Stratégie Kerberos
La stratégie de ticket Kerberos est définie au niveau du domaine et implémentée par le centre de distribution de clés (KDC) du domaine. La stratégie Kerberos est stockée dans Active Directory en tant que sous-ensemble des attributs de la stratégie de sécurité de domaine. Par défaut, les options de stratégie peuvent être définies uniquement par les membres du groupe Administrateurs de domaine. La stratégie de domaine inclut des options qui :
- Prise en charge des tickets postdésités
- Prise en charge de la délégation contrainte (Windows Server 2003 uniquement)
- Tickets de support pouvant être transférés
- Prendre en charge les tickets renouvelables
- Définir l’âge maximal du ticket
- Définir l’âge maximal du renouvellement
- Définir l’âge maximal du ticket de proxy
- Déconnecter de force les utilisateurs à l’expiration des tickets
Avec la délégation contrainte, un ordinateur peut être configuré pour autoriser le transfert des informations d’identification uniquement vers une liste spécifique de services. Ces services doivent résider dans le même domaine que l’ordinateur qui transfère les informations d’identification. Sous délégation contrainte, les tickets ne sont plus envoyés du client au serveur. L’ordinateur serveur crée des tickets de service à transférer si nécessaire à partir des informations utilisées pour authentifier le client.
Bien que la stratégie Kerberos pour un domaine puisse autoriser l’authentification déléguée en autorisant le transfert des tickets, cet aspect de la stratégie ne doit pas nécessairement s’appliquer à tous les utilisateurs ou à tous les ordinateurs. Un attribut d’un compte d’utilisateur individuel peut être défini pour désactiver le transfert des informations d’identification de cet utilisateur par n’importe quel serveur. Un attribut du compte d’un ordinateur individuel peut être défini pour désactiver le transfert des informations d’identification à partir de n’importe quel utilisateur. Dans les deux cas, la délégation peut être désactivée en créant une stratégie de groupe à appliquer à tous les utilisateurs ou à tous les ordinateurs d’une unité organisationnelle d’Active Directory.
Windows XP/2000 : La délégation contrainte n’est pas prise en charge.