Cómo usar directiva de grupo para agregar la entrada del Registro MaxTokenSize a varios equipos

En este artículo se describe cómo usar directiva de grupo para agregar la entrada del Registro MaxTokenSize a varios equipos.

Se aplica a: Windows Server 2012 R2, Windows Server 2008 R2 Service Pack 1
Número de KB original: 938118

Introducción

En un controlador de dominio que ejecuta Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012, puede usar directiva de grupo para agregar la siguiente entrada del Registro a varios equipos:

Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Entrada: MaxTokenSize
Tipo de datos: REG_DWORD
Valor: 48000

En este artículo se describe cómo hacerlo, para que pueda insertar esta configuración en todos los miembros de los dominios fácilmente. El proceso es diferente, en función de la versión de Windows Server que esté ejecutando el controlador de dominio.

Más información

Cómo configurar MaxTokenSize mediante directiva de grupo Object (GPO) en Windows Server 2003

Para agregar la entrada del Registro a varios equipos de un dominio que no tiene un controlador de dominio basado en Windows Server 2012, siga estos pasos:

1. Cree un archivo de plantilla administrativa (ADM) para la entrada del Registro MaxTokenSize. Para ello, siga estos pasos:

   1. Inicie el Bloc de notas.

   2. Copie el texto siguiente y pegue el texto en el Bloc de notas:

      MÁQUINA DE CLASES

      ¡¡CATEGORÍA!! BORDILLO

      KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
      ¡¡POLÍTICA!! MaxToken
      VALUENAME "MaxTokenSize"
      VALUEON NUMERIC 48000
      VALUEOFF NUMERIC 0
      DIRECTIVA DE FINALIZACIÓN

      CATEGORÍA FINAL

      [cadenas]
      KERB="Tamaño máximo de token de Kerberos"
      MaxToken="Kerberos MaxTokenSize"

      Nota:

      El valor de la entrada del Registro MaxTokenSize se establece en 48000. Este es el valor sugerido.

   3. Guarde el documento del Bloc de notas como MaxTokenSize.adm en la carpeta %windir%\Inf\ del controlador de dominio que usará para configurar el GPO para implementar la configuración.

   4. Salga del Bloc de notas.

2. Importe el ADM en un GPO y establezca la entrada del Registro MaxTokenSize en el valor deseado. Para ello, siga estos pasos:

   1. Cree un nuevo objeto de directiva de grupo (GPO) que esté vinculado en el nivel de dominio o que esté vinculado a la unidad organizativa (OU) que contiene las cuentas de equipo. O bien, seleccione un GPO que ya esté implementado.

   2. Abra el Editor de objeto directiva de grupo. Para ello, haga clic en Inicio, en Ejecutar, escriba gpedit.mscy, a continuación, haga clic en Aceptar.

   3. En el árbol de consola, expanda Configuración del equipo, plantillas administrativasy, a continuación, haga clic en Plantillas administrativas.

   4. En el menú Acción, seleccione Todas las tareas y, a continuación, haga clic en Agregar o quitar plantillas.

   5. Haga clic en Agregar.

   6. Haga clic para seleccionar el archivo MaxTokenSize.adm que creó en el paso 1 y, a continuación, haga clic en Abrir.

   7. Haga clic en Cerrar.

   8. En el menú Ver, haga clic en Filtrado.

   9. Haga clic para desactivar la casilla Mostrar solo la configuración de directiva que se puede administrar completamente y, a continuación, haga clic en Aceptar.

   10. Expanda Plantillas administrativas y, a continuación, haga clic en Tamaño máximo de token de Kerberos.

   11. Haga clic con el botón derecho en Kerberos MaxTokenSize en el panel derecho y, a continuación, haga clic en Propiedades para abrir el cuadro de diálogo Propiedades.

   12. Haga clic en Habilitada y, a continuación, en Aceptar.

       Nota:

       Para que el GPO surta efecto, el cambio de GPO debe replicarse en todos los controladores de dominio del dominio y los equipos afectados deben reiniciarse después de aplicarles la directiva.

Cómo configurar la entrada del Registro MaxTokenSize mediante GPO en Windows Server 2008 y en Windows Server 2008 R2

En dominios de Windows Server 2008 y en dominios de Windows Server 2008 R2, puede usar la extensión de Client-Side del Registro para implementar el valor del Registro MaxTokenSize en varios equipos de un dominio. Para crear el valor de MaxTokenSize en un GPO, siga estos pasos:

1. Haga clic en Inicio, en Ejecutar, escriba gpmc.msc y, a continuación, haga clic en Aceptar para abrir la consola de administración de directiva de grupo.
2. En la consola de administración de directiva de grupo, cree un nuevo GPO que esté vinculado en el nivel de dominio o que esté vinculado a la unidad organizativa que contiene las cuentas de equipo. O bien, puede seleccionar un GPO que ya esté implementado.
3. Haga clic con el botón derecho en el GPO y, a continuación, haga clic en Editar para abrir la ventana Editor administración de directiva de grupo.
4. Expanda Configuración del equipo, preferenciasy, a continuación, expanda Configuración de Windows.
5. Haga clic con el botón derecho en Registro, seleccione Nuevoy, a continuación, haga clic en Elemento del Registro. Aparece el cuadro de diálogo Nuevas propiedades del Registro.
6. En la lista Acción, haga clic en Crear.
7. En la lista de Hive, haga clic en HKEY_LOCAL_MACHINE.
8. En la lista Ruta de acceso de clave, haga clic en SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
9. En el cuadro Nombre del valor, escriba MaxTokenSize.
10. En el cuadro Tipo de valor, haga clic para activar la casilla REG_DWORD.
11. En el cuadro Datos de valor, escriba 48000.
12. Junto a Base, haga clic para activar la casilla Decimal.
13. Haga clic en Aceptar.

Cómo configurar la entrada del Registro MaxTokenSize mediante GPO en Windows Server 2012

Para implementar el valor de la entrada del Registro MaxTokenSize en un dominio que tiene controladores de dominio basados en Windows Server 2012, siga estos pasos:

1. Abra Administrador del servidor, haga clic en Herramientasy, a continuación, haga clic en Administración de directiva de grupo para abrir la consola de administración de directiva de grupo.
2. En la consola de administración de directiva de grupo, cree un nuevo GPO que esté vinculado en el nivel de dominio o que esté vinculado a la unidad organizativa que contiene las cuentas de equipo. O bien, seleccione un GPO que ya esté implementado.
3. Haga clic con el botón derecho en el GPO y, a continuación, haga clic en Editar para abrir la ventana Editor administración de directiva de grupo.
4. Expanda Configuración del equipo, directivasy, a continuación, expanda Plantillas administrativas.
5. Expanda Sistemay, a continuación, haga clic en Kerberos.
6. Haga clic con el botón derecho en Establecer el tamaño máximo del búfer de token de contexto de Kerberos SSPI en el panel derecho y, a continuación, haga clic en Editar.
7. Haga clic en Habilitado y escriba 48000 en el cuadro Tamaño máximo.
8. Haga clic en Aceptar.

Referencias

Para obtener más información sobre la entrada del Registro MaxTokenSize, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
327825 Nueva resolución de problemas con la autenticación Kerberos cuando los usuarios pertenecen a muchos grupos