如何使用群組原則將 MaxTokenSize 登錄項目加入至多部電腦

文章翻譯 文章翻譯
文章編號: 938118 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

簡介

在執行 Windows Server 2003,Windows Server 2008,Windows Server 2008 R2 或 Windows Server 2012 網域控制站,您可以使用群組原則,將下列的登錄項目新增到多部電腦:
機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

項目: MaxTokenSize
資料型別: REG_DWORD
值: 48000
本文說明如何這麼做,以便您可以這項設定容易發送到您的網域中的所有成員。處理程序是不同的網域控制站正在執行的 Windows Server 版本不同。

附註MaxTokenSize 允許最大值為 65535 位元組。不過,因為發生 HTTP 的 base64 編碼的驗證內容語彙基元,我們不建議您將 maxTokenSize 登錄項目設為大於 48000 位元組。從 Windows Server 2012 開始,MaxTokenSize 登錄項目的預設值為 48000 位元組。

其他相關資訊

如何設定 Windows Server 2003 中使用群組原則物件 (GPO) MaxTokenSize

若要新增的登錄項目沒有 Windows Server 2012 為基礎的網域控制站的網域中的多台電腦,請依照下列步驟執行:
  1. 建立系統管理範本 (ADM) 檔案,MaxTokenSize 登錄項目。若要這樣做,請依照下列步驟執行:
    1. 啟動 [記事本]。
    2. 複製下列文字,並將文字貼入 「 記事本 」:
      CLASS MACHINE

      CATEGORY !!KERB

      KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
      POLICY !!MaxToken
      VALUENAME "MaxTokenSize"
      VALUEON NUMERIC 48000
      VALUEOFF NUMERIC 0
      END POLICY

      END CATEGORY

      [strings]
      KERB="Kerberos Maximum Token Size"
      MaxToken="Kerberos MaxTokenSize"

      附註MaxTokenSize 登錄項目的值設定為 48000。這是建議的值。
    3. 存 MaxTokenSize.adm %windir%\Inf\ 資料夾中的 [記事本] 文件儲存在您要用來設定部署設定 GPO 的網域控制站上。
    4. 結束 [記事本]。
  2. 將 GPO 匯入 ADM 並將 MaxTokenSize 登錄項目設定為所要的值。若要這樣做,請依照下列步驟執行:
    1. 建立新群組原則物件 (GPO) 的連結在網域層級,或者,連結到包含您的電腦帳戶的組織單位 (OU)。或者,選取已部署的 GPO。
    2. 開啟 [群組原則物件編輯器]。若要這樣做,請按一下 [開始]、 按一下 [執行]、 輸入gpedit.msc,,然後按一下[確定]
    3. 在主控台樹狀目錄中,展開 [電腦設定],展開 [系統管理範本],然後按一下系統管理範本
    4. 在 [動作] 功能表上指向 [所有工作],然後按一下 [新增/移除範本
    5. 按一下 [新增]。
    6. 按一下以選取您在步驟 1 中建立的 MaxTokenSize.adm 檔案,然後按一下 [開啟
    7. 按一下 [關閉]。
    8. 按一下 [檢視] 功能表的 [篩選]。
    9. 按一下以清除 [只顯示可以完全管理的原則設定] 核取方塊,然後再按一下[確定]
    10. 展開 [系統管理範本],然後按一下 [ Kerberos Maximum 的語彙基元大小
    11. Kerberos MaxTokenSize在右邊窗格中,按一下滑鼠右鍵,然後按一下 [屬性] 以開啟 [屬性] 對話方塊。
    12. 按一下 [啟用],然後按一下[確定]

      附註Gpo 才會生效,GPO 變更必須複寫到網域中的所有網域控制站,即可套用原則之後,必須重新啟動受影響的電腦。

如何在 Windows Server 2008 中,並在 Windows Server 2008 R2 使用 GPO 來設定 MaxTokenSize 登錄項目

在 Windows Server 2008 網域和 Windows Server 2008 R2 網域中,您可以使用登錄用戶端延伸到多部電腦在網域中部署 MaxTokenSize 登錄值。若要建立的 MaxTokenSize 值設定在 GPO 中,請依照下列步驟執行:
  1. 按一下 [開始],按一下 [執行],輸入gpmc.msc 取得,,然後按一下[確定]以開啟 [群組原則管理主控台。
  2. 在 [群組原則管理] 主控台中,建立新的 GPO,連結在網域層級,或者,連結到包含您的電腦帳戶的 OU。或者,您可以選取已部署的 GPO。
  3. 以滑鼠右鍵按一下 GPO,然後按一下 [[編輯] 以開啟 [群組原則管理編輯器] 視窗。
  4. 展開 [電腦設定、 展開 [喜好設定],然後展開 [ Windows 設定
  5. 登錄上按一下滑鼠右鍵,指向 [新增],然後按一下登錄項目新的登錄屬性] 對話方塊隨即出現。
  6. 在 [動作] 清單中,按一下 [建立]。
  7. hive 控制檔] 清單中,按一下 []。
  8. 機碼路徑] 清單中,按一下 [ SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]。
  9. 在 [數值名稱] 方塊中,輸入MaxTokenSize
  10. 實值型別] 方塊中,按一下以選取REG_DWORD核取方塊。
  11. 在 [數值資料] 方塊中,鍵入 [ 48000
  12. 基底,旁邊按一下以選取 [小數點] 核取方塊。
  13. 按一下[確定]
附註GPO 的才會生效,GPO 變更必須複寫到網域中的所有網域控制站,它們套用原則之後,必須重新啟動受影響的電腦。

如何在 Windows Server 2012 使用 GPO 來設定 MaxTokenSize 登錄項目

若要部署的 MaxTokenSize 登錄項目,在 Windows Server 2012 為基礎的網域控制站的網域中的值,請依照下列步驟執行:
  1. 開啟 [伺服器管理員],按一下 [工具],然後按一下以開啟 [群組原則管理主控台的群組原則管理
  2. 在 [群組原則管理] 主控台中,建立新的 GPO,連結在網域層級,或者,連結到包含您的電腦帳戶的 OU。或者,選取已部署的 GPO。
  3. 以滑鼠右鍵按一下 GPO,然後按一下 [[編輯] 以開啟 [群組原則管理編輯器] 視窗。
  4. 展開 [電腦設定],展開 [原則],然後展開 [系統管理範本
  5. 展開 [系統],然後按一下 [ Kerberos。
  6. 以滑鼠右鍵按一下設定最大的 Kerberos SSPI 內容語彙基元的緩衝區大小在右邊窗格中,,然後按一下 [編輯
  7. 按一下 [啟用],然後在 [最大值] 方塊中鍵入48000
  8. 按一下[確定]
注意
  • GPO 的才會生效,GPO 變更必須複寫到網域中的所有網域控制站,它們套用原則之後,必須重新啟動受影響的電腦。
  • [設定最大 Kerberos SSPI 內容語彙基元的緩衝區大小原則] 設定會新增在 Windows Server 2012 和 Windows 8。在 Windows XP 中、 Windows Server 2003 中、 在 Windows Vista 中,Windows Server 2008 中、 在 Windows 7 中和在 Windows Server 2008 R2 支援原則設定。若要使用此群組原則設定,您必須編輯 GPO,在 Windows Server 2012 版本或有 RSAT 工具安裝的 Windows 8。

?考

如需有關如何撰寫自訂的.adm 檔案的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
225087 撰寫自訂 ADM 檔案的系統原則編輯器
多個 MaxTokenSize 登錄項目的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文
327825 新的解析度的問題時使用者屬於多個群組的 Kerberos 驗證

屬性

文章編號: 938118 - 上次校閱: 2014年6月21日 - 版次: 2.0
這篇文章中的資訊適用於:
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
關鍵字:?
kbexpertiseinter kbhowto kbinfo kbmt KB938118 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:938118
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com