如何使用 [群組原則],請將 MaxTokenSize 登錄項目新增到多部電腦

文章翻譯 文章翻譯
文章編號: 938118 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

簡介

正在執行 Windows Server 2003、 Windows Server 2008,Windows Server 2008 R2 或 Windows Server 2012 網域控制站,您可以使用群組原則,將下列的登錄項目新增到多部電腦:
機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

項目: MaxTokenSize
資料型別: REG_DWORD
值: 48000
本文將告訴如何這麼做,以便您可以這項設定容易發送到您的網域中的所有成員。此處理序不同,視的網域控制站正在執行的 Windows Server 版本而定。

附註MaxTokenSize 允許最大值是 65535 位元組。不過,因為發生 HTTP 的 base64 編碼的驗證內容語彙基元,我們不建議您將 maxTokenSize 登錄項目設為大於 48000 位元組。Windows Server 2012 起始值,MaxTokenSize 登錄項目的預設值為 48000 位元組。

其他相關資訊

如何使用 [Windows Server 2003 中的 [群組原則物件 (GPO) 中設定 MaxTokenSize

若要新增的登錄項目沒有 Windows Server 2012 為基礎的網域控制站的網域中的多台電腦,請遵循下列步驟:
  1. 建立系統管理範本 (ADM) 檔 MaxTokenSize 登錄項目。若要這麼做,請依照下列步驟執行:
    1. 啟動 [記事本]。
    2. 複製下列文字,並接著將文字貼入 「 記事本 」 中:
      CLASS MACHINE

      CATEGORY !!KERB

      KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
      POLICY !!MaxToken
      VALUENAME "MaxTokenSize"
      VALUEON NUMERIC 48000
      VALUEOFF NUMERIC 0
      END POLICY

      END CATEGORY

      [strings]
      KERB="Kerberos Maximum Token Size"
      MaxToken="Kerberos MaxTokenSize"

      附註MaxTokenSize 登錄項目的值設定為 48000。這是建議的值。
    3. 存 MaxTokenSize.adm [%windir%\Inf\] 資料夾中的記事本文件中您要用來設定的 GPO,才能部署設定網域控制站上。
    4. 結束 [記事本]。
  2. ADM 匯入 GPO 並將 MaxTokenSize 登錄項目為所要的值。若要這麼做,請依照下列步驟執行:
    1. 建立新群組原則物件 (GPO) 的連結在網域層級,或者又連結到包含您的電腦帳戶組織單位 (OU)。或者,您也可以選擇一個已部署的 GPO。
    2. 開啟 [群組原則物件編輯器]。若要這樣做,請按一下 [開始]、 按一下 [執行]、 輸入gpedit.msc,,然後按一下[確定]
    3. 在主控台樹狀目錄中,展開 [電腦設定],展開 [系統管理範本],然後按一下系統管理範本]
    4. 在 [動作] 功能表指向 [所有工作],然後按一下 [新增/移除範本
    5. 按一下 [新增]。
    6. 按一下以選取您在步驟 1 所建立的 MaxTokenSize.adm 檔案,然後按一下 [開啟
    7. 按一下 [關閉]。
    8. 按一下 [檢視] 功能表的 [篩選]。
    9. 按一下以清除 [只顯示可以完全管理的原則設定] 核取方塊,然後再按[確定]
    10. 展開系統管理範本],然後按一下Kerberos Maximum 的語彙基元大小
    11. Kerberos MaxTokenSize在右邊窗格中,按一下滑鼠右鍵,然後按一下 [內容],以開啟 [屬性] 對話方塊。
    12. 按一下 [已啟用],然後按一下[確定]

      附註Gpo 才會生效,GPO 的變更必須複寫到網域中的所有網域控制站,對它們套用原則之後,必須重新啟動受影響的電腦。

如何使用 Windows Server 2008 中,並在 Windows Server 2008 R2 的 GPO 設定 MaxTokenSize 登錄項目

在 Windows Server 2008 的網域和 Windows Server 2008 R2 網域中,您可以使用登錄的用戶端延伸,來部署到多部電腦在網域中的 MaxTokenSize 登錄值。在 MaxTokenSize 的 [值] 設定中建立 GPO,請依照下列步驟執行:
  1. 按一下 [開始]、 按一下 [執行],鍵入gpmc.msc 取得,,然後按一下[確定]以開啟 [群組原則管理主控台。
  2. 在 [群組原則管理] 主控台中,建立一個新的 GPO,連結網域層級,或者又連結到包含您的電腦帳戶的 OU。或者,您可以選取已部署的 GPO。
  3. GPO 中,按一下滑鼠右鍵,然後按一下 [編輯] 以開啟 [群組原則管理編輯器] 視窗。
  4. 展開 [電腦設定、 展開喜好設定],然後展開 [ Windows 設定
  5. 登錄上按一下滑鼠右鍵,指向 [新增],然後按一下登錄項目新的登錄屬性] 對話方塊隨即出現。
  6. 在 [動作] 清單中,按一下 [建立]。
  7. hive 控制檔] 清單中,按一下 []。
  8. 機碼路徑] 清單中,按一下 [ SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]。
  9. 在 [數值名稱] 方塊中,輸入MaxTokenSize
  10. 實值型別] 方塊中,按一下以選取REG_DWORD ] 核取方塊。
  11. 在 [數值資料] 方塊中,輸入48000
  12. 基底,旁邊按一下以選取 [小數點] 核取方塊。
  13. 按一下[確定]
附註Gpo 才會生效,GPO 的變更必須複寫到網域中的所有網域控制站,他們在套用原則之後,必須重新啟動受影響的電腦。

如何在 Windows Server 2012 使用 GPO 設定 MaxTokenSize 登錄項目

若要部署的 MaxTokenSize 登錄項目,在 Windows Server 2012 為基礎的網域控制站的網域中的值,請遵循下列步驟:
  1. 開啟 [伺服器管理員],按一下 [工具],然後按一下群組原則管理],以開啟 [群組原則管理主控台。
  2. 在 [群組原則管理] 主控台中,建立一個新的 GPO,連結網域層級,或者又連結到包含您的電腦帳戶的 OU。或者,您也可以選擇一個已部署的 GPO。
  3. GPO 中,按一下滑鼠右鍵,然後按一下 [編輯] 以開啟 [群組原則管理編輯器] 視窗。
  4. 展開 [電腦設定,展開 [原則],然後展開 [系統管理範本]
  5. 展開 [系統],然後按一下 [ Kerberos。
  6. 以滑鼠右鍵按一下將最大的 Kerberos SSPI 內容語彙基元的緩衝區大小設定在右邊窗格中,並再按一下 [編輯
  7. 按一下 [已啟用],然後在 [最大值] 方塊中鍵入48000
  8. 按一下[確定]
備忘稿
  • Gpo 才會生效,GPO 的變更必須複寫到網域中的所有網域控制站,他們在套用原則之後,必須重新啟動受影響的電腦。
  • 在 Windows Server 2012 和 Windows 8,則會加入 [設定最大 Kerberos SSPI 內容語彙基元的緩衝區大小] 原則設定。在 Windows XP 中、 在 Windows Server 2003、 Windows Vista 中、 Windows Server 2008 中、 在 Windows 7 及在 Windows Server 2008 R2 支援這項原則設定。若要使用此群組原則設定,您必須編輯 GPO,在 Windows Server 2012 版本或已安裝 RSAT 工具的 Windows 8。

?考

如需有關如何撰寫自訂的.adm 檔案的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
225087在 [系統原則編輯器] 來撰寫自訂 ADM 檔案
如需有關 MaxTokenSize 登錄項目的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文
327825 新的解析度,對於 Kerberos 驗證,當使用者屬於多個群組的問題

屬性

文章編號: 938118 - 上次校閱: 2012年8月15日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
關鍵字:?
kbexpertiseinter kbhowto kbinfo kbmt KB938118 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:938118
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com