Максимальный срок жизни для возобновления билета пользователя

Содержит описание рекомендаций, расположения, значений, управления политикой и вопросов безопасности для параметра политики безопасности Максимальный срок для возобновления билета пользователя.

Справка

Параметр политики Максимальный срок жизни для возобновления билета пользователя указывает период в днях, в течение которого можно обновить билет для получения билетов.

Ниже перечислены возможные значения этого параметра групповой политики.

  • Определяемое пользователем количество дней от 0 до 99 999.

  • Не определено

Рекомендации

  • Если значение этого параметра политики слишком большое, пользователи смогут обновить очень старые пользователи билеты для получения билетов. Если значение равно 0, срок действия билета на получение билетов никогда не истекает.

    Рекомендуется установить для параметра Максимальный срок жизни для возобновления билета пользователя значение 7 (дней).

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика Kerberos

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

7 дней

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Не применимо

Действующие параметры контроллера домена по умолчанию

7 дней

Действующие параметры рядового сервера по умолчанию

Не применимо

Действующие параметры клиентского компьютера по умолчанию

Не применимо

 

Управление политикой

В этом разделе описаны компоненты, средства и рекомендации, которые помогут в управлении этой политикой.

Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.

Этот параметр политики настраивается на контроллере домена.

Групповая политика

Клиентские устройства получат новый параметр во время следующего запланированного обновления групповой политики. Но чтобы немедленно применить новые параметры для контроллеров домена, необходимо выполнить команду gpupdate.exe /force. На локальном устройстве обработчик конфигурации безопасности обновит этот параметр приблизительно через пять минут.

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Если значение параметра Максимальный срок жизни для возобновления билета пользователя слишком большое, пользователи смогут обновить очень старые билеты пользователя.

Меры противодействия

Задайте для параметра Максимальный срок жизни для возобновления билета пользователя значение 7 дней.

Возможные последствия

Нет. Это конфигурация по умолчанию.

Связанные разделы

Политика Kerberos

 

 

Показ: