如何使用组策略将 MaxTokenSize 注册表项添加到多台计算机

文章翻译 文章翻译
文章编号: 938118 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

上正在运行 Windows Server 2003、 Windows Server 2008、 Windows Server 2008 R2 或 Windows 服务器 2012年的域控制器,可以使用组策略在多台计算机中添加下面的注册表项:
密钥:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

项: MaxTokenSize
数据类型: REG_DWORD
值: 48000
本文介绍如何执行此操作,以便您可以轻松地将此设置推送到您的域的所有成员。过程是不同的这取决于域控制器正在运行的 Windows 服务器的版本。

注意MaxTokenSize 的最大允许的值为 65535 个字节。但是,由于 HTTP 的 base64 编码的身份验证上下文令牌,我们不建议设置 maxTokenSize 注册表项的值大于 48000 字节为单位)。从 Windows 服务器 2012年开始,MaxTokenSize 注册表项的默认值为 48000 的字节。

更多信息

如何通过使用 Windows Server 2003 中的组策略对象 (GPO) 中配置 MaxTokenSize

若要添加未安装基于 Windows 服务器 2012年的域控制器的域中的多台计算机的注册表项,请按照下列步骤:
  1. 创建管理模板 (ADM) 文件 MaxTokenSize 注册表项。请执行以下步骤:
    1. 启动记事本。
    2. 复制以下文本,并将文本粘贴到记事本中:
      CLASS MACHINE

      CATEGORY !!KERB

      KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
      POLICY !!MaxToken
      VALUENAME "MaxTokenSize"
      VALUEON NUMERIC 48000
      VALUEOFF NUMERIC 0
      END POLICY

      END CATEGORY

      [strings]
      KERB="Kerberos Maximum Token Size"
      MaxToken="Kerberos MaxTokenSize"

      注意MaxTokenSize 注册表项的值设置为 48000。这是建议的值。
    3. 记事本文档另存为 %windir%\Inf\ 文件夹中的 MaxTokenSize.adm 将用于配置要部署的设置的 GPO 的域控制器上。
    4. 退出记事本。
  2. 导入一个 GPO 的 ADM,并将 MaxTokenSize 注册表项设置为所需的值。请执行以下步骤:
    1. 创建新组策略对象 (GPO),在域级别链接或链接到包含您的计算机帐户的组织单位 (OU)。或者,选择一个已部署的 GPO。
    2. 打开组策略对象编辑器。若要执行此操作,请单击开始运行,键入gpedit.msc,然后单击确定
    3. 在控制台树中,展开计算机配置,展开管理模板,然后单击管理模板
    4. 操作菜单上指向所有任务,然后单击添加/删除模板
    5. 单击添加
    6. 单击以选择您在步骤 1 中创建的 MaxTokenSize.adm 文件,然后单击打开
    7. 单击关闭
    8. 单击视图菜单上的筛选
    9. 单击以清除只显示能完全管理的策略设置复选框,然后单击确定
    10. 展开管理模板,然后单击Kerberos Maximum 令牌大小
    11. 用鼠标Kerberos MaxTokenSize在右侧窗格中,右键单击,然后单击属性以打开属性对话框。
    12. 单击启用,然后单击确定

      注意Gpo 生效,GPO 更改必须复制到的域中的所有域控制器,该策略应用到这些后必须重新启动受影响的计算机。

如何通过使用 GPO,Windows Server 2008 中和在 Windows Server 2008 R2 配置 MaxTokenSize 注册表项

在 Windows Server 2008 域和 Windows Server 2008 R2 域中,您可以使用注册表客户端扩展到域中的多台计算机部署 MaxTokenSize 注册表值。若要创建 GPO 中的 MaxTokenSize 值设置,请按照下列步骤:
  1. 单击开始运行,键入gpmc.msc,然后单击确定以打开组策略管理控制台。
  2. 在组策略管理控制台中,创建一个新的 GPO 的域级别链接或链接到包含您的计算机帐户的 OU。或者,您可以选择一个已部署的 GPO。
  3. 用鼠标右键单击该 GPO,,然后单击编辑以打开组策略管理编辑器窗口。
  4. 展开计算机配置,展开首选项,然后展开Windows 设置
  5. 用鼠标右键单击注册表,指向新建,然后单击注册表项。显示新注册表的属性对话框。
  6. 操作列表中,单击创建
  7. 配置单元列表中,单击存储
  8. 键路径列表中,单击SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  9. 数值名称框中,键入MaxTokenSize
  10. 值类型框中,单击以选择REG_DWORD复选框。
  11. 数值数据框中,键入48000
  12. ,旁边单击以选择十进制复选框。
  13. 单击确定
注意Gpo 生效,GPO 更改必须复制到的域中的所有域控制器,必须重新启动受影响的计算机之后将策略应用。

如何在 Windows 服务器 2012年通过 GPO 中配置 MaxTokenSize 注册表项

若要部署基于 Windows 服务器 2012年的域控制器的域中的 MaxTokenSize 注册表项的值,请按照下列步骤:
  1. 打开服务器管理器,单击工具,然后单击组策略管理以打开组策略管理控制台。
  2. 在组策略管理控制台中,创建一个新的 GPO 的域级别链接或链接到包含您的计算机帐户的 OU。或者,选择一个已部署的 GPO。
  3. 用鼠标右键单击该 GPO,,然后单击编辑以打开组策略管理编辑器窗口。
  4. 展开计算机配置,展开策略,然后展开管理模板
  5. 展开系统,然后使用Kerberos。
  6. 在右侧窗格中,右键单击最大 Kerberos SSPI 上下文令牌的缓冲区大小设置,然后单击编辑
  7. 单击启用,然后在最大文件大小框中键入48000
  8. 单击确定
备注
  • Gpo 生效,GPO 更改必须复制到的域中的所有域控制器,必须重新启动受影响的计算机之后将策略应用。
  • 在 Windows 服务器 2012年和 Windows 8 中添加设置最大 Kerberos SSPI 上下文令牌的缓冲区大小策略设置。在 Windows XP、 Windows Server 2003 中、 在 Windows Vista 中、 Windows Server 2008 中、 在 Windows 7 中,以及 Windows Server 2008 R2 支持策略设置。若要使用此组策略设置,则必须编辑 GPO 的 Windows 服务器 2012年版本中或已安装的 RSAT 工具的 Windows 8 中。

参考

有关如何编写自定义.adm 文件的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
225087编写自定义 ADM 文件的系统策略编辑器
有关 MaxTokenSize 注册表项的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章
327825 新的解决办法时用户属于多个组的 Kerberos 身份验证问题

属性

文章编号: 938118 - 最后修改: 2012年8月15日 - 修订: 1.0
这篇文章中的信息适用于:
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Web Edition
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
关键字:?
kbexpertiseinter kbhowto kbinfo kbmt KB938118 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 938118
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com