Kerberos ポリシー

  • [アーティクル]

Kerberos チケット ポリシーはドメイン レベルで定義され、ドメインの キー配布センター (KDC) によって実装されます。 Kerberos ポリシーは、ドメイン セキュリティ ポリシーの属性のサブセットとして Active Directory に格納されます。 既定では、ポリシー オプションはドメイン管理者グループのメンバーのみが設定できます。 ドメイン ポリシーには、次のオプションが含まれます。

  • 後日のチケットをサポートする
  • 制約付き委任のサポート (Windows Server 2003 のみ)
  • 転送可能なサポート チケット
  • 更新可能なチケットをサポートする
  • チケットの最大有効期間を設定する
  • 更新期間の上限を設定する
  • プロキシ チケットの最大有効期間を設定する
  • チケットの有効期限が切れたときにユーザーを強制的にログオフする

制約付き委任では、特定のサービスの一覧にのみ資格情報を転送できるようにコンピューターを設定できます。 これらのサービスは、資格情報を転送するコンピューターと同じドメインに存在する必要があります。 制約付き委任では、チケットはクライアントからサーバーに送信されなくなります。 サーバー コンピューターは、クライアントの認証に使用される情報から、必要に応じて転送するサービス チケットを作成します。

ドメインの Kerberos ポリシーでは、チケットの転送を許可することで委任された認証が許可される場合がありますが、ポリシーのその側面がすべてのユーザーまたはすべてのコンピューターに適用される必要はありません。 個々のユーザー アカウントの属性を設定して、任意のサーバーによるそのユーザーの資格情報の転送 無効にすることができます。 個々のコンピューターのアカウントの属性を設定して、任意のユーザーからの資格情報の転送を無効にすることができます。 どちらの場合も、Active Directory の組織単位内のすべてのユーザーまたはすべてのコンピューターに適用するグループ ポリシーを作成することで、委任を無効にすることができます。

Windows XP/2000: 制約付き委任はサポートされていません。