CSP de directiva: ADMX_Kerberos

Sugerencia

Este CSP contiene directivas respaldadas por ADMX que requieren un formato SyncML especial para habilitar o deshabilitar. Debe especificar el tipo de datos en SyncML como <Format>chr</Format>. Para obtener más información, consulte Descripción de las directivas respaldadas por ADMX.

La carga de SyncML debe estar codificada en XML; para esta codificación XML, hay una variedad de codificadores en línea que puede usar. Para evitar la codificación de la carga, puede usar CDATA si su MDM lo admite. Para obtener más información, vea Secciones de CDATA.

AlwaysSendCompoundId

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores
✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores
✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores
✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/AlwaysSendCompoundId

Esta configuración de directiva controla si un dispositivo siempre envía una solicitud de autenticación compuesta cuando el dominio de recursos solicita una identidad compuesta.

Nota

Para que un controlador de dominio solicite autenticación compuesta, las directivas "Compatibilidad con KDC para notificaciones, autenticación compuesta y protección de Kerberos" y "Solicitar autenticación compuesta" deben configurarse y habilitarse en el dominio de la cuenta de recursos.

  • Si habilita esta configuración de directiva y el dominio de recursos solicita autenticación compuesta, los dispositivos que admiten la autenticación compuesta siempre envían una solicitud de autenticación compuesta.

  • Si deshabilita o no configura esta configuración de directiva y el dominio de recursos solicita autenticación compuesta, los dispositivos enviarán primero una solicitud de autenticación no compuesta y, a continuación, una solicitud de autenticación compuesta cuando el servicio solicite autenticación compuesta.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre Valor
Nombre AlwaysSendCompoundId
Nombre descriptivo Enviar siempre la autenticación compuesta primero
Ubicación Configuración del equipo
Ruta de acceso Kerberos del sistema >
Nombre de la clave del Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nombre del valor de registro AlwaysSendCompoundId
Nombre de archivo ADMX Kerberos.admx

DevicePKInitEnabled

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores
✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores
✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores
✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/DevicePKInitEnabled

La compatibilidad con la autenticación de dispositivos mediante el certificado requerirá conectividad con un controlador de dominio en el dominio de la cuenta de dispositivo que admita la autenticación de certificados para las cuentas de equipo.

Esta configuración de directiva permite establecer la compatibilidad con Kerberos para intentar la autenticación mediante el certificado del dispositivo en el dominio.

  • Si habilita esta configuración de directiva, las credenciales de los dispositivos se seleccionarán en función de las siguientes opciones:

Automático: el dispositivo intentará autenticarse con su certificado. Si el controlador de dominio no admite la autenticación de la cuenta de equipo mediante certificados, se intentará la autenticación con contraseña.

Force: el dispositivo siempre se autenticará con su certificado. Si no se encuentra un controlador de dominio que admita la autenticación de la cuenta de equipo mediante certificados, se producirá un error en la autenticación.

  • Si deshabilita esta configuración de directiva, nunca se usarán los certificados.

  • Si no configura esta configuración de directiva, se usará Automático.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre Valor
Nombre DevicePKInitEnabled
Nombre descriptivo Compatibilidad con la autenticación de dispositivos mediante el certificado
Ubicación Configuración del equipo
Ruta de acceso Kerberos del sistema >
Nombre de la clave del Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nombre del valor de registro DevicePKInitEnabled
Nombre de archivo ADMX Kerberos.admx

HostToRealm

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores
✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores
✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores
✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/HostToRealm

Esta configuración de directiva permite especificar qué nombres de host DNS y qué sufijos DNS se asignan a un dominio kerberos.

  • Si habilita esta configuración de directiva, puede ver y cambiar la lista de nombres de host DNS y sufijos DNS asignados a un dominio kerberos según lo definido por la directiva de grupo. Para ver la lista de asignaciones, habilite la configuración de directiva y haga clic en el botón Mostrar. Para agregar una asignación, habilite la configuración de directiva, anote la sintaxis y, a continuación, haga clic en Mostrar. En el cuadro de diálogo Mostrar contenido de la columna Nombre de valor, escriba un nombre de dominio. En la columna Valor, escriba la lista de nombres de host DNS y sufijos DNS con el formato de sintaxis adecuado. Para quitar una asignación de la lista, haga clic en la entrada de asignación que se va a quitar y, a continuación, presione la tecla DELETE. Para editar una asignación, quite la entrada actual de la lista y agregue una nueva con parámetros diferentes.

  • Si deshabilita esta configuración de directiva, se elimina la lista de asignaciones de dominios de nombre de host a Kerberos definida por la directiva de grupo.

  • Si no configura esta configuración de directiva, el sistema usa las asignaciones de dominio de nombre de host a Kerberos que se definen en el registro local, si existen.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre Valor
Nombre HostToRealm
Nombre descriptivo Definición de asignaciones de dominios de nombre de host a Kerberos
Ubicación Configuración del equipo
Ruta de acceso Kerberos del sistema >
Nombre de la clave del Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
Nombre del valor de registro domain_realm_Enabled
Nombre de archivo ADMX Kerberos.admx

KdcProxyDisableServerRevocationCheck

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores
✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores
✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores
✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyDisableServerRevocationCheck

Esta configuración de directiva permite deshabilitar la comprobación de revocación del certificado SSL del servidor proxy KDC de destino.

  • Si habilita esta configuración de directiva, el cliente Kerberos omite la comprobación de revocación del certificado SSL del servidor proxy KDC. Esta configuración de directiva solo debe usarse para solucionar problemas de conexiones de proxy de KDC.

Advertencia

Cuando se omite la comprobación de revocación, no se garantiza que el servidor representado por el certificado sea válido.

  • Si deshabilita o no establece esta configuración de directiva, el cliente Kerberos aplicará la comprobación de revocación del certificado SSL. La conexión al servidor proxy KDC no se establece si se produce un error en la comprobación de revocación.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre Valor
Nombre KdcProxyDisableServerRevocationCheck
Nombre descriptivo Deshabilitación de la comprobación de revocación para el certificado SSL de los servidores proxy de KDC
Ubicación Configuración del equipo
Ruta de acceso Kerberos del sistema >
Nombre de la clave del Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nombre del valor de registro NoRevocationCheck
Nombre de archivo ADMX Kerberos.admx

KdcProxyServer

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores
✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores
✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores
✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyServer

Esta configuración de directiva configura la asignación del cliente Kerberos a los servidores proxy KDC para dominios basados en sus nombres de sufijo DNS.

  • Si habilita esta configuración de directiva, el cliente Kerberos usará el servidor proxy KDC para un dominio cuando no se pueda encontrar un controlador de dominio en función de las asignaciones configuradas. Para asignar un servidor proxy KDC a un dominio, habilite la configuración de directiva, haga clic en Mostrar y, a continuación, asigne los nombres del servidor proxy KDC al nombre DNS del dominio mediante la sintaxis descrita en el panel de opciones. En el cuadro de diálogo Mostrar contenido de la columna Nombre de valor, escriba un nombre de sufijo DNS. En la columna Valor, escriba la lista de servidores proxy con el formato de sintaxis adecuado. Para ver la lista de asignaciones, habilite la configuración de directiva y haga clic en el botón Mostrar. Para quitar una asignación de la lista, haga clic en la entrada de asignación que se va a quitar y, a continuación, presione la tecla DELETE. Para editar una asignación, quite la entrada actual de la lista y agregue una nueva con parámetros diferentes.

  • Si deshabilita o no establece esta configuración de directiva, el cliente Kerberos no tiene la configuración de servidores proxy de KDC definida por la directiva de grupo.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre Valor
Nombre KdcProxyServer
Nombre descriptivo Especificar servidores proxy KDC para clientes Kerberos
Ubicación Configuración del equipo
Ruta de acceso Kerberos del sistema >
Nombre de la clave del Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
Nombre del valor de registro KdcProxyServer_Enabled
Nombre de archivo ADMX Kerberos.admx

MitRealms

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores
✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores
✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores
✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/MitRealms

Esta configuración de directiva configura el cliente Kerberos para que pueda autenticarse con dominios kerberos V5 interoperables, tal como se define en esta configuración de directiva.

  • Si habilita esta configuración de directiva, puede ver y cambiar la lista de dominios de Kerberos V5 interoperables y su configuración. Para ver la lista de dominios de Kerberos V5 interoperables, habilite la configuración de directiva y, a continuación, haga clic en el botón Mostrar. Para agregar un dominio kerberos V5 interoperable, habilite la configuración de directiva, anote la sintaxis y, a continuación, haga clic en Mostrar. En el cuadro de diálogo Mostrar contenido de la columna Nombre del valor, escriba el nombre del dominio de Kerberos V5 interoperable. En la columna Valor, escriba las marcas de dominio y los nombres de host de los KDC de host con el formato de sintaxis adecuado. Para quitar un nombre de valor del dominio kerberos V5 interoperable o una entrada de valor de la lista, haga clic en la entrada y, a continuación, presione la tecla DELETE. Para editar una asignación, quite la entrada actual de la lista y agregue una nueva con parámetros diferentes.

  • Si deshabilita esta configuración de directiva, se elimina la configuración de dominio de Kerberos V5 interoperable definida por la directiva de grupo.

  • Si no configura esta configuración de directiva, el sistema usa la configuración de dominio de Kerberos V5 interoperable que se definen en el registro local, si existen.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre Valor
Nombre MitRealms
Nombre descriptivo Definición de la configuración del dominio de Kerberos V5 interoperable
Ubicación Configuración del equipo
Ruta de acceso Kerberos del sistema >
Nombre de la clave del Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
Nombre del valor de registro MitRealms_Enabled
Nombre de archivo ADMX Kerberos.admx

ServerAcceptsCompound

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores
✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores
✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores
✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/ServerAcceptsCompound

Esta configuración de directiva controla la configuración de la cuenta de Active Directory del dispositivo para la autenticación compuesta.

La compatibilidad con la autenticación compuesta que se usa para el control de acceso requerirá suficientes controladores de dominio en los dominios de cuenta de recursos para admitir las solicitudes. El administrador de dominio debe configurar la directiva "Support Dynamic Access Control and Kerberos armoring" en todos los controladores de dominio para admitir esta directiva.

  • Si habilita esta configuración de directiva, las siguientes opciones configurarán la cuenta de Active Directory del dispositivo para la autenticación compuesta:

Nunca: la autenticación compuesta nunca se proporciona para esta cuenta de equipo.

Automático: se proporciona autenticación compuesta para esta cuenta de equipo cuando se configuran una o varias aplicaciones para el control de acceso dinámico.

Siempre: la autenticación compuesta siempre se proporciona para esta cuenta de equipo.

  • Si deshabilita esta configuración de directiva, nunca se usará.

  • Si no configura esta configuración de directiva, se usará Automático.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre Valor
Nombre ServerAcceptsCompound
Nombre descriptivo Compatibilidad con la autenticación compuesta
Ubicación Configuración del equipo
Ruta de acceso Kerberos del sistema >
Nombre de la clave del Registro Software\Policies\Microsoft\Netlogon\Parameters
Nombre del valor de registro CompoundIdDisabled
Nombre de archivo ADMX Kerberos.admx

StrictTarget

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores
✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores
✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores
✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/StrictTarget

Esta configuración de directiva le permite configurar este servidor para que Kerberos pueda descifrar un vale que contenga este SPN generado por el sistema. Cuando una aplicación intenta realizar una llamada a procedimiento remoto (RPC) a este servidor con un valor NULL para el nombre principal de servicio (SPN), los equipos que ejecutan Windows 7 o versiones posteriores intentan usar Kerberos mediante la generación de un SPN.

  • Si habilita esta configuración de directiva, solo los servicios que se ejecutan como LocalSystem o NetworkService pueden aceptar estas conexiones. Los servicios que se ejecutan como identidades diferentes de LocalSystem o NetworkService podrían no autenticarse.

  • Si deshabilita o no establece esta configuración de directiva, cualquier servicio puede aceptar conexiones entrantes mediante este SPN generado por el sistema.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre Valor
Nombre StrictTarget
Nombre descriptivo Requerir coincidencia de SPN de destino estricta en llamadas a procedimientos remotos
Ubicación Configuración del equipo
Ruta de acceso Kerberos del sistema >
Nombre de la clave del Registro Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nombre del valor de registro StrictTargetContext
Nombre de archivo ADMX Kerberos.admx

Proveedor de servicios de configuración de directivas