DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 232179 - Última revisão: terça-feira, 27 de fevereiro de 2007 - Revisão: 3.2

 

Nesta página

Sumário

A implementação do protocolo de autenticação Kerberos no Windows 2000 não requer configuração ou administração abrangente. Como ele é o pacote de autenticação padrão, ele é instalado automaticamente em todos os computadores com Microsoft Windows 2000. Exceto para cartões inteligentes, Kerberos normalmente é um processo automático e não é necessário configurá-lo. Existem muito poucas opções de diretiva que podem ser aplicadas para Kerberos. O Monitor de rede não tem um analisador interno e porque é criptografado, o tráfego de Kerberos a maioria dos rastreamentos não são muito revelar e, portanto, não muito útil. Este artigo descreve a administração de protocolo Kerberos.

Mais Informações

Dois utilitários estão incluídos para administração Kerberos: KerbTray e NetDom.

KerbTray

KerbTray é usado para exibir informações de permissão para um determinado computador executando o protocolo Kerberos. O ícone KerbTray está localizado na bandeja do sistema (no lado direito da barra de tarefas) e pode ser usado para exibir e limpar o cache de permissão. Para usar KerbTray, com o botão direito do mouse no ícone e, em seguida, clique em Limpar permissões ou Lista de permissões . Quando estiver exibindo o cache de permissão, os seguintes sinalizadores de mapeiam para a coluna sinalizadores:
  • F = encaminhável
  • f = encaminhada
  • P = proxiable
  • p = intermediadas por proxy
  • D = pode postdate
  • d = postdated
  • i = inválido
  • R = renovável
  • Eu = inicial
  • H = hardware autenticado
  • A = pre-authenticated
  • L = OK como representante

Padrões de sinalizador de permissão

  • Para o tíquete de concessão de permissão ou TGT (a primeira permissão listada): FPRI (Forwardable, Proxiable, Renewable e inicial).
  • Para tíquetes de sessão (os segundo e terceiro listados tíquetes): FPR (Forwardable, Proxiable e Renewable).

NetDom

NetDom é uma ferramenta de Resource Kit para manipular canais seguros entre os servidores para servidores e os servidores em estações de trabalho. No Windows 2000, o NetDom é uma ferramenta que verifica para servidores de domínio e relações de confiança. Ele foi modificado para também permitir a redefinição de relações de confiança transitivas Kerberos.

Configurações de diretiva Kerberos

No Windows 2000, a diretiva Kerberos é definida no nível do domínio e implementada pelo Centro de distribuição do domínio chaves (KDC). A diretiva Kerberos é armazenada no Active Directory como um subconjunto de atributos de diretiva de segurança do domínio. Por padrão, opções de diretiva podem ser definidas somente por membros do grupo Administradores do domínio.

A diretiva Kerberos está localizada na diretiva de domínio padrão e inclui as seguintes opções:

Impor restrições de logon do usuário

Quando essa opção é habilitada, o KDC valida todas as solicitações de uma permissão de sessão examinando a diretiva de direitos de usuário no computador de destino para verificar se o usuário tem o direito a fazer logon localmente ou para obter acesso ao computador da rede. Também é uma verificação para assegurar que a conta solicitante é válida ainda. A verificação é opcional porque a etapa adicional leva tempo e acesso de rede aos serviços mais lento. Valor padrão: habilitada.

Vida útil máxima que uma permissão de usuário pode ser renovada

Esta é a vida útil máxima de um tíquete (ou uma sessão como uma TGT tíquete, embora a diretiva especifica que esta é uma "permissão de usuário"). Nenhuma permissão pode ser renovado depois desse período. Valor padrão: 7 dias.

Vida útil de permissão de serviço máxima

Um "tíquete de serviço" é uma permissão de sessão. Configurações são em minutos. A configuração deve ser mais de dez minutos e menor que a configuração para "Máximo usuário vida permissão útil". Valor padrão: 10 horas.

Tolerância máxima para sincronização de relógios de computador

O KDC relógio do servidor e o relógio do cliente Kerberos têm a serem sincronizados com dentro de um número especificado de minutos. Se os relógios não estiverem sincronizados dentro do número especificado de minutos, permissões não são emitidos para o cliente. Este é um empecilho em ataques de repetição. Configurações são em minutos. Valor padrão: 5 minutos.

Vida útil de permissão de usuário máxima

Um "tíquete de usuário" é um TGT e deve ser renovado depois desse período. Valor padrão: 10 horas.

A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbmt kbenv kbinfo KB232179 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 232179  (http://support.microsoft.com/kb/232179/en-us/ )
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store