Параметры групповой политики Windows Server 2008 для обеспечения взаимодействия с сфер Kerberos, отличных от Microsoft

Переводы статьи Переводы статьи
Код статьи: 947706 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

Корпорация Майкрософт предоставляет возможности взаимодействия в Windows Server 2008 и Windows Vista с пакетом обновления 1 (SP1), эти компьютеры не корпорацией Майкрософт реализация протокола Kerberos для проверки подлинности. Чтобы включить конфигурацию, необходимо изменить некоторые параметры на компьютерах, которые будет присоединяться к сфере Kerberos, отличных от Microsoft. В Windows Server 2008 администраторы могут разворачивать эти параметры конфигурации для нескольких компьютеров через групповую политику. В данной статье описываются параметры групповой политики, которые были добавлены для поддержки взаимодействия с реализациями Microsoft Kerberos в Windows Server 2008 и Windows Vista с пакетом обновления 1.

Дополнительная информация

Следующие параметры находятся в следующей папке консоли управления групповой политикой:
Конфигурация компьютера\Административные Templates\System\Kerberos компьютера

Политика: Определите сопоставления со сферой Kerberos и имя узла

Этот параметр политики позволяет указать DNS-имена узлов и DNS-суффиксы, которые сопоставляются сфере Kerberos.

Если этот параметр политики включен, можно просматривать и изменять список DNS-имен и DNS-суффиксы, которые сопоставляются сфере Kerberos, как определено групповой политикой.

Если этот параметр политики отключен, список сопоставлений сфер Kerberos и имя хоста, определяющий групповой политики будет удален.

Если этот параметр политики не задан, система использует сопоставления со сферой Kerberos и имя узла, определенные в локальном реестре, если существуют сопоставления сферы.

Чтобы просмотреть список сопоставлений, включите параметр политики и нажмите кнопку Показать.

Чтобы добавить сопоставление, выполните следующие действия:
  1. Включение параметра политики.
  2. Запомните синтаксис и нажмите кнопку Показать.
  3. Нажмите кнопку Добавить, а затем введите имя сферы, список DNS-имен и DNS-суффиксы, используя синтаксис, записанное на шаге 2.
Чтобы удалить сопоставление, выберите запись сопоставления и нажмите кнопку Удалить.

Чтобы изменить сопоставление, удалите текущую запись из списка и затем добавить новое сопоставление с другими параметрами.

Политика: Определите совместимые параметры сфер Kerberos версии 5

Данный параметр политики настраивает клиент Kerberos, таким образом, чтобы клиент могут проходить проверку подлинности с помощью совместимых Kerberos версии 5 сфер, определенных в данном параметре политики.

Если этот параметр политики включен, можно просматривать и изменять список сфер Kerberos версии 5 и их параметры.

Если этот параметр политики отключен, взаимодействующих Kerberos версии 5 сферы параметры групповой политики определяет, удаляются.

Если этот параметр политики не задан, система использует совместимые Kerberos версии 5 сферы параметры, определенные в локальном реестре, если существуют настройки сферы.

Чтобы просмотреть список сфер Kerberos версии 5, включите параметр политики и нажмите кнопку Показать.

Чтобы добавить сферой взаимодействия Kerberos версии 5, выполните следующие действия:
  1. Включение параметра политики.
  2. Запомните синтаксис и нажмите кнопку Показать.
  3. Нажмите кнопку Добавить, введите совместимых имя сферы Kerberos версии 5 в Имя параметра поле, а затем введите описание параметров в Значение поле. Используйте синтаксис, записанное на шаге 2.
Для удаления сферой взаимодействия Kerberos версии 5, щелкните запись Kerberos версии 5 и нажмите кнопку Удалить.

Чтобы изменить сопоставление, удалите текущую запись из списка и затем добавить новое сопоставление с другими параметрами.

Политика: Требовать обязательную проверку подлинности KDC

Этот параметр политики управляет поведением клиента Kerberos, когда клиент проверяет сертификат центра распространения ключей (KDC).

Если включить этот параметр политики:
  • Клиент Kerberos требуется наличие идентификатора объекта KDC основные цели в расширениях расширенного использования ключа (EKU) сертификата KDC.
  • Клиент Kerberos требует наличия сертификата KDC dNSName расширения subjectAltName (SAN), которое совпадает с именем DNS домена.
  • Если компьютер присоединен к домену, клиент Kerberos требует, что сертификат X.509 KDC должен быть подписан центром сертификации в хранилище NTAUTH.
  • Если компьютер не присоединен к домену, клиент Kerberos обеспечивает сертификат корневого центра сертификации на смарт-карте для использования в подтверждение пути сертификата KDC.
Если отключить или не настраивать этот параметр политики, клиент Kerberos требует только наличия идентификатора объекта цели проверки подлинности сервера в расширениях «Улучшенный ключ» сертификата KDC.

Ссылки

Для получения дополнительных сведений о взаимодействии с Kerberos 5 посетите следующий веб-узел Microsoft TechNet Web:
http://TechNet.Microsoft.com/en-us/library/bb742433.aspx

Свойства

Код статьи: 947706 - Последний отзыв: 19 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
Ключевые слова: 
kbinfo kbPubTypeKC kbhowto kbmt KB947706 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:947706

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com