您目前已離線,請等候您的網際網路重新連線

非 Microsoft Kerberos 領域的交互操作性的 Windows Server 2008 群組原則設定

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本:947706
簡介
Microsoft 提供的互通性功能 Windows Server 2008 中,並在 Windows Vista Service Pack 1 (SP1),可讓這些電腦来用於驗證的非 Microsoft 的 Kerberos 通訊協定的實作。若要啟用這項設定,則必須修改將要加入到非 Microsoft Kerberos 領域的電腦上的某些設定。在 Windows Server 2008 中,系統管理員可以部署到多部電腦透過 「 群組原則的這些組態設定。本文將告訴您已新增到支援非 Microsoft Kerberos 實作間的互用性,Windows Server 2008 中,以及在 Windows Vista SP1 中的群組原則設定。
其他相關資訊
下列設定值位於下列 「 群組原則管理主控台中的位置:
電腦設定 Templates\System\Kerberos

原則: 定義主應用程式名稱-Kerberos 領域對應

這個原則設定可讓您指定的 DNS 主機名稱,並會對應到 Kerberos 領域的 DNS 尾碼。

如果您啟用這個原則設定,您可以檢視並變更 DNS 主機名稱和群組原則所定義,會對應到 Kerberos 領域的 DNS 尾碼的清單。

如果您停用此原則設定,群組原則會定義主應用程式名稱-Kerberos 領域對應清單將被刪除。

如果您停用此原則或不設定它,系統會使用本機登錄中所定義的主機名稱-Kerberos 領域對應,如果領域對應存在。

要檢視對應的清單,請啟用原則設定,然後按一下 顯示.

若要加入對應,請依照下列步驟執行:
  1. 啟用原則設定。
  2. 請注意,語法然後按一下 顯示.
  3. 按一下 新增然後輸入領域名稱、 DNS 主機名稱和 DNS 尾碼清單,使用您在步驟 2 中記下的語法。
要移除對應,請按一下 [對應] 項目,然後按一下 移除.

若要編輯的對應,請從清單中移除目前的項目,然後新增新的對應有不同的參數。

原則: 定義可互通的 Kerberos 版本 5 領域設定

這個原則設定的 Kerbero 用戶端可設定用戶端可以使用驗證可互通的 Kerberos 版本 5 領域所定義這個原則設定。

如果您啟用這個原則設定,您可檢視與變更的交互作用的 Kerberos 版本 5 領域清單和它們的設定。

如果您停用此原則設定,則會刪除群組原則會定義可交互操作 Kerberos 版本 5 的領域設定。

如果您停用此原則或不設定它,系統會使用可交互操作 Kerberos 版本 5 的領域定義的設定在本機登錄中,如果領域設定存在。

要檢視的互通性的 Kerberos 版本 5 領域清單,請啟用原則設定,然後按一下 顯示.

若要新增可互通的 Kerberos 版本 5 領域,請遵循下列步驟:
  1. 啟用原則設定。
  2. 請注意,語法然後按一下 顯示.
  3. 按一下 新增輸入可交互操作 Kerberos 版本 5 中的領域名稱 值名稱 方塊中,並鍵入中設定的定義 方塊中。使用您在步驟 2 中記下的語法。
要移除可互通的 Kerberos 版本 5 領域,請按一下 Kerberos 版本 5 項目,然後按一下 移除.

若要編輯的對應,請從清單中移除目前的項目,然後新增新的對應有不同的參數。

原則: 需要嚴格的 KDC 驗證

當用戶端會確認金鑰發行中心 (KDC) 憑證,這個原則設定會控制的 Kerbero 用戶端行為。

如果您啟用這個原則設定:
  • Kerbero 用戶端需要 KDC 的 X.509 憑證包含 KDC 金鑰的目的物件識別項,在擴充金鑰使用方法 (EKU) 延伸。
  • Kerbero 用戶端需要 KDC 的 X.509 憑證包含與該網域的 DNS 名稱相符的 dNSName subjectAltName (SAN) 延伸模組。
  • 如果電腦加入網域,Kerbero 用戶端會要求必須在 NTAUTH 存放區中的憑證授權單位簽章 KDC 的 X.509 憑證。
  • 如果電腦未加入網域時的 Kerbero 用戶端准許您進行智慧卡上的根憑證授權單位憑證可用於 KDC 的 X.509 憑證路徑驗證。
如果您停用或不設定這個原則設定,Kerbero 用戶端只需要的 KDC 憑證含有伺服器驗證 」 用途物件識別碼在 EKU 延伸內。
参考
如需有關 Kerberos 5 的互通性的詳細資訊,請造訪下列 Microsoft TechNet 網站:

警告:本文為自動翻譯

內容

文章識別碼:947706 - 最後檢閱時間:09/16/2012 21:44:00 - 修訂: 3.0

Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2008 Standard

  • kbinfo kbPubTypeKC kbhowto kbmt KB947706 KbMtzh
意見反應