche, verbundbasierte Authentifizierung oder Armoring.

Wenn Sie die Option "Nicht unterstützt" konfigurieren, unterstützt der Domänencontroller keine Ansprüche, Verbundauthentifizierung oder Armoring, was das Standardverhalten für Domänencontroller mit Windows Server 2008 R2 oder früheren Betriebssystemen ist.

Hinweis

Damit die folgenden Optionen dieser KDC-Richtlinie wirksam sind, muss die Kerberos-Gruppenrichtlinie "Kerberos-Clientunterstützung für Ansprüche, Verbundauthentifizierung und Kerberos-Armoring" auf unterstützten Systemen aktiviert sein. Wenn die Kerberos-Richtlinieneinstellung nicht aktiviert ist, verwenden Kerberos-Authentifizierungsmeldungen diese Features nicht.

Wenn Sie "Unterstützt" konfigurieren, unterstützt der Domänencontroller Ansprüche, Verbundauthentifizierung und Kerberos-Armoring. Der Domänencontroller kündigt Kerberos-Clientcomputern an, dass die Domäne Anspruchs- und Verbundauthentifizierung für dynamische Zugriffssteuerung und Kerberos-Armoring ermöglicht.

Anforderungen an die Domänenfunktionsebene.

Wenn die Domänenfunktionsebene auf Windows Server 2008 R2 oder früher festgelegt ist, verhalten sich Domänencontroller für die Optionen "Ansprüche immer bereitstellen" und "Nicht bewaffnete Authentifizierungsanforderungen nicht ausführen".

Wenn die Domänenfunktionsebene auf Windows Server 2012 festgelegt ist, kündigt der Domänencontroller kerberos-Clientcomputern an, dass die Domäne Ansprüche und Verbundauthentifizierung für dynamische Zugriffssteuerung und Kerberos-Armoring fähig ist, und:

  • Wenn Sie die Option "Immer Ansprüche bereitstellen" festlegen, gibt immer Ansprüche für Konten zurück und unterstützt das RFC-Verhalten für die Ankündigung des flexiblen sicheren Authentifizierungstunnelings (FAST).

  • Wenn Sie die Option "Nicht bewaffnete Authentifizierungsanforderungen nicht ausführen" festlegen, lehnt nicht bewaffnete Kerberos-Nachrichten ab.

Warnung

Wenn "Fail unarmored authentication requests" (Nicht bewaffnete Authentifizierungsanforderungen fehlschlagen) festgelegt ist, können sich Clientcomputer, die kerberos armoring nicht unterstützen, nicht beim Domänencontroller authentifizieren.

Um sicherzustellen, dass dieses Feature effektiv ist, stellen Sie genügend Domänencontroller bereit, die Anspruchs- und Verbundauthentifizierung für die dynamische Zugriffssteuerung unterstützen und kerberos-fähig sind, um die Authentifizierungsanforderungen zu verarbeiten. Eine unzureichende Anzahl von Domänencontrollern, die diese Richtlinie unterstützen, führt immer dann zu Authentifizierungsfehlern, wenn dynamische Zugriffssteuerung oder Kerberos-Armoring erforderlich ist (d. a. die Option "Unterstützt" ist aktiviert).

Auswirkungen auf die Leistung des Domänencontrollers, wenn diese Richtlinieneinstellung aktiviert ist:

  • Eine sichere Kerberos-Domänenfunktionsermittlung ist erforderlich, was zu zusätzlichem Nachrichtenaustausch führt.

  • Ansprüche und Verbundauthentifizierung für die dynamische Zugriffssteuerung erhöhen die Größe und Komplexität der Daten in der Nachricht, was zu mehr Verarbeitungszeit und einer größeren Kerberos-Dienstticketgröße führt.

  • Kerberos Armoring verschlüsselt Kerberos-Nachrichten vollständig und signiert Kerberos-Fehler, was zu einer längeren Verarbeitungszeit führt, aber die Größe des Diensttickets nicht ändert.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name CbacAndArmor
Anzeigename KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos-Armoring
Position Computerkonfiguration
Pfad System > KDC
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Name des Registrierungswertes EnableCbacAndArmor
ADMX-Dateiname kdc.admx

emitlili

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/emitlili

Diese Richtlinieneinstellung steuert, ob der Domänencontroller Informationen zu früheren Anmeldungen an Clientcomputern bereitstellt.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, stellt der Domänencontroller die Informationsmeldung zu vorherigen Anmeldungen bereit.

Damit Windows-Anmeldung dieses Feature nutzen kann, muss auch die Richtlinieneinstellung "Informationen zu vorherigen Anmeldungen während der Benutzeranmeldung anzeigen" im Knoten Windows-Anmeldeoptionen unter Windows-Komponenten aktiviert werden.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, stellt der Domänencontroller keine Informationen zu vorherigen Anmeldungen bereit, es sei denn, die Richtlinieneinstellung "Informationen zu vorherigen Anmeldungen während der Benutzeranmeldung anzeigen" ist aktiviert.

Hinweis

Informationen zu vorherigen Anmeldungen werden nur bereitgestellt, wenn die Domänenfunktionsebene Windows Server 2008 ist. In Domänen mit einer Domänenfunktionsebene von Windows Server 2003, Windows 2000 nativen oder gemischten Windows 2000 können Domänencontroller keine Informationen zu früheren Anmeldungen bereitstellen, und das Aktivieren dieser Richtlinieneinstellung hat keine Auswirkungen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name emitlili
Anzeigename Bereitstellen von Informationen zu früheren Anmeldungen bei Clientcomputern
Position Computerkonfiguration
Pfad System > KDC
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Name des Registrierungswertes EmitLILI
ADMX-Dateiname kdc.admx

ForestSearch

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/ForestSearch

Diese Richtlinieneinstellung definiert die Liste der vertrauenswürdigen Gesamtstrukturen, die das Schlüsselverteilungscenter (Key Distribution Center, KDC) durchsucht, wenn versucht wird, zweiteilige Dienstprinzipalnamen (SPNs) aufzulösen.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, durchsucht das KDC die Gesamtstrukturen in dieser Liste, wenn ein zweiteiliger SPN in der lokalen Gesamtstruktur nicht aufgelöst werden kann. Die Gesamtstruktursuche erfolgt mithilfe eines globalen Katalogs oder Namenssuffixhinweisen. Wenn eine Übereinstimmung gefunden wird, gibt der KDC ein Empfehlungsticket für die entsprechende Domäne an den Client zurück.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, durchsucht das KDC die aufgelisteten Gesamtstrukturen nicht, um den SPN aufzulösen. Wenn der KDC den SPN nicht auflösen kann, weil der Name nicht gefunden wird, kann die NTLM-Authentifizierung verwendet werden.

Um ein konsistentes Verhalten sicherzustellen, muss diese Richtlinieneinstellung auf allen Domänencontrollern in der Domäne unterstützt und identisch festgelegt werden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name ForestSearch
Anzeigename Verwenden der Gesamtstruktursuchreihenfolge
Position Computerkonfiguration
Pfad System > KDC
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Name des Registrierungswertes UseForestSearch
ADMX-Dateiname kdc.admx

PKINITFreshness

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/PKINITFreshness

Für die Unterstützung der PKInit Freshness-Erweiterung ist die Windows Server 2016-Domänenfunktionsebene (DFL) erforderlich. Wenn sich die Domäne des Domänencontrollers nicht auf Windows Server 2016 DFL oder höher befindet, wird diese Richtlinie nicht angewendet.

Mit dieser Richtlinieneinstellung können Sie einen Domänencontroller (DC) für die Unterstützung der PKInit Freshness-Erweiterung konfigurieren.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, werden die folgenden Optionen unterstützt:

Unterstützt: Die PKInit Freshness-Erweiterung wird auf Anfrage unterstützt. Kerberos-Clients, die sich erfolgreich mit der PKInit Freshness-Erweiterung authentifizieren, erhalten die sid der identitätsfrischen öffentlichen Schlüssel.

Erforderlich: Die PKInit Freshness-Erweiterung ist für eine erfolgreiche Authentifizierung erforderlich. Kerberos-Clients, die die PKInit Freshness-Erweiterung nicht unterstützen, schlagen immer fehl, wenn Anmeldeinformationen für den öffentlichen Schlüssel verwendet werden.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, bietet der Domänencontroller niemals die PKInit Freshness-Erweiterung an und akzeptiert gültige Authentifizierungsanforderungen ohne Überprüfung auf Aktualität. Benutzer erhalten niemals die neue SID für die Identität des öffentlichen Schlüssels.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name PKINITFreshness
Anzeigename KDC-Unterstützung für pkInit Freshness Extension
Position Computerkonfiguration
Pfad System > KDC
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
ADMX-Dateiname kdc.admx

RequestCompoundId

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/RequestCompoundId

Mit dieser Richtlinieneinstellung können Sie einen Domänencontroller konfigurieren, um die Verbundauthentifizierung anzufordern.

Hinweis

Damit ein Domänencontroller verbundbasierte Authentifizierung anfordern kann, muss die Richtlinie "KDC-Unterstützung für Ansprüche, Verbundauthentifizierung und Kerberos Armoring" konfiguriert und aktiviert werden.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, fordern Domänencontroller die Verbundauthentifizierung an. Das zurückgegebene Dienstticket enthält die Verbundauthentifizierung nur, wenn das Konto explizit konfiguriert ist. Diese Richtlinie sollte auf alle Domänencontroller angewendet werden, um eine konsistente Anwendung dieser Richtlinie in der Domäne sicherzustellen.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, geben Domänencontroller unabhängig von der Kontokonfiguration immer dann Diensttickets zurück, die die Verbundauthentifizierung enthalten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name RequestCompoundId
Anzeigename Anfordern der Verbundauthentifizierung
Position Computerkonfiguration
Pfad System > KDC
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Name des Registrierungswertes RequestCompoundId
ADMX-Dateiname kdc.admx

TicketSizeThreshold

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/Policy/Config/ADMX_kdc/TicketSizeThreshold

Mit dieser Richtlinieneinstellung können Sie konfigurieren, in welcher Größe Kerberos-Tickets das Warnungsereignis auslösen, das während der Kerberos-Authentifizierung ausgegeben wird. Die Warnungen zur Ticketgröße werden im Systemprotokoll protokolliert.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie den Schwellenwert für das Kerberos-Ticket festlegen, das die Warnungsereignisse auslöst. Wenn die Einstellung zu hoch ist, treten möglicherweise Authentifizierungsfehler auf, obwohl keine Warnungsereignisse protokolliert werden. Wenn der Wert zu niedrig festgelegt ist, gibt es zu viele Ticketwarnungen im Protokoll, um für die Analyse nützlich zu sein. Dieser Wert sollte auf denselben Wert wie die Kerberos-Richtlinie "Set maximum Kerberos SSPI context token buffer size" (Maximale Kerberos-SSPI-Kontexttokenpuffergröße festlegen) oder auf den kleinsten MaxTokenSize-Wert festgelegt werden, der in Ihrer Umgebung verwendet wird, wenn Sie die Konfiguration nicht mithilfe von Gruppenrichtlinien durchführen.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird der Schwellenwert standardmäßig auf 12.000 Byte festgelegt. Dies ist der Standardmäßige Kerberos MaxTokenSize für Windows 7, Windows Server 2008 R2 und frühere Versionen.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name TicketSizeThreshold
Anzeigename Warnung für große Kerberos-Tickets
Position Computerkonfiguration
Pfad System > KDC
Registrierungsschlüsselname Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
Name des Registrierungswertes EnableTicketSizeThreshold
ADMX-Dateiname kdc.admx

Dienstanbieter für die Richtlinienkonfiguration