Como usar Política de Grupo para adicionar a entrada do registro MaxTokenSize a vários computadores
Este artigo descreve como usar Política de Grupo para adicionar a entrada do registro MaxTokenSize a vários computadores.
Aplica-se a: Windows Server 2012 R2, Windows Server 2008 R2 Service Pack 1
Número de KB original: 938118
Introdução
Em um controlador de domínio que está executando o Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012, você pode usar Política de Grupo para adicionar a seguinte entrada de registro a vários computadores:
Chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Entrada: MaxTokenSize
Tipo de dados: REG_DWORD
Valor: 48000
Este artigo descreve como fazer isso, para que você possa enviar essa configuração para todos os membros de seus domínios facilmente. O processo é diferente, dependendo da versão do Windows Server em que o controlador de domínio está em execução.
Observação
O valor máximo permitido de MaxTokenSize é 65535 bytes. No entanto, devido à codificação base64 do HTTP de tokens de contexto de autenticação, não recomendamos que você defina a entrada do registro maxTokenSize como um valor maior que 48.000 bytes. Começando com Windows Server 2012, o valor padrão da entrada do registro MaxTokenSize é 48.000 bytes.
Mais informações
Como configurar o MaxTokenSize usando Política de Grupo Object (GPO) no Windows Server 2003
Para adicionar a entrada do registro a vários computadores em um domínio que não tem um controlador de domínio baseado em Windows Server 2012, siga estas etapas:
Crie um arquivo ADM (Modelo Administrativo) para a entrada do registro MaxTokenSize. Para fazer isso, siga estas etapas:
Iniciar Bloco de Notas.
Copie o texto a seguir e cole o texto no Bloco de Notas:
MÁQUINA DE CLASSE
CATEGORIA!! PASSEIO
KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
POLÍTICA!! MaxToken
VALUENAME "MaxTokenSize"
VALUEON NUMERIC 48000
VALUEOFF NUMERIC 0
END POLICYCATEGORIA FINAL
[cadeias de caracteres]
KERB="Tamanho máximo do token Kerberos"
MaxToken="Kerberos MaxTokenSize"Observação
O valor da entrada do Registro MaxTokenSize é definido como 48000. Esse é o valor sugerido.
Salve o documento do Bloco de Notas como MaxTokenSize.adm na pasta %windir%\Inf\ no controlador de domínio que você usará para configurar o GPO para implantar a configuração.
Sair do Bloco de Notas.
Importe o ADM para um GPO e defina a entrada do registro MaxTokenSize como o valor desejado. Para fazer isso, siga estas etapas:
Crie um GPO (objeto Política de Grupo) vinculado no nível do domínio ou vinculado à OU (unidade organizacional) que contém suas contas de computador. Ou selecione um GPO que já está implantado.
Abra o Editor objeto Política de Grupo. Para fazer isso, clique em Iniciar, clique em Executar, digite gpedit.msc e clique em OK.
Na árvore do console, expanda Configuração do Computador, expanda Modelos Administrativos e clique em Modelos Administrativos.
No menu Ação, aponte para Todas as Tarefas e clique em Adicionar/Remover Modelos.
Clique em Adicionar.
Clique para selecionar o arquivo MaxTokenSize.adm que você criou na etapa 1 e clique em Abrir.
Clique em Fechar.
No Menu Exibir, clique em Filtragem.
Clique para limpar a caixa Somente mostrar as configurações de política que podem ser totalmente gerenciadas marcar caixa e clique em OK.
Expanda Modelos Administrativos e clique em Tamanho Máximo do Token Kerberos.
Clique com o botão direito do mouse em Kerberos MaxTokenSize no painel direito e clique em Propriedades para abrir a caixa de diálogo Propriedades.
Clique em Habilitado e, em seguida, clique em OK.
Observação
Para que o GPO entre em vigor, a alteração de GPO deve ser replicada para todos os controladores de domínio no domínio e os computadores afetados devem ser reiniciados depois que a política for aplicada a eles.
Como configurar a entrada do registro MaxTokenSize usando GPO no Windows Server 2008 e no Windows Server 2008 R2
Nos domínios do Windows Server 2008 e no Windows Server 2008 R2, você pode usar o Registro Client-Side Extension para implantar o valor do registro MaxTokenSize em vários computadores em um domínio. Para criar a configuração de valor MaxTokenSize em um GPO, siga estas etapas:
- Clique em Iniciar, clique em Executar, digite gpmc.msc e clique em OK para abrir o Console de Gerenciamento Política de Grupo.
- No Console de Gerenciamento Política de Grupo, crie um novo GPO vinculado no nível do domínio ou que esteja vinculado à OU que contenha suas contas de computador. Ou você pode selecionar um GPO que já está implantado.
- Clique com o botão direito do mouse no GPO e clique em Editar para abrir a janela Editor de Gerenciamento de Política de Grupo.
- Expanda Configuração do Computador, expanda Preferências e expanda Configurações do Windows.
- Clique com o botão direito do mouse em Registro, aponte para Novo e clique em Item do Registro. A caixa de diálogo Novas Propriedades do Registro é exibida.
- Na lista Ação, clique em Criar.
- Na lista hive, clique em HKEY_LOCAL_MACHINE.
- Na lista Caminho da Chave, clique em SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
- Na caixa Nome do valor, digite MaxTokenSize.
- Na caixa Tipo de valor, clique para selecionar a caixa REG_DWORD marcar.
- Na caixa de dados Valor, digite 48000.
- Ao lado de Base, clique para selecionar a caixa Decimal marcar.
- Clique em OK.
Observação
Para que o GPO entre em vigor, a alteração de GPO deve ser replicada para todos os controladores de domínio no domínio e os computadores afetados devem ser reiniciados após aplicarem a política.
Como configurar a entrada do registro MaxTokenSize usando GPO no Windows Server 2012
Para implantar o valor da entrada do Registro MaxTokenSize em um domínio que tenha controladores de domínio baseados em Windows Server 2012, siga estas etapas:
- Abra Gerenciador do Servidor, clique em Ferramentas e clique em Política de Grupo Gerenciamento para abrir o console de Gerenciamento de Política de Grupo.
- No Console de Gerenciamento Política de Grupo, crie um novo GPO vinculado no nível do domínio ou que esteja vinculado à OU que contenha suas contas de computador. Ou selecione um GPO que já está implantado.
- Clique com o botão direito do mouse no GPO e clique em Editar para abrir a janela Editor de Gerenciamento de Política de Grupo.
- Expanda Configuração do Computador, expanda Políticas e expanda Modelos Administrativos.
- Expanda Sistema e clique em Kerberos.
- Clique com o botão direito do mouse em Definir o tamanho máximo do buffer de token de contexto do Kerberos SSPI no painel direito e clique em Editar.
- Clique em Habilitado e digite 48000 na caixa Tamanho máximo.
- Clique em OK.
Observação
Para que o GPO entre em vigor, a alteração de GPO deve ser replicada para todos os controladores de domínio no domínio e os computadores afetados devem ser reiniciados após aplicarem a política.
A configuração de política máxima de tamanho do buffer do token de contexto Kerberos SSPI é adicionada em Windows Server 2012 e em Windows 8. A configuração de política tem suporte no Windows XP, no Windows Server 2003, no Windows Vista, no Windows Server 2008, no Windows 7 e no Windows Server 2008 R2. Para usar essa configuração de Política de Grupo, você deve editar o GPO em uma versão de Windows Server 2012 ou em Windows 8 que tenha as ferramentas RSAT instaladas.
Referências
Para obter mais informações sobre a entrada do registro MaxTokenSize, clique no número do artigo a seguir para exibir o artigo na Base de Dados de Conhecimento da Microsoft:
327825 Nova resolução para problemas com autenticação Kerberos quando os usuários pertencem a muitos grupos
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários