Al momento sei offline in attesa che la connessione Internet venga ristabilita

Impostazioni di criteri di gruppo di Windows Server 2008 per l'interoperabilità con le aree di autenticazione Kerberos non Microsoft

Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 947706
INTRODUZIONE
Microsoft offre funzionalità di interoperabilità in Windows Server 2008 e Windows Vista Service Pack 1 (SP1) che consentono a questi computer utilizzare implementazioni non Microsoft del protocollo Kerberos per l'autenticazione. Per abilitare questa configurazione, è necessario modificare alcune impostazioni sul computer che verranno aggiunti all'area di autenticazione Kerberos non Microsoft. In Windows Server 2008, gli amministratori possono distribuire le impostazioni di configurazione a più computer tramite criteri di gruppo. In questo articolo vengono illustrate le impostazioni di criteri di gruppo che sono stati aggiunti per supportare l'interoperabilità con implementazioni di Kerberos non Microsoft in Windows Server 2008 e Windows Vista SP1.
Informazioni
Nel seguente percorso nella Console Gestione criteri di gruppo sono presenti le seguenti impostazioni:
Computer Configuration\Administrative Templates\System\Kerberos

Criterio: Definire mapping nome-Kerberos realm host

Questa impostazione consente di specificare i nomi host DNS e i suffissi DNS associati a un'area di autenticazione Kerberos.

Se si attiva questa impostazione, è possibile visualizzare e modificare l'elenco di nomi host DNS e suffissi DNS associati a un'area di autenticazione Kerberos, come definito dai criteri di gruppo.

Se si disattiva questa impostazione, l'elenco di mapping nome-Kerberos realm di host che definisce i criteri di gruppo viene eliminato.

Se non si configura questa impostazione, il sistema utilizza i mapping di area di autenticazione nome-Kerberos host sono definiti nel Registro di sistema locale, se esiste il mapping dell'area di autenticazione.

Per visualizzare l'elenco dei mapping, abilitare l'impostazione del criterio e quindi fare clic su Mostra.

Per aggiungere un mapping, attenersi alla seguente procedura:
  1. Attivare l'impostazione.
  2. Si noti la sintassi e quindi fare clic su Mostra.
  3. Fare clic su Aggiungi, quindi immettere un nome area autenticazione, l'elenco di nomi host DNS e i suffissi DNS utilizzando la sintassi annotato nel passaggio 2.
Per rimuovere un mapping, fare clic sulla voce di mapping e quindi fare clic su Rimuovere.

Per modificare un mapping, rimuovere la voce corrente dall'elenco e quindi aggiungere un nuovo mapping con parametri diversi.

Criterio: Definire impostazioni di autenticazione interoperabile Kerberos versione 5

Questa impostazione configura il client Kerberos in modo che il client può autenticare con Kerberos interoperabili aree di autenticazione versione 5, come definito da tale impostazione.

Se si attiva questa impostazione, è possibile visualizzare e modificare l'elenco delle aree di interoperabile Kerberos versione 5 e le relative impostazioni.

Se si disattiva questa impostazione, vengono eliminate le interoperabili Kerberos versione 5 realm impostazioni che definisce i criteri di gruppo.

Se non si configura questa impostazione, il sistema utilizza l'interoperabili Kerberos versione 5 dell'area di autenticazione che le impostazioni definite nel Registro di sistema locale, se esistono le impostazioni dell'area di autenticazione.

Per visualizzare l'elenco delle aree di interoperabile Kerberos versione 5, abilitare l'impostazione del criterio e quindi fare clic su Mostra.

Per aggiungere un'area di autenticazione Kerberos versione 5 interoperabile, attenersi alla seguente procedura:
  1. Attivare l'impostazione.
  2. Si noti la sintassi e quindi fare clic su Mostra.
  3. Fare clic su Aggiungi, immettere il nome interoperabile di Kerberos versione 5 dell'area nel Nome valore casella e quindi digitare la definizione delle impostazioni di Valore casella. Utilizzare la sintassi annotato nel passaggio 2.
Per rimuovere un'area di autenticazione Kerberos versione 5 interoperabile, fare clic sulla voce di Kerberos versione 5 e quindi fare clic su Rimuovere.

Per modificare un mapping, rimuovere la voce corrente dall'elenco e quindi aggiungere un nuovo mapping con parametri diversi.

Criterio: Richiedono rigorosa convalida KDC

Questa impostazione controlla il comportamento del client Kerberos quando il client convalida il certificato Centro distribuzione chiavi (KDC).

Se si attiva questa impostazione:
  • Il client Kerberos richiede che il certificato x. 509 del KDC contiene l'identificatore di oggetto chiave KDC nelle estensioni Extended Key Usage (EKU).
  • Il client Kerberos richiede che il certificato x. 509 del KDC contiene un'estensione di subjectAltName (SAN) di NomeDNS che corrisponde al nome DNS del dominio.
  • Se il computer appartiene a un dominio, il client Kerberos richiede che il certificato x. 509 del KDC deve essere firmato da un'autorità di certificazione nell'archivio NTAUTH.
  • Se il computer non fa parte di un dominio, il client Kerberos consente l'autorità di certificazione radice nella smart card da utilizzare nella convalida del percorso del certificato x. 509 del KDC.
Se si disattiva o non si configura questa impostazione, il client Kerberos richiede solo che il certificato KDC contiene l'identificatore di oggetto scopo Autenticazione Server nelle estensioni EKU.
Riferimenti
Per ulteriori informazioni sull'interoperabilità di Kerberos 5, visitare il seguente sito Web Microsoft TechNet:

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 947706 - Ultima revisione: 09/17/2012 06:01:00 - Revisione: 3.0

Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 Standard

  • kbinfo kbPubTypeKC kbhowto kbmt KB947706 KbMtit
Feedback
hild(m);