Edit C:\Windows\PolicyDefinitions\fr-FR\KDC.adml
<?xml version="1.0" encoding="utf-8"?> <!-- (c) 2006 Microsoft Corporation --> <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"> <displayName>Paramètres KDC</displayName> <description>Paramètres de configuration pour le centre de distribution de clés Kerberos.</description> <resources> <stringTable> <string id="KDC">KDC</string> <string id="forestsearch">Utiliser lâ??ordre de recherche dans la forêt</string> <string id="forestsearch_explain">Ce paramètre de stratégie définit la liste des forêts de confiance interrogées par le centre de distribution de clés (KDC) lorsque celui-ci essaie de résoudre des noms principaux de services (noms SPN) en deux parties. Si vous activez ce paramètre de stratégie, le centre de distribution de clés effectue ses recherches dans les forêts de cette liste sâ??il ne parvient pas à résoudre un nom SPN en deux parties dans la forêt locale. La recherche est basée sur un catalogue global ou sur les suffixes de noms. Dès quâ??il trouve une correspondance, le centre de distribution de clés renvoie un ticket de référence au client pour le domaine approprié. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le centre de distribution de clés nâ??essaie pas de résoudre le nom SPN en analysant le contenu des forêts répertoriées. Sâ??il nâ??est pas en mesure de résoudre le nom, lâ??authentification NTLM peut être appliquée. Pour assurer un comportement cohérent, veillez à ce que ce paramètre de stratégie soit pris en charge et défini de façon identique sur tous les contrôleurs de domaine au sein du domaine.</string> <string id="emitlili">Fournir des informations sur les ouvertures de session précédentes sur les ordinateurs clients</string> <string id="emitlili_explain">Ce paramètre de stratégie détermine si le contrôleur de domaine fournit des informations sur des ouvertures de session précédentes aux ordinateurs clients. Si vous activez ce paramètre de stratégie, le contrôleur de domaine ne fournit pas les messages dâ??information relatifs aux ouvertures de session précédentes. Pour tirer parti de cette fonction, il est nécessaire dâ??activer également le paramètre de stratégie « Afficher les informations sur les ouvertures de session précédentes au cours dâ??une ouverture de session utilisateur » situé au niveau du nÅ?ud Options dâ??ouverture de session Windows sous Composants Windows. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le contrôleur de domaine fournit des informations sur les ouvertures de session précédentes uniquement si le paramètre de stratégie « Afficher les informations sur les ouvertures de session précédentes au cours dâ??une ouverture de session utilisateur » est activé. Remarque : pour que des informations sur les ouvertures de session précédentes soient fournies, le niveau fonctionnel du domaine doit être Windows Server 2008. Dans les domaines dont le niveau fonctionnel de domaine est Windows Server 2003, Windows 2000 natif ou Windows 2000 mixte, les contrôleurs de domaine ne peuvent pas fournir des informations sur les ouvertures de session précédentes, et lâ??activation de ce paramètre de stratégie nâ??a aucun effet. </string> <string id="CbacAndArmor">Prise en charge du contrôleur de domaine Kerberos pour les revendications, lâ??authentification composée et le blindage Kerberos</string> <string id="CbacAndArmor_explain">Ce paramètre de stratégie vous permet de configurer un contrôleur de domaine pour prendre en charge les revendications et lâ??authentification composée pour le contrôle dâ??accès dynamique et le blindage Kerberos à lâ??aide de lâ??authentification Kerberos. Si vous activez ce paramètre de stratégie, les ordinateurs clients qui prennent en charge les revendications et lâ??authentification composée pour le contrôle dâ??accès dynamique et sont compatibles avec le blindage Kerberos utilisent cette fonctionnalité pour les messages dâ??authentification Kerberos. Cette stratégie doit être appliquée à tous les contrôleurs de domaine pour garantir son application cohérente dans le domaine. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le contrôleur de domaine ne prend pas en charge les revendications, lâ??authentification composée ou le blindage. Si vous choisissez lâ??option « Non pris en charge », le contrôleur de domaine ne prend pas en charge les revendications, lâ??authentification composée ou le blindage, ce qui correspond au comportement par défaut pour les contrôleurs de domaine exécutant Windows Server 2008 R2 ou un système dâ??exploitation antérieur. Remarque : pour que les options suivantes de cette stratégie de contrôleur de domaine Kerberos soient effectives, la stratégie de groupe Prise en charge du client Kerberos pour les revendications, lâ??authentification composée et le blindage Kerberos doit être activée sur les systèmes pris en charge. Si le paramètre de stratégie Kerberos nâ??est pas activé, les messages dâ??authentification Kerberos nâ??utilisent pas ces fonctionnalités. Si vous choisissez lâ??option « Pris en charge », le contrôleur de domaine prend en charge les revendications, lâ??authentification composée et le blindage Kerberos. Le contrôleur de domaine annonce aux ordinateurs clients Kerberos que le domaine prend en charge les revendications et lâ??authentification composée pour le contrôle dâ??accès dynamique et le blindage Kerberos. Exigences au niveau fonctionnel du domaine Pour les options « Toujours fournir des revendications » et « Rejeter les demandes dâ??authentification non blindées », quand le niveau fonctionnel du domaine est Windows Server 2008 R2 ou version antérieure, les contrôleurs de domaine se comportent comme si lâ??option « Pris en charge » était sélectionnée. Quand le niveau fonctionnel du domaine est Windows Server 2012, le contrôleur de domaine annonce aux ordinateurs clients Kerberos que le domaine prend en charge les revendications et lâ??authentification composée pour le contrôle dâ??accès dynamique et le blindage Kerberos, et : - Si vous choisissez lâ??option « Toujours fournir des revendications », il renvoie toujours des revendications pour les comptes et il prend en charge le comportement RFC pour lâ??annonce FAST (Flexible Authentication Secure Tunneling). - Si vous choisissez lâ??option « Rejeter les demandes dâ??authentification non blindées », il rejette les messages Kerberos non blindés. Attention : lorsque lâ??option « Rejeter les demandes dâ??authentification non blindées » est sélectionnée, les ordinateurs clients qui ne prennent pas en charge le blindage Kerberos ne peuvent pas sâ??authentifier auprès du contrôleur de domaine. Pour garantir lâ??efficacité de cette fonctionnalité, déployez suffisamment de contrôleurs de domaine qui prennent en charge les revendications et lâ??authentification composée pour le contrôle dâ??accès dynamique et qui prennent en charge le blindage Kerberos pour la gestion des demandes dâ??authentification. Le déploiement dâ??un nombre insuffisant de contrôleurs de domaine prenant en charge cette stratégie conduit à des échecs dâ??authentification dès lors que le contrôle dâ??accès dynamique ou le blindage Kerberos est requis (câ??est-à -dire quand lâ??option « Pris en charge » est activée). Impact sur les performances du contrôleur de domaine lorsque ce paramètre de stratégie est activé : - La découverte de fonctionnalités de domaine Kerberos sécurisée est requise, ce qui augmente le nombre dâ??échanges de messages. - Les revendications et lâ??authentification composée pour le contrôle dâ??accès dynamique augmentent la taille et la complexité des données dans le message, ce qui conduit à prolonger le temps de traitement et à augmenter la taille de ticket du service Kerberos. - Le blindage Kerberos chiffre entièrement les messages Kerberos et signe les erreurs Kerberos, ce qui accroît la durée de traitement mais ne modifie pas la taille de ticket du service. </string> <string id="NoCbacAndArmor">Non pris en charge</string> <string id="MixModeCbacAndArmor">Pris en charge</string> <string id="FullModeCbacAndArmor">Toujours fournir des revendications</string> <string id="FullModeCbacAndRequireArmor">Rejeter les demandes dâ??authentification non blindées</string> <string id="TicketSizeThreshold">Avertissement pour cause de tickets Kerberos volumineux</string> <string id="TicketSizeThreshold_explain">Ce paramètre de stratégie vous permet de configurer la taille à partir de laquelle les tickets Kerberos déclenchent lâ??événement dâ??avertissement émis durant lâ??authentification Kerberos. Les avertissements de taille de ticket sont consignés dans le journal système. Si vous activez ce paramètre de stratégie, vous pouvez définir le seuil au-dessus duquel les avertissements sont signalés pour les tickets Kerberos. Si vous définissez un seuil trop élevé, des échecs dâ??authentification peuvent se produire, même si aucun événement dâ??avertissement nâ??est consigné dans le journal. Si vous définissez un seuil trop bas, le journal contiendra trop de tickets pour que leur analyse soit intéressante. Cette valeur doit être égale à celle définie pour la stratégie Kerberos « Définir la taille maximale de mémoire tampon de jeton de contexte SSPI Kerberos » ou à la valeur MaxTokenSize la plus petite utilisée dans votre environnement si vous nâ??effectuez pas la configuration avec la stratégie de groupe. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, la valeur de seuil par défaut est 12 000 octets, ce qui correspond à la taille maximale de jeton Kerberos (MaxTokenSize) par défaut pour Windows 7, Windows Server 2008 R2 et versions antérieures. </string> <string id="RequestCompoundId">Demander lâ??authentification composée</string> <string id="RequestCompoundId_explain">Ce paramètre de stratégie vous permet de configurer un contrôleur de domaine pour quâ??il demande lâ??authentification composée. Remarque : pour quâ??un contrôleur de domaine demande lâ??authentification composée, la stratégie « Prise en charge du contrôleur de domaine Kerberos pour les revendications, lâ??authentification composée et le blindage Kerberos » doit être configurée et activée. Si vous activez ce paramètre de stratégie, les contrôleurs de domaine demandent lâ??authentification composée. Le ticket de service renvoyé contient lâ??authentification composée uniquement quand le compte est configuré de manière explicite. Cette stratégie doit être appliquée à tous les contrôleurs de domaine pour garantir son application cohérente dans le domaine. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, les contrôleurs de domaine renvoient des tickets de service qui contiennent lâ??authentification composée chaque fois que le client envoie une demande dâ??authentification composée, quelle que soit la configuration du compte. </string> </stringTable> <presentationTable> <presentation id="emitlili"> <dropdownList refId="emitliliOp" oSort="true" defaultItem="0">Mode :</dropdownList> </presentation> <presentation id="ForestSearch"> <textBox refId="ForestSearchList"> <label>Forêts à interroger</label> </textBox> <text>Syntaxe :</text> <text>Entrez la liste des forêts dans lesquelles effectuer une recherche lorsque cette stratégie est activée.</text> <text>Utilisez le format de nom de domaine complet.</text> <text>Séparez les entrées de recherche par un point-virgule « ; ».</text> <text>Détails :</text> <text>Il nâ??est pas nécessaire dâ??ajouter la forêt actuelle à la liste, car lâ??ordre de recherche des forêts se base dâ??abord sur le catalogue global, puis sur la liste des forêts dans lâ??ordre indiqué.</text> <text>Il nâ??est pas nécessaire de répertorier séparément tous les domaines de la forêt.</text> <text>Si une forêt approuvée figure dans la liste, la recherche sâ??appliquera à tous les domaines de cette forêt.</text> <text>Pour de meilleures performances, répertoriez les forêts dans lâ??ordre de probabilité de réussite.</text> </presentation> <presentation id="CbacAndArmor"> <dropdownList refId="CbacAndArmor_Levels" noSort="true" defaultItem="1">Options de revendications, dâ??authentification composée pour le contrôle dâ??accès dynamique et de blindage Kerberos :</dropdownList> </presentation> <presentation id="TicketSizeThreshold"> <decimalTextBox refId="TicketSizeThreshold" defaultValue="12000" spinStep="1000">Seuil de taille de ticket</decimalTextBox> </presentation> </presentationTable> </resources> </policyDefinitionResources>
Ms-Dos/Windows
Unix
Write backup
jsp File Browser version 1.2 by
www.vonloesch.de