Kerberos-Richtlinie

Die Kerberos-Ticketrichtlinie wird auf Domänenebene definiert und vom Key Distribution Center (KDC) der Domäne implementiert. Die Kerberos-Richtlinie wird in Active Directory als Teilmenge der Attribute der Domänensicherheitsrichtlinie gespeichert. Richtlinienoptionen können standardmäßig nur von Mitgliedern der Gruppe Domänenadministratoren festgelegt werden. Die Domänenrichtlinie enthält Optionen, die Folgendes umfassen:

  • Support postdated tickets
  • Unterstützung der eingeschränkten Delegierung (nur Windows Server 2003)
  • Supporttickets, die weitergeleitet werden können
  • Unterstützung erneuerbarer Tickets
  • Festlegen des maximalen Ticketalters
  • Festlegen des maximalen Erneuerungsalters
  • Festlegen des maximalen Proxyticketalters
  • Abmelden von Benutzern, wenn Tickets ablaufen

Bei eingeschränkter Delegierung kann ein Computer so festgelegt werden, dass er die Weiterleitung von Anmeldeinformationen nur an eine bestimmte Liste von Diensten zulässt. Diese Dienste müssen sich in derselben Domäne befinden wie der Computer, der die Anmeldeinformationen weiterleitt. Bei eingeschränkter Delegierung werden keine Tickets mehr vom Client an den Server gesendet. Der Servercomputer erstellt Diensttickets, die nach Bedarf von informationen weitergeleitet werden, die zur Authentifizierung des Clients verwendet werden.

Obwohl die Kerberos-Richtlinie für eine Domäne die delegierte Authentifizierung zulassen kann, indem sie die Weiterleitung von Tickets erlaubt, muss dieser Aspekt der Richtlinie nicht für alle Benutzer oder alle Computer gelten. Ein Attribut eines einzelnen Benutzerkontos kann festgelegt werden, um die Weiterleitung der Anmeldeinformationen dieses Benutzers durch einen beliebigen Server zu deaktivieren. Ein Attribut des Kontos eines einzelnen Computers kann so festgelegt werden, dass die Weiterleitung von Anmeldeinformationen von einem beliebigen Benutzer deaktiviert wird. In beiden Fällen kann die Delegierung deaktiviert werden, indem eine Gruppenrichtlinie erstellt wird, die auf alle Benutzer oder alle Computer in einer Organisationseinheit von Active Directory angewendet wird.

Windows XP/2000: Eingeschränkte Delegierung wird nicht unterstützt.