Active Directory для Windows Server 2003

         

Политики Kerberos


Опции конфигурации политик Kerberos содержат параметры настройки билета Kerberos Ticket-Granting Ticket (TGT), сроков службы билета сеанса и параметров настройки временной метки. В таблице 13-5 описаны все установки.

Табл. 13-5. Политики Kerberos

Параметры настройки конфигурации

Объяснение

Значение по умолчанию

Enforce User Logon Restrictions (Предписать выполнение ограничений на вход пользователей в систему)

Требует, чтобы центр распределения ключей (Key Distribu tion Center - KDC) подтверждал каждый запрос на билет сеанса по отношению к политике User Rights (Права пользователя) целевого компьютера

Включено.



Maximum Lifetime For Service Ticket (Максимальный срок пригодности билета службы)

Определяет максимальное время в минутах, в течение которого билет службы пригоден для обращения к ресурсу. Возможные значения: 10, вплоть до значений, меньших или равных значению в минутах параметра Maximum Lifetime For User Ticket, но не превышающих 99999. Значение 0 приведет к тому, что время пригодности билета станет бесконечным, значение Maximum Lifetime For User Ticket будет установлено^на 1, a значение Maximum Lifetime For User Ticket Renewal будет установлено на 23

600 минут (10 часов).

Maximum Lifetime For User Ticket (Максимальный срок службы пользовательского билета)

Определяет максимальное время в часах, в течение которого может использоваться билет TGT. Когда это время истекает, рабочая станция должна получить новый билет TGT. Возможные значения: от 0 до 99999. Значение 0 указывает, что срок службы билета не будет истекать, а опция Maximum Lifetime For User Ticket Renewal будет установлена на значение Not Defined

10 часов.

Maximum Lifetime For User Ticket Renewal (Максимальный срок, в течение которого пользовательский билет может быть возобновлен)

Определяет время в днях, в течение которого билет TGT пользователя может быть возобновлен вместо получения нового билета. Значение 0 указывает, что возобновление билета заблокировано

7 дней.

Maximum Tolerance For Computer Clock Synchronization (Максимальный допуск в синхронизации компьютерных часов)

Определяет различие между временем на компьютере клиента и временем на часах сервера в минутах, которое допускает протокол Kerberos. Обратите внимание, что эта установка переустанавливается на заданное по умолчанию значение при каждом перезапуске компьютера

5 минут.

Политики учетных записей должны быть установлены на уровне Domain Security Policy (Политики безопасности домена) на контроллере домена. Эти параметры настройки затрагивают всех пользователей и все компьютеры в домене. Хотя эти политики могут быть сконфигурированы на уровне OU, они не будут влиять на тех, кто входит в систему домена. Если вы устанавливаете политику для OU, она затронет только местную базу данных безопасности для компьютеров, входящих в эту OU. Когда эти политики сконфигурированы на уровне OU, они применяются только тогда, когда пользователи входят в систему в местном масштабе. Когда пользователи входят в домен, политики домена всегда подменяют локальную политику.



Содержание раздела