Rya*_*ger 7 active-directory kerberos
使用 MIT Kerberos,kadmin 实用程序支持创建具有显式最大票证生命周期和更新生命周期(add_principal 的 -maxlife 和 -maxrenewlife 参数)的主体,这可能与领域的默认票证生命周期和更新生命周期不同。因此,如果您的领域的默认生命周期为 24 小时,续订生命周期为 7 天,则给定的主体可能分别为 1 小时和 1 天。
我试图弄清楚 Active Directory 的 Kerberos 实现是否支持同样的事情。我的直觉说不,但除了无法在可能启用该能力的帐户上找到任何明显的属性之外,我很难确定地证明它。
任何人都可以确认或否认我的直觉回答吗?
根据我的阅读,没有。它就像密码策略 - 它是在域级别定义的。
http://technet.microsoft.com/en-us/library/cc757692(v=ws.10).aspx#w2k3tr_sepol_accou_set_hpjo
帐户策略下的策略设置在域级别实施。
细粒度密码策略不能用于此目的,因为它们不包括 Kerberos 设置。
http://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx
PSO 具有可在默认域策略中定义的所有设置的属性(Kerberos 设置除外)。
抱歉,看来你运气不好。
| 归档时间: |
|
| 查看次数: |
682 次 |
| 最近记录: |