Использование групповая политика для добавления записи реестра MaxTokenSize на несколько компьютеров

  • Статья

В этой статье описывается, как использовать групповая политика для добавления записи реестра MaxTokenSize на несколько компьютеров.

Область применения: Windows Server 2012 R2, Windows Server 2008 R2 с пакетом обновления 1 (SP1)
Исходный номер базы знаний: 938118

Введение

На контроллере домена под управлением Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 или Windows Server 2012 можно использовать групповая политика, чтобы добавить следующую запись реестра на несколько компьютеров:

Ключ: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Запись: MaxTokenSize
Тип данных: REG_DWORD
Значение: 48000

В этой статье описывается, как это сделать, чтобы вы могли легко передать этот параметр всем членам ваших доменов. Процесс отличается в зависимости от версии Windows Server, запущенной контроллером домена.

Примечание.

Максимально допустимое значение MaxTokenSize — 65535 байт. Однако из-за кодировки http base64 маркеров контекста проверки подлинности не рекомендуется задавать для записи реестра maxTokenSize значение, превышающее 48 000 байт. Начиная с Windows Server 2012 значение по умолчанию для записи реестра MaxTokenSize составляет 48 000 байт.

Дополнительная информация

Настройка MaxTokenSize с помощью объекта групповая политика (GPO) в Windows Server 2003

Чтобы добавить запись реестра на несколько компьютеров в домене без контроллера домена на основе Windows Server 2012, выполните следующие действия.

  1. Создайте файл ADM для записи реестра MaxTokenSize. Для этого выполните следующие действия:

    1. Запустите Блокнот.

    2. Скопируйте следующий текст и вставьте его в Блокнот:

      КОМПЬЮТЕР КЛАССА

      КАТЕГОРИИ!! СОБСТВЕННАЯ

      KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"
      ПОЛИТИКИ!! MaxToken
      VALUENAME "MaxTokenSize"
      VALUEON NUMERIC 48000
      VALUEOFF NUMERIC 0
      END POLICY

      END CATEGORY

      [строки]
      KERB="Максимальный размер маркера Kerberos"
      MaxToken="Kerberos MaxTokenSize"

      Примечание.

      Для записи реестра MaxTokenSize задано значение 48000. Это рекомендуемое значение.

    3. Сохраните документ Блокнота как MaxTokenSize.adm в папке %windir%\Inf\ на контроллере домена, который будет использоваться для настройки объекта групповой политики для развертывания параметра.

    4. Выйдите из Блокнота.

  2. Импортируйте ADM в объект групповой политики и задайте для записи реестра MaxTokenSize нужное значение. Для этого выполните следующие действия:

    1. Создайте объект групповая политика, связанный на уровне домена или связанный с подразделением организации, содержащим учетные записи компьютера. Или выберите объект групповой политики, который уже развернут.

    2. Откройте Редактор объекта групповая политика. Для этого нажмите кнопку Пуск, нажмите кнопку Выполнить, введите gpedit.msc, а затем нажмите кнопку ОК.

    3. В дереве консоли разверните узел Конфигурация компьютера, Административные шаблоны, а затем щелкните Административные шаблоны.

    4. В меню Действие наведите указатель мыши на пункт Все задачи, а затем выберите пункт Добавить и удалить шаблоны.

    5. Нажмите Добавить.

    6. Щелкните, чтобы выбрать файл MaxTokenSize.adm, созданный на шаге 1, и нажмите кнопку Открыть.

    7. Нажмите кнопку Закрыть.

    8. В меню Вид выберите пункт Фильтрация.

    9. Снимите флажок Только показывать параметры политики, которыми можно полностью управлять проверка, и нажмите кнопку ОК.

    10. Разверните узел Административные шаблоны и щелкните Максимальный размер маркера Kerberos.

    11. Щелкните правой кнопкой мыши Kerberos MaxTokenSize в области справа, а затем выберите пункт Свойства, чтобы открыть диалоговое окно Свойства.

    12. Выберите Включено и нажмите кнопку OK.

      Примечание.

      Чтобы объект групповой политики вступил в силу, изменение объекта групповой политики должно быть реплицировано на все контроллеры домена в домене, а затронутые компьютеры должны быть перезапущены после применения к ним политики.

Настройка записи реестра MaxTokenSize с помощью объекта групповой политики в Windows Server 2008 и Windows Server 2008 R2

В доменах Windows Server 2008 и Windows Server 2008 R2 можно использовать расширение Client-Side реестра, чтобы развернуть значение реестра MaxTokenSize на нескольких компьютерах в домене. Чтобы создать значение MaxTokenSize в объекте групповой политики, выполните следующие действия.

  1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите gpmc.msc, а затем нажмите кнопку ОК, чтобы открыть консоль управления групповая политика.
  2. В консоли управления групповая политика создайте новый объект групповой политики, связанный на уровне домена или связанный с подразделением, содержащим учетные записи компьютера. Или можно выбрать объект групповой политики, который уже развернут.
  3. Щелкните объект групповой политики правой кнопкой мыши и выберите команду Изменить, чтобы открыть окно Редактор управления групповая политика.
  4. Разверните узел Конфигурация компьютера, Параметры, а затем — Параметры Windows.
  5. Щелкните правой кнопкой мыши Реестр, наведите указатель мыши на пункт Создать, а затем выберите Элемент реестра. Откроется диалоговое окно Новые свойства реестра.
  6. В списке Действие нажмите кнопку Создать.
  7. В списке Hive щелкните HKEY_LOCAL_MACHINE.
  8. В списке Путь к ключу щелкните SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
  9. В поле Имя значения введите MaxTokenSize.
  10. В поле Тип значения щелкните, чтобы выбрать поле REG_DWORD проверка.
  11. В поле Значение введите 48000.
  12. Рядом с полем Базовый щелкните, чтобы выбрать поле Десятичный проверка.
  13. Нажмите кнопку ОК.

Примечание.

Чтобы объект групповой политики вступил в силу, изменение объекта групповой политики должно быть реплицировано на все контроллеры домена в домене, а затронутые компьютеры должны быть перезапущены после применения политики.

Настройка записи реестра MaxTokenSize с помощью объекта групповой политики в Windows Server 2012

Чтобы развернуть значение записи реестра MaxTokenSize в домене с контроллерами домена на основе Windows Server 2012, выполните следующие действия.

  1. Откройте диспетчер сервера, щелкните Сервис и щелкните Управление групповая политика, чтобы открыть консоль управления групповая политика.
  2. В консоли управления групповая политика создайте новый объект групповой политики, связанный на уровне домена или связанный с подразделением, содержащим учетные записи компьютера. Или выберите объект групповой политики, который уже развернут.
  3. Щелкните объект групповой политики правой кнопкой мыши и выберите команду Изменить, чтобы открыть окно Редактор управления групповая политика.
  4. Разверните узел Конфигурация компьютера, Политики, а затем — Административные шаблоны.
  5. Разверните узел Система и щелкните Kerberos.
  6. Щелкните правой кнопкой мыши параметр Задать максимальный размер буфера маркеров контекста Kerberos SSPI на правой боковой панели и выберите команду Изменить.
  7. Щелкните Включено и введите 48000 в поле Максимальный размер.
  8. Нажмите кнопку ОК.

Примечание.

  • Чтобы объект групповой политики вступил в силу, изменение объекта групповой политики должно быть реплицировано на все контроллеры домена в домене, а затронутые компьютеры должны быть перезапущены после применения политики.

  • Параметр политики Задать максимальный размер буфера маркера контекста Kerberos SSPI добавляется в Windows Server 2012 и в Windows 8. Параметр политики поддерживается в Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2. Чтобы использовать этот групповая политика параметр, необходимо изменить объект групповой политики в версии Windows Server 2012 или в Windows 8 с установленными средствами RSAT.

Ссылки

Чтобы получить дополнительные сведения о записи реестра MaxTokenSize, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
327825 Новое решение проблем с проверкой подлинности Kerberos, когда пользователи принадлежат к нескольким группам