Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để sử dụng chính sách nhóm để thêm các mục nhập registry MaxTokenSize để nhiều máy tính

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 938118
GIỚI THIỆU
Trên một bộ bộ kiểm soát miền đang chạy Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 hoặc Windows Server 2012, bạn có thể sử dụng chính sách nhóm để thêm các mục kiểm nhập sau đây để nhiều máy tính:
Phím:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Mục: MaxTokenSize
Kiểu dữ liệu: REG_DWORD
Giá trị: 48000
Bài viết này mô tả làm thế nào để làm điều này, do đó bạn có thể đẩy cài đặt chuyên biệt này cho tất cả các thành viên của tên miền của bạn một cách dễ dàng. Quá trình này là khác nhau, tùy thuộc vào các phiên bản của Windows Server mà bộ kiểm soát miền đang chạy.

Lưu ý:Tối đa cho phép các giá trị của MaxTokenSize là 65535 byte. Tuy nhiên, vì của HTTP base64 mã hóa xác thực bối cảnh thẻ, chúng tôi không khuyên rằng bạn thiết lập các mục nhập registry maxTokenSize một giá trị lớn hơn 48000 byte. Bắt đầu với Windows Server 2012, giá trị mặc định của các mục nhập registry MaxTokenSize là 48000 byte.
Thông tin thêm

Làm thế nào để cấu hình MaxTokenSize bằng cách sử dụng đối tượng chính sách nhóm (GPO) trong Windows Server 2003

Để thêm các mục kiểm nhập để nhiều máy tính trong một tên miền mà không có bộ kiểm soát miền Windows Server 2012 dựa trên, hãy làm theo các bước sau:
  1. Tạo một tập tin hành chính mẫu (ADM) cho các mục nhập registry MaxTokenSize. Để thực hiện điều này, hãy làm theo các bước sau:
    1. Bắt đầu Notepad.
    2. Hãy sao chép dòng, và sau đó dán văn bản vào Notepad:
      CLASS MACHINECATEGORY !!KERB                KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"                POLICY !!MaxToken                     VALUENAME "MaxTokenSize"                         VALUEON NUMERIC 48000                         VALUEOFF NUMERIC 0                END POLICYEND CATEGORY[strings]KERB="Kerberos Maximum Token Size"MaxToken="Kerberos MaxTokenSize"

      Lưu ý: Giá trị của các mục nhập registry MaxTokenSize được thiết lập để 48000. Đây là giá trị đề xuất.
    3. Lưu tài liệu Notepad như MaxTokenSize.adm trong mục tin thư thoại %windir%\Inf\ trên bộ điều khiển tên miền mà bạn sẽ sử dụng để đặt cấu hình GPO để triển khai các thiết lập.
    4. Thoát Notepad.
  2. Nhập khẩu ADM vào một GPO và thiết lập các mục nhập registry MaxTokenSize giá trị mong muốn. Để thực hiện điều này, hãy làm theo các bước sau:
    1. Tạo ra một mới nhóm chính sách đối tượng Group Policy (GPO) mà được liên kết ở cấp độ tên miền hoặc đó liên kết với các đơn vị tổ chức (OU) có chứa tài khoản máy tính của bạn. Hoặc, chọn một GPO đã được triển khai.
    2. Mở trình chỉnh sửa đối tượng chính sách nhóm. Để làm điều này, bấm vào Bắt đầu, bấm chạy, gõ gpedit.msc, và sau đó nhấp vào OK.
    3. Trong cây Panel điều khiển, mở rộng Cấu hình máy tính, mở rộng Khuôn mẫu quản trị, và sau đó nhấp vào Mẫu quản trị.
    4. Trên menu hành động , điểm để Tất cả các tác vụ, và sau đó nhấp vào Add/Remove Templates.
    5. Bấm vào Thêm.
    6. Nhấn vào đây để chọn tập tin MaxTokenSize.adm mà bạn đã tạo ở bước 1, và sau đó nhấp vào mở.
    7. Nhấp vào đóng.
    8. Trên Menu xem , bấm vào lọc.
    9. Bấm để bỏ chọn hộp kiểm chỉ hiển thị cài đặt chuyên biệt chính sách mà có thể được quản lý đầy đủ , và sau đó nhấp vào OK.
    10. Bung rộng Khuôn mẫu quản trị, và sau đó nhấp vào Kerberos Maximum mã thông báo kích thước.
    11. Bấm chuột phải vào Kerberos MaxTokenSize trong ngăn bên phải, sau đó nhấp vào thuộc tính để mở hộp thoại thuộc tính .
    12. Nhấp vào đã bật, và sau đó nhấp vào OK.

      Lưu ý: Cho GPO có hiệu lực, sự thay đổi GPO phải được sao chép tới tất cả các bộ kiểm soát miền trong tên miền, và bị ảnh hưởng máy tính phải được khởi động lại sau khi các chính sách được áp dụng cho họ.

Làm thế nào để cấu hình các mục nhập registry MaxTokenSize bằng cách sử dụng GPO trong Windows Server 2008 và Windows Server 2008 R2

Trong tên miền Windows Server 2008 và Windows Server 2008 R2 tên miền, bạn có thể sử dụng phần mở rộng phía khách hàng kiểm nhập để triển khai các giá trị kiểm nhập MaxTokenSize để nhiều máy tính trong một tên miền. Để tạo ra thiết lập giá trị MaxTokenSize trong một GPO, hãy làm theo các bước sau:
  1. Nhấp vào Bắt đầu, bấm chạy, loại gpmc.msc, và sau đó nhấp vào OK để mở giao diện điều khiển quản lý chính sách nhóm.
  2. Trong các nhóm chính sách bàn điều khiển quản lí, tạo ra một GPO mới mà được liên kết ở cấp độ tên miền hoặc đó liên kết với OU có tài khoản máy tính của bạn. Hoặc bạn có thể chọn một GPO đã được triển khai.
  3. Bấm chuột phải vào GPO, và sau đó nhấp vào chỉnh sửa để mở cửa sổ soạn quản lý chính sách nhóm.
  4. Mở rộng Cấu hình máy tính, mở rộng tuỳ chọn, và sau đó mở rộng Thiết đặt Windows.
  5. Bấm chuột phải vào kiểm nhập, điểm đến mới, và sau đó bấm vào Khoản mục kiểm nhập. hộp thoại Thuộc tính kiểm nhập mới xuất hiện.
  6. Trong danh sách hành động , nhấp vào tạo.
  7. Trong danh sách Hive , nhấp vào HKEY_LOCAL_MACHINE.
  8. Trong danh sách Phím đường dẫn , bấm vào SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
  9. Trong hộp tên giá trị , nhập MaxTokenSize.
  10. Trong loại giá trị hộp, bấm vào để chọn hộp kiểm REG_DWORD .
  11. Trong các dữ liệu giá trị hộp, gõ 48000.
  12. Bên cạnh cơ sở, bấm để chọn hộp kiểm thập phân .
  13. Nhấp vào OK.
Lưu ý: Cho GPO có hiệu lực, sự thay đổi GPO phải được sao chép tới tất cả các bộ kiểm soát miền trong tên miền, và bị ảnh hưởng máy tính phải được khởi động lại sau khi họ áp dụng các chính sách.

Làm thế nào để cấu hình các mục nhập registry MaxTokenSize bằng cách sử dụng GPO trong Windows Server 2012

Để triển khai giá trị của các mục nhập registry MaxTokenSize trong một tên miền có bộ kiểm soát miền Windows Server 2012 dựa trên, hãy làm theo các bước sau:
  1. Mở Quản lý máy chủ, bấm công cụ, và sau đó nhấp vào Quản lý chính sách nhóm để mở giao diện điều khiển quản lý chính sách nhóm.
  2. Trong các nhóm chính sách bàn điều khiển quản lí, tạo ra một GPO mới mà được liên kết ở cấp độ tên miền hoặc đó liên kết với OU có tài khoản máy tính của bạn. Hoặc, chọn một GPO đã được triển khai.
  3. Bấm chuột phải vào GPO, và sau đó nhấp vào chỉnh sửa để mở cửa sổ soạn quản lý chính sách nhóm.
  4. Mở rộng Cấu hình máy tính, mở rộng chính sách, và sau đó mở rộng Khuôn mẫu quản trị.
  5. Mở rộng hệ thống, và sau đó nhấp vào Kerberos.
  6. Bấm chuột phải thiết lập kích thước bộ đệm token bối cảnh Kerberos SSPI tối đa trên ngăn bên phải, và sau đó nhấp vào chỉnh sửa.
  7. Nhấp vào đã bật, và sau đó gõ 48000 trong hộp kích thước tối đa .
  8. Nhấp vào OK.
Lưu ý
  • Cho GPO có hiệu lực, sự thay đổi GPO phải được sao chép tới tất cả các bộ kiểm soát miền trong tên miền, và bị ảnh hưởng máy tính phải được khởi động lại sau khi họ áp dụng các chính sách.
  • Thiết lập tối đa Kerberos SSPI bối cảnh mã thông báo bộ đệm kích thước thiết đặt chính sách được thêm vào trong Windows Server 2012 và trong Windows 8. Thiết đặt chính sách được hỗ trợ trong Windows XP, Windows Server 2003, trong Windows Vista, trong Windows Server 2008, trong Windows 7 và Windows Server 2008 R2. Để sử dụng cài đặt chuyên biệt chính sách nhóm này, bạn phải chỉnh sửa GPO trong một phiên bản của Windows Server 2012 hoặc trong Windows 8 có các công cụ RSAT cài đặt chuyên biệt.
Tham khảo
Để biết thêm chi tiết về làm thế nào để viết tùy chỉnh .adm tập tin, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
225087 Tập tin ADM tùy chỉnh bằng văn bản để chỉnh sửa chính sách hệ thống
Để biết thêm chi tiết về các mục nhập registry MaxTokenSize, nhấp vào số bài viết sau để xem bài viết trong Cơ sở tri thức Microsoft
327825 Các giải pháp mới cho các vấn đề với xác thực Kerberos khi người dùng thuộc về nhiều nhóm

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 938118 - Xem lại Lần cuối: 06/21/2014 13:21:00 - Bản sửa đổi: 2.0

Windows Server 2008 R2 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Windows Server 2008 R2 Service Pack 1, Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard

  • kbexpertiseinter kbhowto kbinfo kbmt KB938118 KbMtvi
Phản hồi