Paramètres de stratégie de groupe Windows Server 2008 pour l'interopérabilité avec les domaines non Microsoft Kerberos

Traductions disponibles Traductions disponibles
Numéro d'article: 947706 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Microsoft fournit fonctionnalités Interopérabilité dans Windows Server 2008 et dans Windows Vista avec Service Pack 1 (SP1) permettant à ces ordinateurs à utiliser non-Microsoft implémentations du protocole Kerberos pour l'authentification. Pour activer cette configuration, certains paramètres doivent être modifiés sur les ordinateurs qui va être joint le domaine non Microsoft Kerberos. Dans Windows Server 2008, les administrateurs peuvent déployer ces paramètres de configuration sur plusieurs ordinateurs via la stratégie de groupe. Cet article décrit les paramètres de stratégie de groupe ont été ajoutés à prendre en charge l'interopérabilité avec implémentations non Microsoft Kerberos dans Windows Server 2008 et dans Windows Vista SP1.

Plus d'informations

Les paramètres suivants se trouvent dans l'emplacement suivant dans la console de gestion des stratégies de groupe :
Templates\System\Kerberos Configuration ordinateur

Stratégie : définir des mappages de nom pour Kerberos domaine ordinateur hôte

Ce paramètre de stratégie vous permet de spécifier les noms d'ordinateur hôte DNS et les suffixes DNS qui sont associés à un domaine Kerberos.

Si vous activez ce paramètre de stratégie, vous pouvez afficher et modifier la liste des noms ordinateur hôte DNS et de suffixes DNS qui sont associés à un domaine Kerberos comme défini par la stratégie de groupe.

Si vous désactivez ce paramètre de stratégie, la liste de mappages de nom pour Kerberos domaine ordinateur hôte qui définit de stratégie de groupe est supprimée.

Si vous ne configurez pas ce paramètre de stratégie, le système utilise les mappages de nom pour Kerberos domaine ordinateur hôte définis dans le Registre local si les mappages de domaine existent.

Pour afficher la liste de mappages, activez le paramètre de stratégie, puis cliquez sur Afficher .

Pour ajouter un mappage, procédez comme suit :
  1. Activez le paramètre de stratégie.
  2. Retenez la syntaxe, puis cliquez sur Afficher .
  3. Cliquez sur Ajouter , puis entrez un nom de domaine, la liste des noms ordinateur hôte DNS et les suffixes DNS en utilisant la syntaxe noté à l'étape 2.
Pour supprimer un mappage, cliquez sur l'entrée de mappage, puis cliquez sur Supprimer .

Pour modifier un mappage, supprimez l'entrée actuelle de la liste, puis ajouter un nouveau mappage possédant des paramètres différents.

Stratégie : définir des paramètres des domaines interopérables Kerberos version 5

Ce paramètre de stratégie configure le client Kerberos afin que le client peut s'authentifier avec interopérable Kerberos version 5 domaines, comme défini par ce paramètre de stratégie.

Si vous activez ce paramètre de stratégie, vous pouvez afficher et modifier la liste des interopérables Kerberos version 5 domaines et leurs paramètres.

Si vous désactivez ce paramètre, les Kerberos version 5 paramètres des domaines interopérables qui définit de stratégie de groupe sont supprimés.

Si vous ne configurez pas ce paramètre de stratégie, le système utilise les Kerberos version 5 paramètres des domaines interopérables définis dans le Registre local si les paramètres de domaine existent.

Pour afficher la liste des interopérables Kerberos version 5 domaines, activez le paramètre de stratégie, puis cliquez sur Afficher .

Pour ajouter un domaine de version 5 interopérable Kerberos, procédez comme suit :
  1. Activez le paramètre de stratégie.
  2. Retenez la syntaxe, puis cliquez sur Afficher .
  3. Cliquez sur Ajouter , entrez le nom de domaine 5 interopérable Kerberos version dans la zone Nom de valeur et tapez la définition des paramètres dans la zone valeur . Utilisez la syntaxe qui vous avez noté à l'étape 2.
Pour supprimer un domaine de version 5 interopérable Kerberos, cliquez sur l'entrée version 5 Kerberos, puis cliquez sur Supprimer .

Pour modifier un mappage, supprimez l'entrée actuelle de la liste, puis ajouter un nouveau mappage possédant des paramètres différents.

Stratégie : nécessite une validation KDC stricte

Ce paramètre de stratégie contrôle le comportement du client Kerberos lorsque le client valide le certificat centre de distribution de clés (KDC).

Si vous activez ce paramètre de stratégie :
  • Le client Kerberos exige que le certificat du KDC X.509 indique l'identifiant objet universel clé objectif KDC dans les extensions EKU (Extended clé Utilisation).
  • Le client Kerberos exige que certificat X.509 du KDC le contient une extension de subjectAltName (SAN) contienne qui correspond au nom DNS du domaine.
  • Si l'ordinateur est joint à un domaine, le client Kerberos exige que le certificat du KDC X.509 doit être signé par une autorité de certification dans le magasin NTAUTH.
  • Si l'ordinateur n'est pas joint à un domaine, le client Kerberos permet pour le certificat d'autorité de certification racine sur la carte à puce à utiliser dans la validation de chemin d'accès de certificat X.509 du KDC.
Si vous désactivez ou ne configurez pas de ce paramètre de stratégie, le client Kerberos exige seulement que du certificat KDC contenir l'identificateur d'objet d'objectif l'authentification du serveur dans les extensions EKU.

Références

Pour plus d'informations sur l'interopérabilité Kerberos 5, reportez-vous au site Web de Microsoft TechNet suivant :
http://technet.microsoft.com/en-us/library/bb742433.aspx

Propriétés

Numéro d'article: 947706 - Dernière mise à jour: samedi 8 mars 2008 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
Mots-clés : 
kbmt kbinfo kbpubtypekc kbhowto KB947706 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 947706
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com