Иллюстрированный самоучитель по администрированию Windows 2000/2003

Настройка политик учетных записей

Настройка политик Kerberos

Kerberos версии 5 является основным механизмом проверки подлинности, используемым в домене Active Directory. Kerberos использует билеты службы и билеты пользователя для идентификации пользователей и сетевых служб. Как Вы догадываетесь, билеты службы используются служебными процессами Windows 2000, а билеты пользователя пользовательскими процессами. Билеты содержат зашифрованные данные, подтверждающие подлинность пользователя или службы.

Вы можете контролировать длительность билета, его возобновление и применение, используя следующие политики:

  • Принудительные ограничения входа пользователей
  • Максимальный срок жизни билета службы
  • Максимальный срок жизни билета пользователя
  • Максимальный срок жизни для возобновления билета пользователя
  • Максимальная погрешность синхронизации часов компьютера

Эти политики описаны в следующем разделе.

Внимание
Только администраторы, полностью понимающие пакет безопасности Kerberos, должны менять эти политики. Установка неправильных параметров для данных политик может повлечь серьезные проблемы в сети. В большинстве случаев параметры политики Kerberos, установленные по умолчанию, работают как надо
.

Принудительные ограничения входа пользователей

Политика "Принудительные ограничения входа пользователей" обеспечивает включение ограничений пользовательской учетной записи. Например, если время входа пользователя ограничено, данная политика осуществляет это ограничение. По умолчанию, данная политика разрешена и отменять ее следует только при исключительных обстоятельствах.

Максимальный срок жизни

Политики "Максимальный срок жизни билета службы" и "Максимальный срок жизни билета пользователя" устанавливают максимальный срок, в течение которого билет службы или пользователя имеет силу. По умолчанию, билеты службы имеют максимальную длительность 41.760 минут, а билеты пользователя – 720 часов.

Вы можете изменить длительность билетов. Для билетов службы эффективные значения находятся в диапазоне от 0 до 99.999 минут. Для билетов пользователя – от 0 до 99.999 часов. Нулевое значение выключает истечение срока жизни. Любые другие значения устанавливают определенный срок жизни билета.

Билет с истекшим сроком жизни может быть возобновлен. Для возобновленного билета устанавливается срок жизни в соответствии с политикой "Максимальный срок жизни для возобновления билета пользователя". По умолчанию период возобновления билета составляет 60 дней. Вы можете установить период возобновления от 0 до 99.999 дней. Нулевое значение выключает максимальный период обновления, а любые другие значения устанавливают его определенный срок.

Максимальная погрешность

Политика "Максимальная погрешность синхронизации часов компьютера" является одной из немногих политик Kerberos, которую Вам, возможно, придется изменить. По умолчанию компьютеры в домене должны быть синхронизированы друг с другом в течение пяти минут. Если это условие не выполняется, аутентификация не происходит.

Если у Вас есть удаленные пользователи, которые входят в домен без синхронизации их часов с сетевым сервером времени, Вам может понадобиться установить этот параметр. Его диапазон – от 0 до 99.999.

Материал взят из книги "Windows 2000. Руководство администратора". Автор Уильям Р. Станек (William R. Stanek). © Корпорация Microsoft, 1999.

Автор: Александр Кузьменко aka Kthulhu
Материалы взяты с сайта OSzone.net.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.