Comment utiliser stratégie de groupe pour ajouter l’entrée de Registre MaxTokenSize à plusieurs ordinateurs

Cet article explique comment utiliser stratégie de groupe pour ajouter l’entrée de Registre MaxTokenSize à plusieurs ordinateurs.

S’applique à : Windows Server 2012 R2, Windows Server 2008 R2 Service Pack 1
Numéro de la base de connaissances d’origine : 938118

Introduction

Sur un contrôleur de domaine exécutant Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012, vous pouvez utiliser stratégie de groupe pour ajouter l’entrée de Registre suivante à plusieurs ordinateurs :

Clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Entrée : MaxTokenSize
Type de données : REG_DWORD
Valeur : 48000

Cet article explique comment procéder, afin que vous puissiez envoyer facilement ce paramètre à tous les membres de vos domaines. Le processus est différent en fonction de la version de Windows Server exécutée par le contrôleur de domaine.

Plus d’informations

Guide pratique pour configurer MaxTokenSize à l’aide de stratégie de groupe Object (GPO) dans Windows Server 2003

Pour ajouter l’entrée de Registre à plusieurs ordinateurs d’un domaine qui n’a pas de contrôleur de domaine basé sur Windows Server 2012, procédez comme suit :

1. Créez un fichier de modèle d’administration (ADM) pour l’entrée de Registre MaxTokenSize. Pour ce faire, procédez comme suit :

   1. Démarrez le Bloc-notes.

   2. Copiez le texte suivant, puis collez-le dans le Bloc-notes :

      MACHINE DE CLASSE

      CATÉGORIE!! TROTTOIR

      KEYNAME « SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters »
      POLITIQUE!! MaxToken
      VALUENAME « MaxTokenSize »
      VALUEON NUMERIC 48000
      VALUEOFF NUMERIC 0
      FIN DE LA STRATÉGIE

      FIN DE CATÉGORIE

      [chaînes]
      KERB="Taille maximale du jeton Kerberos »
      MaxToken="Kerberos MaxTokenSize »

      Remarque

      La valeur de l’entrée de Registre MaxTokenSize est définie sur 48000. Il s’agit de la valeur suggérée.

   3. Enregistrez le document du Bloc-notes sous le nom MaxTokenSize.adm dans le dossier %windir%\Inf\ du contrôleur de domaine que vous utiliserez pour configurer l’objet de stratégie de groupe afin de déployer le paramètre.

   4. Quittez le Bloc-notes.

2. Importez adm dans un objet de stratégie de groupe et définissez l’entrée de Registre MaxTokenSize sur la valeur souhaitée. Pour ce faire, procédez comme suit :

   1. Créez un objet stratégie de groupe (GPO) lié au niveau du domaine ou lié à l’unité d’organisation (UO) qui contient vos comptes d’ordinateur. Vous pouvez également sélectionner un objet de stratégie de groupe déjà déployé.

   2. Ouvrez le Rédacteur d’objet stratégie de groupe. Pour ce faire, cliquez sur Démarrer, sur Exécuter, tapez gpedit.msc, puis cliquez sur OK.

   3. Dans l’arborescence de la console, développez Configuration ordinateur, Modèles d’administration, puis cliquez sur Modèles d’administration.

   4. Dans le menu Action, pointez sur Toutes les tâches, puis cliquez sur Ajouter/Supprimer des modèles.

   5. Cliquez sur Ajouter.

   6. Cliquez pour sélectionner le fichier MaxTokenSize.adm que vous avez créé à l’étape 1, puis cliquez sur Ouvrir.

   7. Cliquez sur Fermer.

   8. Dans le menu Affichage, cliquez sur Filtrage.

   9. Désactivez la case Afficher uniquement les paramètres de stratégie qui peuvent être entièrement gérés case activée, puis cliquez sur OK.

   10. Développez Modèles d’administration, puis cliquez sur Taille maximale du jeton Kerberos.

   11. Cliquez avec le bouton droit sur Kerberos MaxTokenSize dans le volet droit, puis cliquez sur Propriétés pour ouvrir la boîte de dialogue Propriétés.

   12. Cliquez sur Activé, puis cliquez sur OK.

       Remarque

       Pour que l’objet de stratégie de groupe prenne effet, la modification de l’objet de stratégie de groupe doit être répliquée sur tous les contrôleurs de domaine dans le domaine, et les ordinateurs concernés doivent être redémarrés une fois que la stratégie leur est appliquée.

Comment configurer l’entrée de Registre MaxTokenSize à l’aide d’un objet de stratégie de groupe dans Windows Server 2008 et Windows Server 2008 R2

Dans les domaines Windows Server 2008 et Windows Server 2008 R2, vous pouvez utiliser l’extension Registry Client-Side pour déployer la valeur de Registre MaxTokenSize sur plusieurs ordinateurs d’un domaine. Pour créer le paramètre de valeur MaxTokenSize dans un objet de stratégie de groupe, procédez comme suit :

1. Cliquez sur Démarrer, sur Exécuter, tapez gpmc.msc, puis cliquez sur OK pour ouvrir la console de gestion stratégie de groupe.
2. Dans la console de gestion stratégie de groupe, créez un objet de stratégie de groupe lié au niveau du domaine ou lié à l’unité d’organisation qui contient vos comptes d’ordinateur. Vous pouvez également sélectionner un objet de stratégie de groupe déjà déployé.
3. Cliquez avec le bouton droit sur l’objet de stratégie de groupe, puis cliquez sur Modifier pour ouvrir la fenêtre stratégie de groupe Management Rédacteur.
4. Développez Configuration ordinateur, Préférences, puis Paramètres Windows.
5. Cliquez avec le bouton droit sur Registre, pointez sur Nouveau, puis cliquez sur Élément du Registre. La boîte de dialogue Nouvelles propriétés du Registre s’affiche.
6. Dans la liste Action, cliquez sur Créer.
7. Dans la liste Hive, cliquez sur HKEY_LOCAL_MACHINE.
8. Dans la liste Chemin de clé, cliquez sur SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
9. Dans la zone Nom de la valeur, tapez MaxTokenSize.
10. Dans la zone Type de valeur, cliquez pour sélectionner la zone REG_DWORD case activée.
11. Dans la zone Données de la valeur, tapez 48000.
12. En regard de Base, cliquez pour sélectionner la zone Case activée décimale.
13. Cliquez sur OK.

Comment configurer l’entrée de Registre MaxTokenSize à l’aide de l’objet de stratégie de groupe dans Windows Server 2012

Pour déployer la valeur de l’entrée de Registre MaxTokenSize dans un domaine qui a des contrôleurs de domaine basés sur Windows Server 2012, procédez comme suit :

1. Ouvrez Gestionnaire de serveur, cliquez sur Outils, puis sur stratégie de groupe Gestion pour ouvrir la console de gestion stratégie de groupe.
2. Dans la console de gestion stratégie de groupe, créez un objet de stratégie de groupe lié au niveau du domaine ou lié à l’unité d’organisation qui contient vos comptes d’ordinateur. Vous pouvez également sélectionner un objet de stratégie de groupe déjà déployé.
3. Cliquez avec le bouton droit sur l’objet de stratégie de groupe, puis cliquez sur Modifier pour ouvrir la fenêtre stratégie de groupe Management Rédacteur.
4. Développez Configuration ordinateur, Stratégies, puis Modèles d’administration.
5. Développez Système, puis cliquez sur Kerberos.
6. Cliquez avec le bouton droit sur Définir la taille maximale de la mémoire tampon du jeton de contexte SSPI Kerberos dans le volet droit, puis cliquez sur Modifier.
7. Cliquez sur Activé, puis tapez 48000 dans la zone Taille maximale.
8. Cliquez sur OK.

References

Pour plus d’informations sur l’entrée de Registre MaxTokenSize, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :
327825 Nouvelle résolution des problèmes liés à l’authentification Kerberos lorsque les utilisateurs appartiennent à de nombreux groupes