Como usar Política de Grupo para adicionar a entrada do registro MaxTokenSize a vários computadores

  • Artigo

Este artigo descreve como usar Política de Grupo para adicionar a entrada do registro MaxTokenSize a vários computadores.

Aplica-se a: Windows Server 2012 R2, Windows Server 2008 R2 Service Pack 1
Número de KB original: 938118

Introdução

Em um controlador de domínio que está executando o Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012, você pode usar Política de Grupo para adicionar a seguinte entrada de registro a vários computadores:

Chave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Entrada: MaxTokenSize
Tipo de dados: REG_DWORD
Valor: 48000

Este artigo descreve como fazer isso, para que você possa enviar essa configuração para todos os membros de seus domínios facilmente. O processo é diferente, dependendo da versão do Windows Server em que o controlador de domínio está em execução.

Observação

O valor máximo permitido de MaxTokenSize é 65535 bytes. No entanto, devido à codificação base64 do HTTP de tokens de contexto de autenticação, não recomendamos que você defina a entrada do registro maxTokenSize como um valor maior que 48.000 bytes. Começando com Windows Server 2012, o valor padrão da entrada do registro MaxTokenSize é 48.000 bytes.

Mais informações

Como configurar o MaxTokenSize usando Política de Grupo Object (GPO) no Windows Server 2003

Para adicionar a entrada do registro a vários computadores em um domínio que não tem um controlador de domínio baseado em Windows Server 2012, siga estas etapas:

  1. Crie um arquivo ADM (Modelo Administrativo) para a entrada do registro MaxTokenSize. Para fazer isso, siga estas etapas:

    1. Iniciar Bloco de Notas.

    2. Copie o texto a seguir e cole o texto no Bloco de Notas:

      MÁQUINA DE CLASSE

      CATEGORIA!! PASSEIO

      KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
      POLÍTICA!! MaxToken
      VALUENAME "MaxTokenSize"
      VALUEON NUMERIC 48000
      VALUEOFF NUMERIC 0
      END POLICY

      CATEGORIA FINAL

      [cadeias de caracteres]
      KERB="Tamanho máximo do token Kerberos"
      MaxToken="Kerberos MaxTokenSize"

      Observação

      O valor da entrada do Registro MaxTokenSize é definido como 48000. Esse é o valor sugerido.

    3. Salve o documento do Bloco de Notas como MaxTokenSize.adm na pasta %windir%\Inf\ no controlador de domínio que você usará para configurar o GPO para implantar a configuração.

    4. Sair do Bloco de Notas.

  2. Importe o ADM para um GPO e defina a entrada do registro MaxTokenSize como o valor desejado. Para fazer isso, siga estas etapas:

    1. Crie um GPO (objeto Política de Grupo) vinculado no nível do domínio ou vinculado à OU (unidade organizacional) que contém suas contas de computador. Ou selecione um GPO que já está implantado.

    2. Abra o Editor objeto Política de Grupo. Para fazer isso, clique em Iniciar, clique em Executar, digite gpedit.msc e clique em OK.

    3. Na árvore do console, expanda Configuração do Computador, expanda Modelos Administrativos e clique em Modelos Administrativos.

    4. No menu Ação, aponte para Todas as Tarefas e clique em Adicionar/Remover Modelos.

    5. Clique em Adicionar.

    6. Clique para selecionar o arquivo MaxTokenSize.adm que você criou na etapa 1 e clique em Abrir.

    7. Clique em Fechar.

    8. No Menu Exibir, clique em Filtragem.

    9. Clique para limpar a caixa Somente mostrar as configurações de política que podem ser totalmente gerenciadas marcar caixa e clique em OK.

    10. Expanda Modelos Administrativos e clique em Tamanho Máximo do Token Kerberos.

    11. Clique com o botão direito do mouse em Kerberos MaxTokenSize no painel direito e clique em Propriedades para abrir a caixa de diálogo Propriedades.

    12. Clique em Habilitado e, em seguida, clique em OK.

      Observação

      Para que o GPO entre em vigor, a alteração de GPO deve ser replicada para todos os controladores de domínio no domínio e os computadores afetados devem ser reiniciados depois que a política for aplicada a eles.

Como configurar a entrada do registro MaxTokenSize usando GPO no Windows Server 2008 e no Windows Server 2008 R2

Nos domínios do Windows Server 2008 e no Windows Server 2008 R2, você pode usar o Registro Client-Side Extension para implantar o valor do registro MaxTokenSize em vários computadores em um domínio. Para criar a configuração de valor MaxTokenSize em um GPO, siga estas etapas:

  1. Clique em Iniciar, clique em Executar, digite gpmc.msc e clique em OK para abrir o Console de Gerenciamento Política de Grupo.
  2. No Console de Gerenciamento Política de Grupo, crie um novo GPO vinculado no nível do domínio ou que esteja vinculado à OU que contenha suas contas de computador. Ou você pode selecionar um GPO que já está implantado.
  3. Clique com o botão direito do mouse no GPO e clique em Editar para abrir a janela Editor de Gerenciamento de Política de Grupo.
  4. Expanda Configuração do Computador, expanda Preferências e expanda Configurações do Windows.
  5. Clique com o botão direito do mouse em Registro, aponte para Novo e clique em Item do Registro. A caixa de diálogo Novas Propriedades do Registro é exibida.
  6. Na lista Ação, clique em Criar.
  7. Na lista hive, clique em HKEY_LOCAL_MACHINE.
  8. Na lista Caminho da Chave, clique em SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
  9. Na caixa Nome do valor, digite MaxTokenSize.
  10. Na caixa Tipo de valor, clique para selecionar a caixa REG_DWORD marcar.
  11. Na caixa de dados Valor, digite 48000.
  12. Ao lado de Base, clique para selecionar a caixa Decimal marcar.
  13. Clique em OK.

Observação

Para que o GPO entre em vigor, a alteração de GPO deve ser replicada para todos os controladores de domínio no domínio e os computadores afetados devem ser reiniciados após aplicarem a política.

Como configurar a entrada do registro MaxTokenSize usando GPO no Windows Server 2012

Para implantar o valor da entrada do Registro MaxTokenSize em um domínio que tenha controladores de domínio baseados em Windows Server 2012, siga estas etapas:

  1. Abra Gerenciador do Servidor, clique em Ferramentas e clique em Política de Grupo Gerenciamento para abrir o console de Gerenciamento de Política de Grupo.
  2. No Console de Gerenciamento Política de Grupo, crie um novo GPO vinculado no nível do domínio ou que esteja vinculado à OU que contenha suas contas de computador. Ou selecione um GPO que já está implantado.
  3. Clique com o botão direito do mouse no GPO e clique em Editar para abrir a janela Editor de Gerenciamento de Política de Grupo.
  4. Expanda Configuração do Computador, expanda Políticas e expanda Modelos Administrativos.
  5. Expanda Sistema e clique em Kerberos.
  6. Clique com o botão direito do mouse em Definir o tamanho máximo do buffer de token de contexto do Kerberos SSPI no painel direito e clique em Editar.
  7. Clique em Habilitado e digite 48000 na caixa Tamanho máximo.
  8. Clique em OK.

Observação

  • Para que o GPO entre em vigor, a alteração de GPO deve ser replicada para todos os controladores de domínio no domínio e os computadores afetados devem ser reiniciados após aplicarem a política.

  • A configuração de política máxima de tamanho do buffer do token de contexto Kerberos SSPI é adicionada em Windows Server 2012 e em Windows 8. A configuração de política tem suporte no Windows XP, no Windows Server 2003, no Windows Vista, no Windows Server 2008, no Windows 7 e no Windows Server 2008 R2. Para usar essa configuração de Política de Grupo, você deve editar o GPO em uma versão de Windows Server 2012 ou em Windows 8 que tenha as ferramentas RSAT instaladas.

Referências

Para obter mais informações sobre a entrada do registro MaxTokenSize, clique no número do artigo a seguir para exibir o artigo na Base de Dados de Conhecimento da Microsoft:
327825 Nova resolução para problemas com autenticação Kerberos quando os usuários pertencem a muitos grupos