DetailPage-MSS-KB

Microsoft Knowledge Base

Identificativo articolo: 232179 - Ultima modifica: martedì 27 febbraio 2007 - Revisione: 3.2

 

In questa pagina

Sommario

L'implementazione del protocollo di autenticazione Kerberos di Windows 2000 non richiede la configurazione o amministrazione completa. Poiché è il pacchetto di autenticazione predefinito, viene installato automaticamente tutti i computer basati su Microsoft Windows 2000. Ad eccezione di smart card, Kerberos in genere è un processo automatico e non è necessario configurarlo. Sono disponibili poche opzioni di criteri che possono essere applicati a Kerberos. Network Monitor non è un parser predefinito, e poiché è crittografato, il traffico Kerberos la maggior parte delle tracce non sono molto rivelare e pertanto non molto utili. Questo articolo viene descritto amministrazione del protocollo Kerberos.

Informazioni

Presenti due utilità per l'amministrazione Kerberos: KerbTray e NetDom.

KerbTray

KerbTray viene utilizzato per visualizzare le informazioni di ticket per un determinato computer che eseguono il protocollo Kerberos. L'icona di KerbTray si trova nell'area di notifica (sul lato destro della barra delle applicazioni) e consente di visualizzare ed eliminare la cache dei ticket. Per utilizzare KerbTray, fare clic con il pulsante destro del mouse sull'icona, quindi Elenco ticket o Elimina ticket . Quando si visualizza la cache dei ticket, i seguenti flag associato alla colonna flags:
  • F = inoltrabili
  • f = inoltrato
  • P = proxiable
  • p = elaborate dal proxy
  • D = potrebbe postdate
  • d = postdated
  • i = non valido
  • R = può essere rinnovata
  • I = iniziale
  • H = hardware autenticato
  • A = pre-authenticated
  • L = OK come delegato

Impostazioni predefinite di flag di ticket

  • Per il ticket di concessione o il TGT (ticket elencati primo): FPRI (Forwardable, Proxiable, Renewable e iniziale).
  • Per i ticket di sessione (il secondo e il terzo elencati ticket): FPR (Forwardable, Proxiable e Renewable).

NetDom

NetDom è uno strumento di Resource Kit per la modifica canali protetti tra i server a server e i server per le workstation. In Windows 2000, NetDom è uno strumento che controlla per i server di dominio e trust. È stata modificata per consentire la reimpostazione di relazioni di trust transitive Kerberos anche.

Impostazioni criterio Kerberos

In Windows 2000, il criterio Kerberos è definito a livello di dominio e sono implementato dal centro distribuzione del dominio chiave (KDC). Il criterio Kerberos viene memorizzato in Active Directory come un sottoinsieme degli attributi dei criteri di protezione dominio. Per impostazione predefinita, è possono impostare opzioni dei criteri solo dai membri del gruppo Domain Administrators.

Il criterio Kerberos è disponibile nel criterio dominio predefinito e include le seguenti opzioni:

Imporre le restrizioni di accesso utente

Quando questa opzione è attivata, il KDC convalida ogni richiesta relativa a un ticket di sessione esaminando i criteri dei diritti utente sul computer di destinazione per verificare che l'utente disponga di destra di accedere localmente o per accedere al computer dalla rete. È anche un controllo per assicurarsi che l'account richiedente sia ancora valido. Verifica è facoltativo poiché il passaggio aggiuntivo richiede tempo e può rallentare l'accesso di rete ai servizi. Valore predefinito: abilitato.

Durata massima che può essere rinnovato un ticket utente

Questa è la durata massima di un ticket (un TGT o una sessione di ticket, anche se il criterio specifica che si tratta di un "ticket utente"). Ticket non possono essere rinnovati dopo questo periodo di tempo. Valore predefinito: 7 giorni.

Durata del ticket di servizio massimo

Un "ticket di servizio" è un ticket di sessione. Le impostazioni sono in minuti. L'impostazione deve essere più di dieci minuti e minore l'impostazione "Durata ticket utente massima". Valore predefinito: 10 ore.

Tolleranza massima per la sincronizzazione di orologi dei computer

Orologio del server KDC e dell'orologio del client Kerberos devono essere sincronizzati con un numero specificato di minuti. Se gli orologi non sono sincronizzati entro il numero specificato di minuti, il ticket non sono inviati al client. Si tratta di un deterrente in attacchi di riproduzione. Le impostazioni sono in minuti. Valore predefinito: 5 minuti.

Durata massima di ticket utente

"Ticket utente" è un TGT e devono essere rinnovati dopo questo periodo di tempo. Valore predefinito: 10 ore.

Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Chiavi: 
kbmt kbenv kbinfo KB232179 KbMtit
Traduzione automatica articoliTraduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell’articolo: 232179  (http://support.microsoft.com/kb/232179/en-us/ )
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Condividi
Altre opzioni per il supporto
Forum del supporto di Microsoft Community
Contattaci direttamente
Ricerca di un partner certificato Microsoft
Microsoft Store