Come usare Criteri di gruppo per aggiungere la voce del Registro di sistema MaxTokenSize a più computer

Questo articolo descrive come usare Criteri di gruppo per aggiungere la voce del Registro di sistema MaxTokenSize a più computer.

Si applica a: Windows Server 2012 R2, Windows Server 2008 R2 Service Pack 1
Numero KB originale: 938118

Introduzione

In un controller di dominio che esegue Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012, è possibile usare Criteri di gruppo per aggiungere la voce del Registro di sistema seguente a più computer:

Chiave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Voce: MaxTokenSize
Tipo di dati: REG_DWORD
Valore: 48000

Questo articolo descrive come eseguire questa operazione, in modo che sia possibile eseguire facilmente il push di questa impostazione a tutti i membri dei domini. Il processo è diverso, a seconda della versione di Windows Server in esecuzione dal controller di dominio.

Ulteriori informazioni

Come configurare MaxTokenSize usando Criteri di gruppo Object (GPO) in Windows Server 2003

Per aggiungere la voce del Registro di sistema a più computer in un dominio che non dispone di un controller di dominio basato su Windows Server 2012, seguire questa procedura:

1. Creare un file di modello amministrativo (ADM) per la voce del Registro di sistema MaxTokenSize. Per effettuare questa operazione, seguire questi passaggi:

   1. Avviare Blocco note.

   2. Copiare il testo seguente e quindi incollarlo nel Blocco note:

      CLASS MACHINE

      CATEGORIA!! VUOTO

      KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
      POLITICA!! MaxToken
      VALUENAME "MaxTokenSize"
      VALUEON NUMERIC 48000
      VALUEOFF NUMERIC 0
      CRITERI DI FINE

      CATEGORIA FINALE

      [stringhe]
      KERB="Dimensione massima token Kerberos"
      MaxToken="Kerberos MaxTokenSize"

      Nota

      Il valore della voce del Registro di sistema MaxTokenSize è impostato su 48000. Questo è il valore suggerito.

   3. Salvare il documento del Blocco note come MaxTokenSize.adm nella cartella %windir%\Inf\ nel controller di dominio che verrà usato per configurare l'oggetto Criteri di gruppo per distribuire l'impostazione.

   4. Uscire dal Blocco note.

2. Importare ADM in un oggetto Criteri di gruppo e impostare la voce del Registro di sistema MaxTokenSize sul valore desiderato. Per effettuare questa operazione, seguire questi passaggi:

   1. Creare un nuovo oggetto Criteri di gruppo (GPO) collegato a livello di dominio o collegato all'unità organizzativa che contiene gli account computer. In alternativa, selezionare un oggetto Criteri di gruppo già distribuito.

   2. Aprire la Editor Oggetto Criteri di gruppo. A tale scopo, fare clic su Start, fare clic su Esegui, digitare gpedit.msc e quindi fare clic su OK.

   3. Nell'albero della console espandere Configurazione computer, Modelli amministrativi e quindi fare clic su Modelli amministrativi.

   4. Scegliere Tutte le attività dal menu Azione e quindi fare clic su Aggiungi/Rimuovi modelli.

   5. Fare clic su Aggiungi.

   6. Fare clic per selezionare il file MaxTokenSize.adm creato nel passaggio 1 e quindi fare clic su Apri.

   7. Scegliere Chiudi.

   8. Nel menu Visualizza fare clic su Filtro.

   9. Fare clic per deselezionare la casella di controllo Mostra solo le impostazioni dei criteri che possono essere completamente gestite e quindi fare clic su OK.

   10. Espandere Modelli amministrativi e quindi fare clic su Dimensioni massime token Kerberos.

   11. Fare clic con il pulsante destro del mouse su Kerberos MaxTokenSize nel riquadro a destra, quindi scegliere Proprietà per aprire la finestra di dialogo Proprietà.

   12. Fare clic su Attivato, quindi su OK.

       Nota

       Per rendere effettivo l'oggetto Criteri di gruppo, la modifica dell'oggetto Criteri di gruppo deve essere replicata in tutti i controller di dominio nel dominio e i computer interessati devono essere riavviati dopo l'applicazione dei criteri.

Come configurare la voce del Registro di sistema MaxTokenSize usando l'oggetto Criteri di gruppo in Windows Server 2008 e In Windows Server 2008 R2

Nei domini di Windows Server 2008 e nei domini di Windows Server 2008 R2 è possibile usare l'estensione Client-Side Registro di sistema per distribuire il valore del Registro di sistema MaxTokenSize a più computer in un dominio. Per creare l'impostazione del valore MaxTokenSize in un oggetto Criteri di gruppo, seguire questa procedura:

1. Fare clic su Start, fare clic su Esegui, digitare gpmc.msc e quindi fare clic su OK per aprire la console di gestione Criteri di gruppo.
2. Nella console di gestione Criteri di gruppo creare un nuovo oggetto Criteri di gruppo collegato a livello di dominio o collegato all'unità organizzativa che contiene gli account computer. In alternativa, è possibile selezionare un oggetto Criteri di gruppo già distribuito.
3. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo e quindi scegliere Modifica per aprire la finestra Criteri di gruppo Management Editor.
4. Espandere Configurazione computer, Preferenze e quindi Impostazioni di Windows.
5. Fare clic con il pulsante destro del mouse su Registro di sistema, scegliere Nuovo e quindi fare clic su Elemento del Registro di sistema. Verrà visualizzata la finestra di dialogo Nuove proprietà del Registro di sistema.
6. Nell'elenco Azioni fare clic su Crea.
7. Nell'elenco Hive fare clic su HKEY_LOCAL_MACHINE.
8. Nell'elenco Percorso chiave fare clic su SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
9. Nella casella Nome valore digitare MaxTokenSize.
10. Nella casella Tipo di valore fare clic per selezionare la casella di controllo REG_DWORD.
11. Nella casella Dati valore digitare 48000.
12. Accanto a Base fare clic per selezionare la casella di controllo Decimal.
13. Fare clic su OK.

Come configurare la voce del Registro di sistema MaxTokenSize usando l'oggetto Criteri di gruppo in Windows Server 2012

Per distribuire il valore della voce del Registro di sistema MaxTokenSize in un dominio con controller di dominio basati su Windows Server 2012, seguire questa procedura:

1. Aprire Server Manager, fare clic su Strumenti e quindi su Gestione Criteri di gruppo per aprire la console di gestione Criteri di gruppo.
2. Nella console di gestione Criteri di gruppo creare un nuovo oggetto Criteri di gruppo collegato a livello di dominio o collegato all'unità organizzativa che contiene gli account computer. In alternativa, selezionare un oggetto Criteri di gruppo già distribuito.
3. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo e quindi scegliere Modifica per aprire la finestra Criteri di gruppo Management Editor.
4. Espandere Configurazione computer, Criteri e quindi Modelli amministrativi.
5. Espandere Sistema e quindi fare clic su Kerberos.
6. Fare clic con il pulsante destro del mouse su Imposta dimensioni massime del buffer del token di contesto SSPI Kerberos nel riquadro a destra e quindi scegliere Modifica.
7. Fare clic su Abilitato e quindi digitare 48000 nella casella Dimensioni massime.
8. Fare clic su OK.

Riferimenti

Per altre informazioni sulla voce del Registro di sistema MaxTokenSize, fare clic sul numero dell'articolo della Microsoft Knowledge Base seguente:
327825 Nuova risoluzione dei problemi relativi all'autenticazione Kerberos quando gli utenti appartengono a molti gruppi