Mit dieser Richtlinieneinstellung können Sie einen Domänencontroller für die Unterstützung von Ansprüchen, der Verbundauthentifizierung für die dynamische Zugriffssteuerung (Dynamic Access Control, DAC) und den Kerberos-Schutz durch Verwendung der Kerberos-Authentifizierung konfigurieren. Wenn Sie diese Richtlinieneinstellung aktivieren, verwenden Clientcomputer, von denen Ansprüche, Verbundauthentifizierung für DAC und Kerberos-Schutz unterstützt werden, dieses Feature für Kerberos-Authentifizierungsmeldungen. Diese Richtlinie sollte für alle Domänencontroller angewendet werden, um eine konsistente Anwendung dieser Richtlinie innerhalb der Domäne sicherzustellen. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden Ansprüche, Verbundauthentifizierung und Kerberos-Schutz nicht vom Domänencontroller unterstützt. Wenn Sie die Option "Nicht unterstützt" konfigurieren, werden Ansprüche, Verbundauthentifizierung und Kerberos-Schutz nicht vom Domänencontroller unterstützt. Dabei handelt es sich um das Standardverhalten für Domänencontroller unter Windows Server 2008 R2 oder Vorgängerbetriebssystemen. Hinweis: Damit die folgenden Optionen dieser KDC-Richtlinie wirksam werden, muss die Kerberos-Gruppenrichtlinie "Unterstützung des Kerberos-Clients für Ansprüche, Verbundauthentifizierung und Kerberos-Schutz" auf unterstützten Systemen aktiviert werden. Wenn die Kerberos-Richtlinieneinstellung nicht aktiviert wird, werden diese Features nicht von Kerberos-Authentifizierungsmeldungen verwendet. Wenn Sie "Unterstützt" konfigurieren, unterstützt der Domänencontroller Ansprüche, Verbundauthentifizierung und Kerberos-Schutz. Der Domänencontroller teilt Kerberos-Clientcomputern mit, dass die Domäne Ansprüche und Verbundauthentifizierung für die dynamische Zugriffssteuerung (DAC) sowie den Kerberos-Schutz unterstützt. Anforderungen der Domänenfunktionsebene Wenn die Domänenfunktionsebene auf Windows Server 2008 R2 oder eine frühere Version festgelegt wird, verhalten sich Domänencontroller bei den Optionen "Immer Ansprüche liefern" und "Ungeschützte Authentifizierungsanfragen ablehnen", als wäre die Option "Unterstützt" ausgewählt. Wenn Sie die Domänenfunktionsebene auf Windows Server 2012 festlegen, teilt der Domänencontroller den Kerberos-Clientcomputern mit, dass von der Domäne Ansprüche, Verbundauthentifizierung für die dynamische Zugriffssteuerung und Kerberos-Schutz unterstützt wird. Außerdem gilt Folgendes: - Falls Sie die Option "Immer Ansprüche liefern" festlegen, werden immer Ansprüche für Konten zurückgegeben, und das RFC-Verhalten für die Ankündigung der flexiblen Authentifizierung über Secure Tunneling (FAST) wird unterstützt. - Wenn Sie die Option "Ungeschützte Authentifizierungsanfragen ablehnen" aktivieren, werden ungeschützte Kerberos-Meldungen abgelehnt. Warnung: Wenn "Ungeschützte Authentifizierungsanfragen ablehnen" aktiviert ist, können sich Clientcomputer, die den Kerberos-Schutz nicht unterstützen, nicht am Domänencontroller authentifizieren. Damit dieses Feature wirksam ist, muss eine ausreichende Anzahl an Domänencontrollern bereitgestellt werden, von denen Ansprüche, Verbundauthentifizierung und Kerberos-Schutz unterstützt werden, um die Authentifizierungsanforderungen zu verarbeiten. Wenn zu wenig Domänencontroller vorhanden sind, die diese Richtlinie unterstützen, führt dies zu Authentifizierungsfehlern, sobald DAC oder der Kerberos-Schutz benötigt wird (d. h. die Option "Unterstützt" ist deaktiviert). Auswirkung auf die Domänencontrollerleistung, wenn diese Richtlinieneinstellung aktiviert ist: - Das sichere Festellen der Kerberos-Domänenfunktion ist erforderlich und führt zum Austausch zusätzlicher Meldungen. - Ansprüche und Verbundauthentifizierung für die dynamische Zugriffssteuerung erhöhen die Größe und Komplexität der in der Meldung enthaltenen Daten, was die Verarbeitungszeit verlängert und das Kerberos-Dienstticket vergrößert. - Kerberos-Meldungen werden vom Kerberos-Schutz vollständig verschlüsselt und Kerberos-Fehler signiert. Dies führt zu einer längeren Verarbeitungszeit, dadurch wird jedoch nicht die Größe des Diensttickets verändert.
Mit dieser Richtlinieneinstellung können Sie eine Mindestlänge für eine TPM-Systemstart-PIN (Trusted Platform Module) konfigurieren. ...
Mit dieser Richtlinieneinstellung können Sie eine zufällige Verzögerung für die Aktivierung der automatischen Wartung konfigurieren. ...
Mit dieser Richtlinieneinstellung können Sie einem BitLocker-geschützten Laufwerk eine Objekt-ID von einem Smartcard-Zertifikat ...
Mit dieser Richtlinieneinstellung können Sie einem neuen, mit BitLocker aktivierten Laufwerk eindeutige organisatorische ...
Mit dieser Richtlinieneinstellung können Sie einen Domänencontroller für die Unterstützung von Ansprüchen, der Verbundauthentifizierung ...
Mit dieser Richtlinieneinstellung können Sie einen Domänencontroller so konfigurieren, dass die Verbundauthentifizierung ...
Mit dieser Richtlinieneinstellung können Sie einen eventuell installierten Skriptdebugger einschalten, sofern einer installiert ...
Mit dieser Richtlinieneinstellung können Sie einen IP6-zu-IP4-Relaynamen für einen IP6-zu-IP4-Host festlegen. Ein IP6-zu-IP4-Relay ...
Mit dieser Richtlinieneinstellung können Sie einen Routernamen oder eine IPv4-Adresse (Internetprotokoll, Version 4) für ...