Avaldamise algne kuupäev: 20. veebruar 2025
KB ID: 5054215
|
Muuda kuupäeva |
Muuda kirjeldust |
|
4. märts 2025 |
|
Sissejuhatus
Kerberose hosti-valdkonda poliitikat kasutatakse hosti (nt klientarvuti või serveri) vastendamiseks kindla Kerberose alaga. Lisateavet leiate teemast Poliitika konfiguratsiooni teenusepakkuja – ADMX_Kerberos.
Selles artiklis kirjeldatakse kerberose hostipõhise poliitika stringipikkusega piiranguid, stsenaariume, kus piirangud kehtivad, ja antakse juhiseid piirangute ületamiseks.
Millised on stringipikkuse piirangud?
-
Kasutajaliidese (UI) märgipiirang hostinimede jaoks: Andmete sisestamiseks kasutatav Rühmapoliitika korrektor juhtelement ei laadi rohkem kui 1024 märki reale hostifailide loendi kirjesse. Küll aga saate tippida kuni 32 767 märki ja kirjutada need aadressile registry.pol.
-
Hostinimede märgipiirang: Kerberose klient, kes loeb seda sätet seadmes, kus poliitika rakendub, on hostinimede loendi püsipiirang 2048 märki.
Millistel juhtudel piirangud rakenduvad?
Stringipikkuse piirangud kehtivad järgmistes stsenaariumides.
-
Teil on Active Directory domeen ja kolmanda osapoole valdkond (nt FreeBSD või Linux) MIT-i usaldusega.
-
Toetate mitut SPN-järelliidet või hostide loendit, mis on vastendatud käsitsi alale, mis usaldab AD metsa.
Host-to-realmi vastenduspoliitika seadmisel domeeni Rühmapoliitika saab määratleda järgmised väljad:
-
Poliitika nimi: Saate määratleda hostinime-Kerberose maa-ala vastendused;
-
Registri alamvõti: domain_realm.
Mõne sellise hosti pileti toomine ei pruugi õnnestuda, kuna hostistringide teatud pikkusest kauem ei kuvata Rühmapoliitika korrektor hostide loendit. Selle asemel on väljad "väärtuse nimi" ja "väärtus" tühjad.
Juhised stringipikkuse piirangutega töötamiseks
-
Kasutajaliidese limiit: ADMX-Rühmapoliitika korrektor pikkade stringide sisestamise vältimiseks saate luua hostinimede loendit sisaldava eraldi tekstifaili. Hostide loendi värskendamisel peate seda tekstifaili vastavalt muutma. Hiljem saate poliitika avada ja kleepida värskendatud stringi vastava ala vastenduse redigeerimisjuhtelemendisse.Samuti saate skriptifailist kasutada PowerShelli cmdlet-käsku Set-GPRegistryValue . Samuti võimaldab see pika stringi parameetrina edasi anda, et lisada see Rühmapoliitika.
-
Registrikirje hostinime pikkusepiirang: Alates veebruarist 2025 ei saa hostinimede 2048 märgi piirangut ADMX Rühmapoliitika või InTune'i CSP sätte kasutamisel vältida.
Lahendus ei nõua Rühmapoliitika. Saate kasutada käsku ksetup /addhosttorealmmap , nagu on dokumenteeritud ksetup addhosttorealmmap juhendis. Seda lähenemist piirab ainult üldine registritaru suurus SYSTEM taru ja kuhja piirmäärade jaoks.
Hostivastenduste levitamiseks saate kasutada ka registri Rühmapoliitika Eelistusi, kasutades järgmise registri alamvõtme käsuga ksetup /addhosttorealmmap salvestatud andmeid:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\HostToRealm
Selle sätte loomiseks registris Rühmapoliitika Eelistused, kasutage PowerShelli cmdlet-käsku Set-GPPrefRegistryValue.
Viited
Kolmanda osapoole teabe lahtiütlus
Selles artiklis nimetatud kolmandate osapoolte tooted on tootnud ettevõtted, mis ei ole Microsoftiga seotud. Me ei anna seoses nende toodete jõudluse ja töökindlusega mitte mingisuguseid – ei kaudseid ega muid – garantiisid.
Teile edastatakse kolmandate osapoolte kontaktteavet, et hõlbustada tehnilise toe leidmist. Sellist kontaktteavet võidakse ilma ette teatamata muuta. Sealjuures ei garanteerita kolmandate osapoolte kontaktteabe täpsust.
