与非 Microsoft Kerberos 领域的互操作性的 Windows Server 2008 组策略设置

文章翻译 文章翻译
文章编号: 947706 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

Microsoft 提供互操作性功能 Windows Vista Service Pack 1 (SP1) 和 Windows Server 2008 中,使这些计算机使用 Kerberos 协议的非 Microsoft 实现身份验证的。 若要以便此配置必须修改某些设置,将被加入不是 Microsoft Kerberos 领域的计算机上。 在 Windows Server 2008,管理员可以将这些配置设置部署到多台计算机通过组策略。 本文将讨论添加到支持与非 Microsoft Kerberos 实现互操作性,Windows Server 2008 中和在 Windows Vista SP1 中的 $ 组策略设置。

更多信息

在组策略管理控制台中以下位置中找到以下设置:
计算机配置 \ 管理模板 \ Templates\System\Kerberos

策略: 定义了主机名到 Kerberos 领域映射

此策略设置允许您指定 DNS 主机名和 $ 映射到 Kerberos 领域的 DNS 后缀。

如果启用了此策略设置可以查看和更改 DNS 主机名和被映射到 Kerberos 领域中,由组策略定义的 DNS 后缀的列表。

如果禁用了此策略设置被删除的组策略定义了主机名称到 Kerberos 领域映射列表。

如果不配置这个策略设置,系统将使用主机名到 Kerberos 领域映射到本地注册表中定义的如果领域映射存在。

若要查看的映射列表,启用策略设置然后单击 显示 命令。

若要将一个映射,请按照下列步骤操作:
  1. 启用该策略设置。
  2. 请注意该的语法,然后单击 显示
  3. 单击 添加,然后输入使用在第 2 步中记下的语法的领域名、 DNS 的主机名称和 $ DNS 后缀的列表。
若要删除的映射,请单击映射项然后单击 删除

要编辑的映射,从列表中删除当前的条目,然后添加新映射具有不同的参数。

策略: 定义具有互操作性的 Kerberos 版本 5 领域设置

此策略设置配置 Kerberos 客户端,以便客户端可以通过身份验证可互操作的 Kerberos 版本 5 领域定义这个策略设置的。

如果启用了此策略设置可以查看和更改可互操作的 Kerberos 版本 5 领域的列表和它们的设置。

如果禁用了此策略设置组策略定义了可互操作的 Kerberos 版本 5 领域设置都将被删除。

如果不配置这个策略设置,系统将使用到本地注册表中定义了可互操作的 Kerberos 版本 5 领域设置,如果存在领域设置。

若要访问可互操作的 Kerberos 版本 5 领域的列表启用策略设置,然后单击 显示

若要将一个具有互操作性的 Kerberos 版本 5 领域,请按照下列步骤操作:
  1. 启用该策略设置。
  2. 请注意该的语法,然后单击 显示
  3. 单击 添加数值名称 框中输入可互操作的 Kerberos 版本 5 的领域名,然后键入在 取值 框中的的设置定义。使用在第 2 步中记下的语法。
若要删除一个可互操作的 Kerberos 版本 5 领域,请单击该的 Kerberos 版本 5 条目然后单击 删除 命令。

要编辑的映射,从列表中删除当前的条目,然后添加新映射具有不同的参数。

策略: 要求严格的 KDC 验证

当客户端验证密钥分发中心 (KDC) 证书,此策略设置控制 Kerberos 客户端的行为。

如果您启用这个策略设置:
  • Kerberos 客户端需要 KDC 的 X.509 证书包含在扩展密钥用法 (EKU) 扩展中,KDC 键的目的对象标识符。
  • Kerberos 客户端需要 KDC 的 X.509 证书包含一个与域的 DNS 名称相匹配的 dNSName subjectAltName (SAN) 扩展。
  • 如果计算机加入到域中,Kerberos 客户端需要 KDC 的 X.509 证书必须由证书颁发机构 NTAUTH 存储区中进行签名。
  • 如果计算机未加入到域中,Kerberos 客户端允许智能卡上的根证书颁发机构证书的 KDC 的 X.509 证书路径验证中使用。
如果禁用,或者不配置这个策略设置 Kerberos 客户端要求只的 KDC 证书包含在 EKU 扩展中的服务器身份验证目的对象标识符。

参考

有关 Kerberos 5 互操作性的详细信息,请访问以下 Microsoft TechNet 网站:
http://technet.microsoft.com/en-us/library/bb742433.aspx

属性

文章编号: 947706 - 最后修改: 2008年3月8日 - 修订: 1.0
这篇文章中的信息适用于:
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
关键字:?
kbmt kbinfo kbpubtypekc kbhowto KB947706 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 947706
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com