Partager via


Fournisseur de services de configuration de stratégie - ADMX_Kerberos

Astuce

Ce csp contient des stratégies ADMX qui nécessitent un format SyncML spécial pour activer ou désactiver. Vous devez spécifier le type de données dans syncML en tant que <Format>chr</Format>. Pour plus d’informations, consultez Présentation des stratégies adossées à ADMX.

La charge utile de SyncML doit être encodée en XML ; pour cet encodage XML, vous pouvez utiliser un large éventail d’encodeurs en ligne. Pour éviter d’encoder la charge utile, vous pouvez utiliser CDATA si votre GPM la prend en charge. Pour plus d’informations, consultez Sections CDATA.

AlwaysSendCompoundId

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures
✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures
✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures
✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/AlwaysSendCompoundId

Ce paramètre de stratégie contrôle si un appareil envoie toujours une demande d’authentification composée lorsque le domaine de ressource demande une identité composée.

Remarque

Pour qu’un contrôleur de domaine demande l’authentification composée, les stratégies « Prise en charge du KDC pour les revendications, l’authentification composée et le blindage Kerberos » et « Demander l’authentification composée » doivent être configurées et activées dans le domaine du compte de ressources.

  • Si vous activez ce paramètre de stratégie et que le domaine de ressource demande l’authentification composée, les appareils qui prennent en charge l’authentification composée envoient toujours une demande d’authentification composée.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie et que le domaine de ressource demande une authentification composée, les appareils envoient d’abord une demande d’authentification non composée, puis une demande d’authentification composée lorsque le service demande une authentification composée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom AlwaysSendCompoundId
Nom convivial Toujours envoyer l’authentification composée en premier
Localisation Configuration ordinateur
Chemin d'accès Kerberos système >
Nom de la clé de Registre Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nom de la valeur de Registre AlwaysSendCompoundId
Nom du fichier ADMX Kerberos.admx

DevicePKInitEnabled

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures
✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures
✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures
✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/DevicePKInitEnabled

La prise en charge de l’authentification d’appareil à l’aide d’un certificat nécessite une connectivité à un contrôleur de domaine dans le domaine du compte d’appareil qui prend en charge l’authentification par certificat pour les comptes d’ordinateur.

Ce paramètre de stratégie vous permet de définir la prise en charge de Kerberos pour tenter l’authentification à l’aide du certificat de l’appareil pour le domaine.

  • Si vous activez ce paramètre de stratégie, les informations d’identification des appareils sont sélectionnées en fonction des options suivantes :

Automatique : l’appareil tente de s’authentifier à l’aide de son certificat. Si le contrôleur de domaine ne prend pas en charge l’authentification de compte d’ordinateur à l’aide de certificats, l’authentification avec mot de passe est tentée.

Force : l’appareil s’authentifie toujours à l’aide de son certificat. Si un contrôleur de domaine qui prend en charge l’authentification de compte d’ordinateur à l’aide de certificats est introuvable, l’authentification échoue.

  • Si vous désactivez ce paramètre de stratégie, les certificats ne seront jamais utilisés.

  • Si vous ne configurez pas ce paramètre de stratégie, automatique est utilisé.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom DevicePKInitEnabled
Nom convivial Prise en charge de l’authentification des appareils à l’aide d’un
Localisation Configuration ordinateur
Chemin d'accès Kerberos système >
Nom de la clé de Registre Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nom de la valeur de Registre DevicePKInitEnabled
Nom du fichier ADMX Kerberos.admx

HostToRealm

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures
✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures
✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures
✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/HostToRealm

Ce paramètre de stratégie vous permet de spécifier les noms d’hôte DNS et les suffixes DNS mappés à un domaine Kerberos.

  • Si vous activez ce paramètre de stratégie, vous pouvez afficher et modifier la liste des noms d’hôte DNS et des suffixes DNS mappés à un domaine Kerberos tel que défini par la stratégie de groupe. Pour afficher la liste des mappages, activez le paramètre de stratégie, puis cliquez sur le bouton Afficher. Pour ajouter un mappage, activez le paramètre de stratégie, notez la syntaxe, puis cliquez sur Afficher. Dans la boîte de dialogue Afficher le contenu de la colonne Nom de la valeur, tapez un nom de domaine. Dans la colonne Valeur, tapez la liste des noms d’hôtes DNS et des suffixes DNS au format de syntaxe approprié. Pour supprimer un mappage de la liste, cliquez sur l’entrée de mappage à supprimer, puis appuyez sur la touche SUPPR. Pour modifier un mappage, supprimez l’entrée actuelle de la liste et ajoutez-en une nouvelle avec des paramètres différents.

  • Si vous désactivez ce paramètre de stratégie, la liste de mappages de nom d’hôte à domaine Kerberos définie par la stratégie de groupe est supprimée.

  • Si vous ne configurez pas ce paramètre de stratégie, le système utilise les mappages de nom d’hôte à domaine Kerberos qui sont définis dans le Registre local, s’ils existent.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom HostToRealm
Nom convivial Définir des mappages de nom d’hôte à domaine Kerberos
Localisation Configuration ordinateur
Chemin d'accès Kerberos système >
Nom de la clé de Registre Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
Nom de la valeur de Registre domain_realm_Enabled
Nom du fichier ADMX Kerberos.admx

KdcProxyDisableServerRevocationCheck

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures
✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures
✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures
✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyDisableServerRevocationCheck

Ce paramètre de stratégie vous permet de désactiver la vérification de la révocation du certificat SSL du serveur proxy KDC ciblé.

  • Si vous activez ce paramètre de stratégie, la vérification de la révocation du certificat SSL du serveur proxy KDC est ignorée par le client Kerberos. Ce paramètre de stratégie doit être utilisé uniquement pour résoudre les problèmes de connexions de proxy KDC.

Warning

Lorsque la vérification de révocation est ignorée, la validité du serveur représenté par le certificat n’est pas garantie.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le client Kerberos applique la vérification de révocation du certificat SSL. La connexion au serveur proxy KDC n’est pas établie si la vérification de révocation échoue.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom KdcProxyDisableServerRevocationCheck
Nom convivial Désactiver la vérification de la révocation du certificat SSL des serveurs proxy KDC
Localisation Configuration ordinateur
Chemin d'accès Kerberos système >
Nom de la clé de Registre Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nom de la valeur de Registre NoRevocationCheck
Nom du fichier ADMX Kerberos.admx

KdcProxyServer

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures
✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures
✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures
✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/KdcProxyServer

Ce paramètre de stratégie configure le mappage du client Kerberos aux serveurs proxy KDC pour les domaines en fonction de leurs noms de suffixe DNS.

  • Si vous activez ce paramètre de stratégie, le client Kerberos utilise le serveur proxy KDC pour un domaine lorsqu’un contrôleur de domaine ne peut pas être localisé en fonction des mappages configurés. Pour mapper un serveur proxy KDC à un domaine, activez le paramètre de stratégie, cliquez sur Afficher, puis mappez le ou les noms du serveur proxy KDC au nom DNS du domaine à l’aide de la syntaxe décrite dans le volet d’options. Dans la boîte de dialogue Afficher le contenu de la colonne Nom de la valeur, tapez un nom de suffixe DNS. Dans la colonne Valeur, tapez la liste des serveurs proxy en utilisant le format de syntaxe approprié. Pour afficher la liste des mappages, activez le paramètre de stratégie, puis cliquez sur le bouton Afficher. Pour supprimer un mappage de la liste, cliquez sur l’entrée de mappage à supprimer, puis appuyez sur la touche SUPPR. Pour modifier un mappage, supprimez l’entrée actuelle de la liste et ajoutez-en une nouvelle avec des paramètres différents.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le client Kerberos n’a pas de paramètres de serveurs proxy KDC définis par la stratégie de groupe.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom KdcProxyServer
Nom convivial Spécifier des serveurs proxy KDC pour les clients Kerberos
Localisation Configuration ordinateur
Chemin d'accès Kerberos système >
Nom de la clé de Registre Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
Nom de la valeur de Registre KdcProxyServer_Enabled
Nom du fichier ADMX Kerberos.admx

MitRealms

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures
✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures
✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures
✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/MitRealms

Ce paramètre de stratégie configure le client Kerberos afin qu’il puisse s’authentifier auprès des domaines Kerberos V5 interopérables, comme défini par ce paramètre de stratégie.

  • Si vous activez ce paramètre de stratégie, vous pouvez afficher et modifier la liste des domaines Kerberos V5 interopérables et leurs paramètres. Pour afficher la liste des domaines Kerberos V5 interopérables, activez le paramètre de stratégie, puis cliquez sur le bouton Afficher. Pour ajouter un domaine Kerberos V5 interopérable, activez le paramètre de stratégie, notez la syntaxe, puis cliquez sur Afficher. Dans la boîte de dialogue Afficher le contenu de la colonne Nom de la valeur, tapez le nom de domaine Kerberos V5 interopérable. Dans la colonne Valeur, tapez les indicateurs de domaine et les noms d’hôte des KDC hôtes en utilisant le format de syntaxe approprié. Pour supprimer une entrée nom de valeur ou valeur de domaine Kerberos V5 interopérable de la liste, cliquez sur l’entrée, puis appuyez sur la touche SUPPR. Pour modifier un mappage, supprimez l’entrée actuelle de la liste et ajoutez-en une nouvelle avec des paramètres différents.

  • Si vous désactivez ce paramètre de stratégie, les paramètres de domaine Kerberos V5 interopérables définis par la stratégie de groupe sont supprimés.

  • Si vous ne configurez pas ce paramètre de stratégie, le système utilise les paramètres de domaine Kerberos V5 interopérables définis dans le Registre local, s’ils existent.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom MitRealms
Nom convivial Définir les paramètres de domaine Kerberos V5 interopérables
Localisation Configuration ordinateur
Chemin d'accès Kerberos système >
Nom de la clé de Registre Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos
Nom de la valeur de Registre MitRealms_Enabled
Nom du fichier ADMX Kerberos.admx

ServerAcceptsCompound

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures
✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures
✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures
✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/ServerAcceptsCompound

Ce paramètre de stratégie contrôle la configuration du compte Active Directory de l’appareil pour l’authentification composée.

La prise en charge de l’authentification composée utilisée pour le contrôle d’accès nécessite suffisamment de contrôleurs de domaine dans les domaines de compte de ressources pour prendre en charge les demandes. L’administrateur de domaine doit configurer la stratégie « Prise en charge du contrôle d’accès dynamique et du blindage Kerberos » sur tous les contrôleurs de domaine pour prendre en charge cette stratégie.

  • Si vous activez ce paramètre de stratégie, le compte Active Directory de l’appareil est configuré pour l’authentification composée par les options suivantes :

Jamais : l’authentification composée n’est jamais fournie pour ce compte d’ordinateur.

Automatique : l’authentification composée est fournie pour ce compte d’ordinateur lorsqu’une ou plusieurs applications sont configurées pour le contrôle d’accès dynamique.

Toujours : l’authentification composée est toujours fournie pour ce compte d’ordinateur.

  • Si vous désactivez ce paramètre de stratégie, jamais sera utilisé.

  • Si vous ne configurez pas ce paramètre de stratégie, automatique est utilisé.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom ServerAcceptsCompound
Nom convivial Prise en charge de l’authentification composée
Localisation Configuration ordinateur
Chemin d'accès Kerberos système >
Nom de la clé de Registre Software\Policies\Microsoft\Netlogon\Parameters
Nom de la valeur de Registre CompoundIdDisabled
Nom du fichier ADMX Kerberos.admx

StrictTarget

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures
✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures
✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures
✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/ADMX_Kerberos/StrictTarget

Ce paramètre de stratégie vous permet de configurer ce serveur afin que Kerberos puisse déchiffrer un ticket qui contient ce SPN généré par le système. Lorsqu’une application tente d’effectuer un appel de procédure distante (RPC) à ce serveur avec une valeur NULL pour le nom de principal du service (SPN), les ordinateurs exécutant Windows 7 ou version ultérieure tentent d’utiliser Kerberos en générant un SPN.

  • Si vous activez ce paramètre de stratégie, seuls les services exécutés en tant que LocalSystem ou NetworkService sont autorisés à accepter ces connexions. Les services s’exécutant en tant qu’identités différentes de LocalSystem ou NetworkService peuvent ne pas s’authentifier.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, tout service est autorisé à accepter les connexions entrantes à l’aide de ce SPN généré par le système.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom StrictTarget
Nom convivial Exiger une correspondance spN cible stricte sur les appels de procédure distante
Localisation Configuration ordinateur
Chemin d'accès Kerberos système >
Nom de la clé de Registre Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Nom de la valeur de Registre StrictTargetContext
Nom du fichier ADMX Kerberos.admx

Fournisseur de services de configuration de stratégie