如何使用组策略将 MaxTokenSize 注册表项添加到多台计算机

文章翻译 文章翻译
文章编号: 938118 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

在域控制器上运行 Windows Server 2003,Windows Server 2008,Windows Server 2008 R2 或 Windows Server 2012,您可以使用组策略在多台计算机中添加以下注册表项:
密钥:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

项: MaxTokenSize
数据类型: REG_DWORD
值: 48000
本文介绍如何执行此操作,以便您可以轻松地将此设置推送到您的域中的所有成员。过程是不同的具体取决于 Windows 服务器的域控制器正在运行的版本。

注意MaxTokenSize 的最大允许的值为 65535 个字节。但是,由于 HTTP 的 base64 编码的身份验证上下文令牌,我们不建议将 maxTokenSize 注册表项值超过 48000 个字节。从 Windows Server 2012,MaxTokenSize 注册表项的默认值是 48000 字节为单位)。

更多信息

如何在 Windows Server 2003 中使用组策略对象 (GPO) 中配置 MaxTokenSize

要添加没有基于 Windows Server 2012 的域控制器的域中的多台计算机的注册表项,请执行以下步骤:
  1. 创建管理模板 (ADM) 文件 MaxTokenSize 注册表项。若要执行此操作,请执行以下步骤:
    1. 启动记事本。
    2. 复制下面的文本,然后将文本粘贴到记事本中:
      CLASS MACHINE

      CATEGORY !!KERB

      KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
      POLICY !!MaxToken
      VALUENAME "MaxTokenSize"
      VALUEON NUMERIC 48000
      VALUEOFF NUMERIC 0
      END POLICY

      END CATEGORY

      [strings]
      KERB="Kerberos Maximum Token Size"
      MaxToken="Kerberos MaxTokenSize"

      注意MaxTokenSize 注册表项的值设置为 48000。这是建议的值。
    3. 作为 MaxTokenSize.adm 的 %windir%\Inf\ 文件夹中保存记事本文档,您将使用它来配置部署设置的 GPO 的域控制器上。
    4. 退出记事本。
  2. 向 GPO 导入 ADM,将 MaxTokenSize 注册表项设置为所需值。若要执行此操作,请执行以下步骤:
    1. 创建一个新组策略对象 (GPO),在域级别链接或链接到包含您的计算机帐户的组织单位 (OU)。或者,选择一个已部署的 GPO。
    2. 打开组策略对象编辑器。若要执行此操作,单击开始运行键入gpedit.msc和,然后单击确定
    3. 在控制台树中,展开计算机配置,展开管理模板,然后单击管理模板
    4. 操作菜单上,指向所有任务,然后单击添加/删除模板
    5. 单击添加
    6. 单击以选中您在步骤 1 中创建的 MaxTokenSize.adm 文件,然后单击打开
    7. 单击关闭
    8. 视图菜单上,单击筛选
    9. 单击以清除只显示能完全管理的策略设置复选框,然后单击确定
    10. 展开管理模板,然后单击Kerberos Maximum 令牌的大小
    11. Kerberos MaxTokenSize在右侧窗格中,右键单击,然后单击属性以打开属性对话框。
    12. 单击启用,然后单击确定

      注意Gpo 生效、 GPO 更改,必须将复制到所有域控制器的域中,必须重新启动受影响的计算机之后对其应用该策略。

如何通过使用 Windows Server 2008 中,Windows Server 2008 R2 中的 GPO 中配置的 MaxTokenSize 注册表项

在 Windows Server 2008 的域和 Windows Server 2008 R2 的域中,可以使用注册表的客户端扩展到多台计算机在域中部署的 MaxTokenSize 注册表值。在 GPO 中创建的 MaxTokenSize 值设置,请执行以下步骤:
  1. 单击开始,单击运行,键入gpmc.msc,然后单击确定以打开组策略管理控制台。
  2. 在组策略管理控制台中,创建一个新的 GPO 在域级别链接或链接到包含您的计算机帐户的 OU。或者,您可以选择一个已部署的 GPO。
  3. 用鼠标右键单击该 GPO,,然后单击编辑以打开组策略管理编辑器窗口。
  4. 展开计算机配置,展开首选项、 然后展开Windows 设置
  5. 用鼠标右键单击注册表,指向新建,然后单击注册表项。出现新建注册表属性对话框。
  6. 操作列表中,单击创建
  7. 配置单元列表中,单击特定
  8. 关键路径列表中,单击SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  9. 框中,键入MaxTokenSize
  10. 值类型框中,单击以选中REG_DWORD复选框。
  11. 数值数据框中,键入48000
  12. ,旁边单击以选择十进制复选框。
  13. 单击确定
注意Gpo 生效,必须将 GPO 更改复制到所有域控制器的域中,必须重新启动受影响的计算机,它们在应用策略后。

如何通过使用 Windows Server 2012 中的 GPO 中配置 MaxTokenSize 注册表项

若要部署基于 Windows Server 2012 的域控制器的域中的 MaxTokenSize 注册表项的值,请执行以下步骤:
  1. 打开服务器管理器,单击工具,然后单击组策略管理以打开组策略管理控制台。
  2. 在组策略管理控制台中,创建一个新的 GPO 在域级别链接或链接到包含您的计算机帐户的 OU。或者,选择一个已部署的 GPO。
  3. 用鼠标右键单击该 GPO,,然后单击编辑以打开组策略管理编辑器窗口。
  4. 展开计算机配置,展开策略,然后展开管理模板
  5. 展开系统,然后单击Kerberos。
  6. 右键单击右侧窗格中,在最大的 Kerberos SSPI 上下文令牌的缓冲区大小设置,然后单击编辑
  7. 单击启用,然后在最大文件大小框中键入48000
  8. 单击确定
注释
  • Gpo 生效,必须将 GPO 更改复制到所有域控制器的域中,必须重新启动受影响的计算机,它们在应用策略后。
  • 在 Windows Server 2012 和在 Windows 8 中添加设置最大 Kerberos SSPI 上下文令牌缓冲区大小策略设置。在 Windows XP、 Windows Server 2003 中、 在 Windows Vista 中,Windows Server 2008 中、 在 Windows 7 中,和 Windows Server 2008 R2 中支持的策略设置。若要使用此组策略设置,您必须编辑 GPO 中 Windows Server 2012 的版本或已安装 RSAT 工具的 Windows 8 中。

参考

有关如何编写自定义.adm 文件的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
225087 编写自定义 ADM 文件的系统策略编辑器
有关 MaxTokenSize 注册表项的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章
327825 新的解决办法使用 Kerberos 身份验证,当用户属于多个组时的问题

属性

文章编号: 938118 - 最后修改: 2014年6月21日 - 修订: 2.0
这篇文章中的信息适用于:
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Web Edition
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
关键字:?
kbexpertiseinter kbhowto kbinfo kbmt KB938118 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 938118
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com