このポリシー設定では Kerberos 認証を使用してダイナミックアクセス制御の信頼性情報と複合認証および Kerberos 防御をサポートするようにドメインコントローラーを構成できますこのポリシー設定を有効にするとダイナミック ...

Windows 10

このポリシー設定では、Kerberos 認証を使用して、ダイナミック アクセス制御の信頼性情報と複合認証、および Kerberos 防御をサポートするように、ドメイン コントローラーを構成できます。

このポリシー設定を有効にすると、ダイナミック アクセス制御の信頼性情報と複合認証をサポートする、Kerberos 防御対応のクライアント コンピューターでは、Kerberos 認証メッセージに対してこの機能が使用されます。ドメイン内でこのポリシーを一貫して適用するには、すべてのドメイン コントローラーにこのポリシー設定を適用する必要があります。

このポリシー設定を無効にした場合、または構成しなかった場合、ドメイン コントローラーでは、信頼性情報、複合認証、または防御はサポートされません。

[サポートなし] オプションを構成した場合、ドメイン コントローラーでは信頼性情報、複合認証、防御のいずれもサポートされません。これは、Windows Server 2008 R2 以前のオペレーティング システムを実行しているドメイン コントローラーの既定の動作です。

注: KDC ポリシーの以下のオプションを有効にするには、サポートされるシステムで Kerberos グループ ポリシーの [Kerberos クライアントで信頼性情報、複合認証、および Kerberos 防御をサポートする] を有効にする必要があります。この Kerberos ポリシー設定が有効でない場合、Kerberos 認証メッセージでこれらの機能は使用されません。 

[サポート] を構成した場合、ドメイン コントローラーで信頼性情報、複合認証、および Kerberos 防御がサポートされます。ドメイン コントローラーは、ドメインがダイナミック アクセス制御の信頼性情報と複合認証、および Kerberos 防御に対応していることを Kerberos クライアント コンピューターにアドバタイズします。

ドメインの機能レベル要件
[常に信頼性情報を提供する] および [防御されていない要求を失敗とする] オプションについては、ドメインの機能レベルが Windows Server 2008 R2 以前に設定されている場合、ドメイン コントローラーの動作は [サポート] が選択されているときと同じになります。

ドメインの機能レベルが Windows Server 2012 に設定され、ドメイン コントローラーで、ドメインがダイナミック アクセス制御の信頼性情報と複合認証、および Kerberos 防御に対応していることを Kerberos クライアント コンピューターにアドバタイズする場合:
   - [常に信頼性情報を提供する] オプションを設定すると、アカウントに関する信頼性情報が必ず返されます。また、フレキシブル認証セキュア トンネリング (FAST: Flexible Authentication Secure Tunneling) のアドバタイズに関する RFC 動作がサポートされます。
   - [防御されていない要求を失敗とする] オプションを設定すると、防御されていない Kerberos メッセージが拒否されます。

警告: [防御されていない要求を失敗とする] が設定されていると、Kerberos 防御をサポートしていないクライアント コンピューターはドメイン コントローラーに認証されません。

この機能が確実に使用されるようにするには、ダイナミック アクセス制御の信頼性情報と複合認証をサポートする、Kerberos 防御対応のドメイン コントローラーを、認証要求を処理するのに十分な数だけ展開します。このポリシーをサポートするドメイン コントローラーの数が不足している場合に、ダイナミック アクセス制御または Kerberos 防御が要求されると (つまり、[サポート] オプションが有効になると)、認証エラーが発生します。

このポリシー設定が有効になっている場合のドメイン コントローラーのパフォーマンスに対する影響:
   - セキュリティで保護された Kerberos ドメイン機能の検出が必要になり、メッセージ交換が別途発生します。
   - ダイナミック アクセス制御の信頼性情報と複合認証によってメッセージのデータのサイズおよび複雑さが増すため、処理時間が長くなるほか、Kerberos サービス チケットのサイズが大きくなります。
   - Kerberos 防御では Kerberos メッセージを完全に暗号化し、Kerberos のエラーに署名するため、処理時間が長くなります。ただし、サービス チケットのサイズは変わりません。

このポリシー設定では Internet Explorer 内でユーザーが最終閲覧セッションを再度開く機能にアクセスできるかどうかを管理できますこのポリシー設定を有効にするとユーザーは最終閲覧セッションを再度開く機能を使用できなくなります ... このポリシー設定では Internet Explorer 管理者キット (IEAK) を使用してインターネットサービスプロバイダー (ISP) のブランド化が完了した後に Internet Explorer を自動的に起動してサインアップ ... このポリシー設定では IP ステートレス自動構成の制限を構成できますこのポリシー設定を有効にした場合または構成しなかった場合 IP ステートレス自動構成の制限が有効になり自動構成されるアドレスおよびルートの数を制限しますこのポリシー設定を無効にした場合 ... このポリシー設定では IP セキュリティポリシーをいつ更新するかを決定しますこのポリシー設定はローカルコンピューターの "コンピューターの構成\Windows の設定\セキュリティの設定\IP セキュリティポリシー" などグループ ... このポリシー設定では Kerberos 認証を使用してダイナミックアクセス制御の信頼性情報と複合認証および Kerberos 防御をサポートするようにドメインコントローラーを構成できますこのポリシー設定を有効にするとダイナミック ... このポリシー設定では Kerberos 領域にマップする DNS ホスト名と DNS サフィックスを指定することができますこのポリシー設定を有効にすると Kerberos 領域にマップするようにグループポリシーで定義された DNS ホスト名と ... このポリシー設定では Microsoft MAPS へ参加するための構成についてローカル設定を優先するように構成しますこれはグループポリシーでのみ設定できますこの設定を有効にした場合ローカルの基本設定がグループポリシーよりも優先されます ... このポリシー設定では Microsoft 以外のエンティティによって署名された更新がイントラネットの Microsoft 更新サービスの保存場所で見つかったときに自動更新がそれを受け入れるかどうかを管理できますこのポリシー設定を有効にすると ... このポリシー設定では Net Logon サービスで登録されている SRV リソースレコードの Time-To-Live (TTL) フィールドの値を指定しますこれらの DNS レコードは動的に登録されドメインコントローラー (DC) ...