Essa configuração de política permite definir um controlador de domínio para dar suporte a declarações e autenticação composta ...

Essa configuração de política permite definir um controlador de domínio para dar suporte a declarações e autenticação composta para o DAC (Controle de Acesso Dinâmico) e a proteção Kerberos usando a autenticação Kerberos.

Se você habilitar essa configuração de política, os computadores clientes que têm suporte a declarações e autenticação composta para DAC e proteção Kerberos usarão esse recurso para mensagens de autenticação do Kerberos. Essa política deve ser aplicada a todos os controladores de domínio para garantir a aplicação consistente dessa política no domínio. 

Se você desabilitar ou não definir essa configuração de política, o controlador de domínio não terá suporte a declarações, autenticação composta ou proteção.

Se você configurar a opção "Sem Suporte", o controlador de domínio não terá suporte a declarações, autenticação composta nem proteção, o que é o comportamento padrão para controladores de domínio que executam o Windows Server 2008 R2 ou sistemas operacionais anteriores.

Observação: para que as seguintes opções desta política do KDC entrem em vigor, a Política de Grupo do Kerberos "Suporte do cliente Kerberos a declarações, autenticação composta e proteção Kerberos" deve estar habilitada nos sistemas com suporte. Se a configuração de política do Kerberos não estiver habilitada, as mensagens da autenticação Kerberos não usarão esses recursos.  

Se você configurar a opção "Com Suporte", o controlador de domínio dará suporte a declarações, autenticação composta e proteção Kerberos. O controlador de domínio avisa aos computadores clientes Kerberos que o domínio é compatível com declarações e autenticação composta para o Controle de Acesso Dinâmico e proteção Kerberos. 

Requisitos de nível funcional de domínio
Para as opções "Sempre fornecer declarações" e "Recusar solicitações de autenticação sem proteção", quando o nível funcional de domínio estiver definido para Windows Server 2008 R2 ou anterior, os controladores de domínio se comportarão como se a opção "Suportado" estiver selecionada. 

Quando o nível funcional de domínio estiver definido para o Windows Server 2012, o controlador de domínio anunciará aos computadores clientes Kerberos que o domínio é compatível com declarações e autenticação composta para o Controle de Acesso Dinâmico e a proteção Kerberos, e:
   - Se você definir a opção "Sempre fornecer declarações", ele sempre retornará declarações de contas e oferecerá suporte ao comportamento RFC para promover FAST (flexible authentication secure tunneling).
   - Se você definir a opção "Recusar solicitações de autenticação sem proteção", ele rejeitará mensagens do Kerberos sem proteção.

Aviso: quando a opção "Recusar solicitações de autenticação sem proteção" for definida, os computadores clientes que não oferecem suporte à proteção Kerberos emitirão falhas de autenticação para o controlador de domínio.

Para garantir a eficiência deste recurso, implante controladores de domínio suficientes com suporte a declarações e autenticação composta para o Controle de Acesso Dinâmico e proteção Kerberos para manipular as solicitações de autenticação. Se houver um número insuficiente de controladores de domínio com suporte a essa política, ocorrerão falhas de autenticação sempre que o Controle de Acesso Dinâmico ou a proteção Kerberos forem exigidos (isto é, se a opção "Suportado" estiver habilitada).

Impacto sobre o desempenho do controlador de domínio quando essa configuração de política está habilitada:
- A descoberta de recursos de domínio Kerberos é exigida, gerando trocas de mensagens adicionais.
   - As declarações e a autenticação composta para o Controle de Acesso Dinâmico aumentam o tamanho e a complexidade dos dados na mensagem, o que aumenta o tempo de processamento e o tamanho dos tíquetes de serviço do Kerberos.
   - A proteção Kerberos criptografa completamente as mensagens Kerberos e sinaliza erros Kerberos, o que resulta em maior tempo de processamento, mas não altera o tamanho do tíquete de serviço.