你目前正处于脱机状态,正在等待 Internet 重新连接

如何使用组策略将 MaxTokenSize 注册表项添加到多台计算机

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

938118
简介
在域控制器上运行 Windows Server 2003,Windows Server 2008,Windows Server 2008 R2 或 Windows Server 2012,您可以使用组策略在多台计算机中添加以下注册表项:
密钥:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

项: MaxTokenSize
数据类型: REG_DWORD
值: 48000
本文介绍如何执行此操作,以便您可以轻松地将此设置推送到您的域中的所有成员。过程是不同的具体取决于 Windows 服务器的域控制器正在运行的版本。

注意MaxTokenSize 的最大允许的值为 65535 个字节。但是,由于 HTTP 的 base64 编码的身份验证上下文令牌,我们不建议将 maxTokenSize 注册表项值超过 48000 个字节。从 Windows Server 2012,MaxTokenSize 注册表项的默认值是 48000 字节为单位)。
更多信息

如何在 Windows Server 2003 中使用组策略对象 (GPO) 中配置 MaxTokenSize

要添加没有基于 Windows Server 2012 的域控制器的域中的多台计算机的注册表项,请执行以下步骤:
  1. 创建管理模板 (ADM) 文件 MaxTokenSize 注册表项。若要执行此操作,请执行以下步骤:
    1. 启动记事本。
    2. 复制下面的文本,然后将文本粘贴到记事本中:
      CLASS MACHINECATEGORY !!KERB                KEYNAME "SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters"                POLICY !!MaxToken                     VALUENAME "MaxTokenSize"                         VALUEON NUMERIC 48000                         VALUEOFF NUMERIC 0                END POLICYEND CATEGORY[strings]KERB="Kerberos Maximum Token Size"MaxToken="Kerberos MaxTokenSize"

      注意MaxTokenSize 注册表项的值设置为 48000。这是建议的值。
    3. 作为 MaxTokenSize.adm 的 %windir%\Inf\ 文件夹中保存记事本文档,您将使用它来配置部署设置的 GPO 的域控制器上。
    4. 退出记事本。
  2. 向 GPO 导入 ADM,将 MaxTokenSize 注册表项设置为所需值。若要执行此操作,请执行以下步骤:
    1. 创建一个新组策略对象 (GPO),在域级别链接或链接到包含您的计算机帐户的组织单位 (OU)。或者,选择一个已部署的 GPO。
    2. 打开组策略对象编辑器。若要执行此操作,单击开始运行键入gpedit.msc和,然后单击确定
    3. 在控制台树中,展开计算机配置,展开管理模板,然后单击管理模板
    4. 操作菜单上,指向所有任务,然后单击添加/删除模板
    5. 单击添加
    6. 单击以选中您在步骤 1 中创建的 MaxTokenSize.adm 文件,然后单击打开
    7. 单击关闭
    8. 视图菜单上,单击筛选
    9. 单击以清除只显示能完全管理的策略设置复选框,然后单击确定
    10. 展开管理模板,然后单击Kerberos Maximum 令牌的大小
    11. Kerberos MaxTokenSize在右侧窗格中,右键单击,然后单击属性以打开属性对话框。
    12. 单击启用,然后单击确定

      注意Gpo 生效、 GPO 更改,必须将复制到所有域控制器的域中,必须重新启动受影响的计算机之后对其应用该策略。

如何通过使用 Windows Server 2008 中,Windows Server 2008 R2 中的 GPO 中配置的 MaxTokenSize 注册表项

在 Windows Server 2008 的域和 Windows Server 2008 R2 的域中,可以使用注册表的客户端扩展到多台计算机在域中部署的 MaxTokenSize 注册表值。在 GPO 中创建的 MaxTokenSize 值设置,请执行以下步骤:
  1. 单击开始,单击运行,键入gpmc.msc,然后单击确定以打开组策略管理控制台。
  2. 在组策略管理控制台中,创建一个新的 GPO 在域级别链接或链接到包含您的计算机帐户的 OU。或者,您可以选择一个已部署的 GPO。
  3. 用鼠标右键单击该 GPO,,然后单击编辑以打开组策略管理编辑器窗口。
  4. 展开计算机配置,展开首选项、 然后展开Windows 设置
  5. 用鼠标右键单击注册表,指向新建,然后单击注册表项。出现新建注册表属性对话框。
  6. 操作列表中,单击创建
  7. 配置单元列表中,单击特定
  8. 关键路径列表中,单击SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
  9. 框中,键入MaxTokenSize
  10. 值类型框中,单击以选中REG_DWORD复选框。
  11. 数值数据框中,键入48000
  12. ,旁边单击以选择十进制复选框。
  13. 单击确定
注意Gpo 生效,必须将 GPO 更改复制到所有域控制器的域中,必须重新启动受影响的计算机,它们在应用策略后。

如何通过使用 Windows Server 2012 中的 GPO 中配置 MaxTokenSize 注册表项

若要部署基于 Windows Server 2012 的域控制器的域中的 MaxTokenSize 注册表项的值,请执行以下步骤:
  1. 打开服务器管理器,单击工具,然后单击组策略管理以打开组策略管理控制台。
  2. 在组策略管理控制台中,创建一个新的 GPO 在域级别链接或链接到包含您的计算机帐户的 OU。或者,选择一个已部署的 GPO。
  3. 用鼠标右键单击该 GPO,,然后单击编辑以打开组策略管理编辑器窗口。
  4. 展开计算机配置,展开策略,然后展开管理模板
  5. 展开系统,然后单击Kerberos。
  6. 右键单击右侧窗格中,在最大的 Kerberos SSPI 上下文令牌的缓冲区大小设置,然后单击编辑
  7. 单击启用,然后在最大文件大小框中键入48000
  8. 单击确定
注释
  • Gpo 生效,必须将 GPO 更改复制到所有域控制器的域中,必须重新启动受影响的计算机,它们在应用策略后。
  • 在 Windows Server 2012 和在 Windows 8 中添加设置最大 Kerberos SSPI 上下文令牌缓冲区大小策略设置。在 Windows XP、 Windows Server 2003 中、 在 Windows Vista 中,Windows Server 2008 中、 在 Windows 7 中,和 Windows Server 2008 R2 中支持的策略设置。若要使用此组策略设置,您必须编辑 GPO 中 Windows Server 2012 的版本或已安装 RSAT 工具的 Windows 8 中。
参考
有关如何编写自定义.adm 文件的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
225087 编写自定义 ADM 文件的系统策略编辑器
有关 MaxTokenSize 注册表项的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章
327825 新的解决办法使用 Kerberos 身份验证,当用户属于多个组时的问题

Warning: This article has been translated automatically

属性

文章 ID:938118 - 上次审阅时间:06/21/2014 13:19:00 - 修订版本: 2.0

  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Web Edition
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
  • kbexpertiseinter kbhowto kbinfo kbmt KB938118 KbMtzh
反馈