Ce paramètre de stratégie vous permet de configurer un contrôleur de domaine pour prendre en charge les revendications et l'authentification composée pour le contrôle d'accès dynamique et le blindage Kerberos à l'aide de l'authentification Kerberos. Si vous activez ce paramètre de stratégie, les ordinateurs clients qui prennent en charge les revendications et l'authentification composée pour le contrôle d'accès dynamique et sont compatibles avec le blindage Kerberos utilisent cette fonctionnalité pour les messages d'authentification Kerberos. Cette stratégie doit être appliquée à tous les contrôleurs de domaine pour garantir son application cohérente dans le domaine. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le contrôleur de domaine ne prend pas en charge les revendications, l'authentification composée ou le blindage. Si vous choisissez l'option « Non pris en charge », le contrôleur de domaine ne prend pas en charge les revendications, l'authentification composée ou le blindage, ce qui correspond au comportement par défaut pour les contrôleurs de domaine exécutant Windows Server 2008 R2 ou un système d'exploitation antérieur. Remarque : pour que les options suivantes de cette stratégie de contrôleur de domaine Kerberos soient effectives, la stratégie de groupe Prise en charge du client Kerberos pour les revendications, l'authentification composée et le blindage Kerberos doit être activée sur les systèmes pris en charge. Si le paramètre de stratégie Kerberos n'est pas activé, les messages d'authentification Kerberos n'utilisent pas ces fonctionnalités. Si vous choisissez l'option « Pris en charge », le contrôleur de domaine prend en charge les revendications, l'authentification composée et le blindage Kerberos. Le contrôleur de domaine annonce aux ordinateurs clients Kerberos que le domaine prend en charge les revendications et l'authentification composée pour le contrôle d'accès dynamique et le blindage Kerberos. Exigences au niveau fonctionnel du domaine Pour les options « Toujours fournir des revendications » et « Rejeter les demandes d'authentification non blindées », quand le niveau fonctionnel du domaine est Windows Server 2008 R2 ou version antérieure, les contrôleurs de domaine se comportent comme si l'option « Pris en charge » était sélectionnée. Quand le niveau fonctionnel du domaine est Windows Server 2012, le contrôleur de domaine annonce aux ordinateurs clients Kerberos que le domaine prend en charge les revendications et l'authentification composée pour le contrôle d'accès dynamique et le blindage Kerberos, et : - Si vous choisissez l'option « Toujours fournir des revendications », il renvoie toujours des revendications pour les comptes et il prend en charge le comportement RFC pour l'annonce FAST (Flexible Authentication Secure Tunneling). - Si vous choisissez l'option « Rejeter les demandes d'authentification non blindées », il rejette les messages Kerberos non blindés. Attention : lorsque l'option « Rejeter les demandes d'authentification non blindées » est sélectionnée, les ordinateurs clients qui ne prennent pas en charge le blindage Kerberos ne peuvent pas s'authentifier auprès du contrôleur de domaine. Pour garantir l'efficacité de cette fonctionnalité, déployez suffisamment de contrôleurs de domaine qui prennent en charge les revendications et l'authentification composée pour le contrôle d'accès dynamique et qui prennent en charge le blindage Kerberos pour la gestion des demandes d'authentification. Le déploiement d'un nombre insuffisant de contrôleurs de domaine prenant en charge cette stratégie conduit à des échecs d'authentification dès lors que le contrôle d'accès dynamique ou le blindage Kerberos est requis (c'est-à-dire quand l'option « Pris en charge » est activée). Impact sur les performances du contrôleur de domaine lorsque ce paramètre de stratégie est activé : - La découverte de fonctionnalités de domaine Kerberos sécurisée est requise, ce qui augmente le nombre d'échanges de messages. - Les revendications et l'authentification composée pour le contrôle d'accès dynamique augmentent la taille et la complexité des données dans le message, ce qui conduit à prolonger le temps de traitement et à augmenter la taille de ticket du service Kerberos. - Le blindage Kerberos chiffre entièrement les messages Kerberos et signe les erreurs Kerberos, ce qui accroît la durée de traitement mais ne modifie pas la taille de ticket du service.
Ce paramètre de stratégie vous permet de configurer si BitLocker exige une authentification supplémentaire à chaque démarrage ...
Ce paramètre de stratégie vous permet de configurer si le service anti-programme malveillant reste ou non actif lorsque les ...
Ce paramètre de stratégie vous permet de configurer si Windows Defender intervient automatiquement sur toutes les menaces ...
Ce paramètre de stratégie vous permet de configurer Teredo, une technologie d'attribution d'adresses et de tunneling automatique ...
Ce paramètre de stratégie vous permet de configurer un contrôleur de domaine pour prendre en charge les revendications et ...
Ce paramètre de stratégie vous permet de configurer un contrôleur de domaine pour qu'il demande l'authentification composée. ...
Ce paramètre de stratégie vous permet de configurer un délai d'expiration pour les sessions des services Bureau à distance ...
Ce paramètre de stratégie vous permet de configurer une liste de dispositifs de stockage étendu selon les ID des fabricants ...
Ce paramètre de stratégie vous permet de contrôler l'affichage ou le suivi des éléments des listes de raccourcis à partir ...