Kerberos 策略

适用对象：Windows Server 2008, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2

本主题面向 IT 专业人员介绍 Kerberos 策略设置，并提供指向策略设置说明。

Kerberos 版本 5 身份验证协议提供身份验证服务和用户访问某一资源并在该资源上执行某项任务所需的授权数据的默认机制。 通过减少 Kerberos 票证的生存期，则可以减少合法用户的凭据被盗，而攻击者成功地使用的风险。 但是，这也会增加授权开销。 在大多数环境中，这些设置应该不需要进行更改。

这些策略设置位于 GPO_name**\Computer Configuration\Windows 设置 \ 安全设置 \ Policies\Kerberos 策略** 并且可以在域控制器上设置。

有关设置安全策略的信息，请参阅 如何配置安全策略设置。

以下主题提供讨论实现和最佳做法注意事项、 策略位置、 服务器类型或 GPO，可能需要的操作系统版本、 安全注意事项 （包括每个设置的可能的设置漏洞）、 对策之间的差异，并为每个设置可能会影响相关的默认值。

• 强制用户登录限制

  此策略设置确定是否 Kerberos V5 密钥分发中心 (KDC) 验证会话票证的用户帐户的用户权限策略针对每个请求。

• 服务票证最长寿命

  此策略设置确定最大可授予的会话票证以访问特定服务的分钟数。

• 用户票证最长寿命

  此策略设置确定的最大量，可以使用用户的票证授予票证的时间 （以小时为单位）。

• 用户票证续订的最长生存期

  此策略设置确定可以续订用户票证授予票证的时间 （以天为单位）。

• 计算机时钟同步的最大容差

  此策略设置确定的最大时间差 （以分钟为单位） 的 Kerberos V5 协议容提供 Kerberos 身份验证的域控制器上的时间和客户端时钟的时间之间。