Come utilizzare criteri di gruppo per aggiungere la voce del Registro di sistema MaxTokenSize a più computer

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 938118
INTRODUZIONE
In un controller di dominio che esegue Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012, è possibile utilizzare criteri di gruppo per aggiungere la seguente voce del Registro di sistema a più computer:
Chiave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Voce: MaxTokenSize
Tipo di dati: REG_DWORD
Valore: 48000
Questo articolo viene descritto come eseguire questa operazione, in modo che si può inserire facilmente questa impostazione a tutti i membri dei domini. Il processo è diverso, a seconda della versione di Windows Server che esegue il controller di dominio.

Nota.Il valore massimo consentito di MaxTokenSize è 65535 byte. Tuttavia, a causa di HTTP codifica base64 del token del contesto di autenticazione, si sconsiglia di impostare la voce del Registro di sistema maxTokenSize su un valore maggiore di 48000 byte. A partire da Windows Server 2012, il valore predefinito della voce del Registro di sistema MaxTokenSize viene 48000 byte.
Informazioni

Come configurare MaxTokenSize utilizzando l'oggetto Criteri di gruppo (GPO) in Windows Server 2003

Per aggiungere la voce del Registro di sistema a più computer in un dominio che non dispone di un controller di dominio basato su Windows Server 2012, attenersi alla seguente procedura:
  1. Creare un file di modelli amministrativi (ADM) per la voce del Registro di sistema MaxTokenSize. A tale scopo, attenersi alla seguente procedura:
    1. Avviare Blocco note.
    2. Copiare il testo riportato di seguito e quindi incollare il testo nel blocco note:
      CLASS MACHINECATEGORY !!KERB                KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"                POLICY !!MaxToken                     VALUENAME "MaxTokenSize"                         VALUEON NUMERIC 48000                         VALUEOFF NUMERIC 0                END POLICYEND CATEGORY[strings]KERB="Kerberos Maximum Token Size"MaxToken="Kerberos MaxTokenSize"

      Nota. Il valore della voce del Registro di sistema MaxTokenSize viene impostato su 48000. Questo è il valore consigliato.
    3. Salvare il documento del blocco note come MaxTokenSize.adm nella cartella %windir%\Inf\ sul controller di dominio che verrà utilizzato per configurare l'oggetto Criteri di gruppo per distribuire l'impostazione.
    4. Chiudere il blocco note.
  2. Importare ADM in un oggetto Criteri di gruppo e la voce del Registro di sistema MaxTokenSize viene impostato il valore desiderato. A tale scopo, attenersi alla seguente procedura:
    1. Creare un nuovo oggetto (criteri di gruppo) che è collegato a livello di dominio o che è collegato all'unità organizzativa (OU) che contiene gli account computer. In alternativa, è possibile selezionare un oggetto Criteri di gruppo è già stato distribuito.
    2. Aprire l'Editor oggetti Criteri di gruppo. A tale scopo, fare clic su Start, scegliere Esegui, digitare gpedit. msce quindi fare clic su OK.
    3. Nella struttura della console, espandere Configurazione Computerespandere Modelli amministrativie quindi fare clic su Modelli amministrativi.
    4. Dal menu azione , scegliere Tutte le attivitàe quindi fare clic su Aggiunta/Rimozione modelli.
    5. Fare clic su Aggiungi.
    6. Fare clic per selezionare il file MaxTokenSize.adm creato nel passaggio 1 e quindi fare clic su Apri.
    7. Fare clic su Chiudi.
    8. Dal Menu Visualizza , fare clic su filtro.
    9. Fare clic per deselezionare la casella di controllo Visualizza solo le impostazioni di criteri completamente gestibili e quindi fare clic su OK.
    10. Espandere Modelli amministrativie quindi fare clic su Kerberos Massimo dimensione del Token.
    11. Pulsante destro del mouse Kerberos MaxTokenSize nel riquadro di destra, quindi scegliere proprietà per aprire la finestra di dialogo proprietà .
    12. Selezionare Attivae quindi fare clic su OK.

      Nota. Per l'oggetto Criteri di gruppo abbiano effetto, la modifica dell'oggetto Criteri di gruppo deve essere replicata in tutti i controller di dominio nel dominio e computer interessati deve essere riavviato dopo il criterio viene applicato a tali.

Come configurare la voce del Registro di sistema MaxTokenSize utilizzando oggetti Criteri di gruppo in Windows Server 2008 e in Windows Server 2008 R2

Nei domini di Windows Server 2008 e nei domini di Windows Server 2008 R2, è possibile utilizzare l'estensione del lato Client del Registro di sistema per distribuire il valore del Registro di sistema MaxTokenSize su più computer in un dominio. Per creare l'impostazione del valore MaxTokenSize in un oggetto Criteri di gruppo, attenersi alla seguente procedura:
  1. Fare clic su Start, scegliere Esegui, digitare GPMC. msce quindi fare clic su OK per aprire la Console Gestione criteri di gruppo.
  2. Nella Console Gestione criteri di gruppo, creare un nuovo oggetto Criteri di gruppo collegato a livello di dominio o che è collegato all'unità Organizzativa che contiene gli account computer. Oppure è possibile selezionare un oggetto Criteri di gruppo è già stato distribuito.
  3. Pulsante destro del mouse l'oggetto Criteri di gruppo e quindi fare clic su Modifica per aprire la finestra Editor Gestione criteri di gruppo.
  4. Espandere Configurazione Computer, espandere Preferenzee quindi espandere Impostazioni di Windows.
  5. Destro del mouse sul Registro di sistema, scegliere Nuovoe quindi scegliere la Voce del Registro di sistema. Verrà visualizzata la finestra di dialogo Nuova proprietà del Registro di sistema .
  6. Nell'elenco di Azioni , fare clic su Crea.
  7. Nell'elenco Hive , fare clic su HKEY_LOCAL_MACHINE.
  8. Nell'elenco Percorso chiave , fare clic su SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
  9. Nella casella nome valore digitare MaxTokenSize.
  10. Nella casella tipo di valore , fare clic per selezionare la casella di controllo REG_DWORD .
  11. Nella casella dati valore digitare 48000.
  12. Accanto alla Base, fare clic per selezionare la casella di controllo decimali .
  13. Fare clic su OK.
Nota. Per l'oggetto Criteri di gruppo abbiano effetto, la modifica dell'oggetto Criteri di gruppo deve essere replicata in tutti i controller di dominio nel dominio e computer interessati deve essere riavviato dopo l'applicazione del criterio.

Come configurare la voce del Registro di sistema MaxTokenSize utilizzando l'oggetto Criteri di gruppo in Windows Server 2012

Per distribuire il valore della voce del Registro di sistema MaxTokenSize in un dominio contenente controller di dominio basato su Windows Server 2012, attenersi alla seguente procedura:
  1. Aprire Server Manager, fare clic su Strumentie quindi fare clic su Gestione criteri di gruppo per aprire la console Gestione criteri di gruppo.
  2. Nella Console Gestione criteri di gruppo, creare un nuovo oggetto Criteri di gruppo collegato a livello di dominio o che è collegato all'unità Organizzativa che contiene gli account computer. In alternativa, è possibile selezionare un oggetto Criteri di gruppo è già stato distribuito.
  3. Pulsante destro del mouse l'oggetto Criteri di gruppo e quindi fare clic su Modifica per aprire la finestra Editor Gestione criteri di gruppo.
  4. Espandere Configurazione Computer, espandere criterie quindi espandere Modelli amministrativi.
  5. Espandere sistema, quindi fare clic Kerberos.
  6. Il pulsante destro impostare la massima dimensione di buffer token contesto SSPI Kerberos nel riquadro di destra e quindi fare clic su Modifica.
  7. Fare clic su abilitatoe quindi digitare 48000 nella casella dimensioni massime .
  8. Fare clic su OK.
Note
  • Per l'oggetto Criteri di gruppo abbiano effetto, la modifica dell'oggetto Criteri di gruppo deve essere replicata in tutti i controller di dominio nel dominio e computer interessati deve essere riavviato dopo l'applicazione del criterio.
  • Set massimo SSPI Kerberos contesto token buffer dimensione criterio impostazione viene aggiunta in Windows Server 2012 e Windows 8. L'impostazione del criterio è supportato in Windows XP, in Windows Server 2003, in Windows Vista, in Windows Server 2008, Windows 7 e in Windows Server 2008 R2. Per utilizzare questa impostazione di criteri di gruppo, è necessario modificare l'oggetto Criteri di gruppo in una versione di Windows Server 2012 o in Windows 8 che sono installati gli strumenti RSAT.
Riferimenti
Per ulteriori informazioni su come scrivere i file con estensione adm personalizzati, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
225087 Scrittura di file ADM personalizzati per l'Editor dei criteri di sistema
Per ulteriori informazioni sulla voce del Registro di sistema MaxTokenSize, fare clic sul numero di articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base
327825 Nuova risoluzione dei problemi con l'autenticazione Kerberos quando gli utenti appartengono a molti gruppi

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 938118 - Ultima revisione: 06/22/2014 19:17:00 - Revisione: 2.0

Windows Server 2008 R2 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Windows Server 2008 R2 Service Pack 1, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard

  • kbexpertiseinter kbhowto kbinfo kbmt KB938118 KbMtit
Feedback