Принудительные ограничения входа пользователей

Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Принудительные ограничения входа пользователей.

Справка

Параметр политики Принудительные ограничения входа пользователей указывает, следует ли центру распространения ключей Kerberos V5 проверять каждый запрос на билет сеанса для политики прав пользователей учетной записи пользователя. Необязательно проверять каждый запрос на билет сеанса, так как выполнение дополнительных действий требует времени, а это может замедлить доступ к службам по сети.

Ниже перечислены возможные значения этого параметра групповой политики.

  • Включено

  • Отключено

  • Не определено

Рекомендации

  • Если этот параметр политики отключен, то пользователи могут получать билеты сеанса для служб, на использование которых у них нет прав.

    Рекомендуется задать для параметра Принудительные ограничения входа пользователей значение "Включено".

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика Kerberos

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Включено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Неприменимо

Действующие параметры контроллера домена по умолчанию

Включено

Действующие параметры рядового сервера по умолчанию

Неприменимо

Действующие параметры клиентского компьютера по умолчанию

Неприменимо

 

Управление политикой

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.

Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.

Групповая политика

Клиентские устройства получат новый параметр во время следующего запланированного обновления групповой политики. Но чтобы немедленно применить новые параметры для контроллеров домена, необходимо выполнить команду gpupdate.exe /force. На локальном устройстве обработчик конфигурации безопасности обновит этот параметр приблизительно через пять минут.

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Если вы отключите этот параметр политики, пользователи смогут получать билеты сеансов для служб, на использование которых у них больше нет прав, так как соответствующие права были удалены после входа таких пользователей в систему.

Меры противодействия

Включите параметр Принудительные ограничения входа пользователей.

Возможные последствия

Нет. Это конфигурация по умолчанию.

Связанные разделы

Политика Kerberos

 

 

Показ: