Edit C:\Windows\PolicyDefinitions\fr-FR\Kerberos.adml
<?xml version="1.0" encoding="utf-8"?> <!-- (c) 2006 Microsoft Corporation --> <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions"> <displayName>Paramètres Kerberos</displayName> <description>Paramètres de configuration du protocole dâ??authentification Kerberos.</description> <resources> <stringTable> <string id="kerberos">Kerberos</string> <string id="forestsearch">Utiliser lâ??ordre de recherche de la forêt</string> <string id="forestsearch_explain">Ce paramètre de stratégie définit la liste des forêts autorisées à approuver dans laquelle le client Kerberos effectue sa recherche lorsquâ??il essaie de résoudre les noms de principaux du service en deux parties. Si vous activez ce paramètre de stratégie, le client Kerberos effectue sa recherche dans les forêts de cette liste, sâ??il ne parvient pas à résoudre un nom de principal du service en deux parties. Sâ??il trouve une correspondance, le client Kerberos demande un ticket de référence au domaine approprié. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, le client Kerberos nâ??effectue pas sa recherche dans la liste des forêts répertoriées pour résoudre le nom de principal du service. Si le client Kerberos ne parvient pas à résoudre le nom de principal du service, car il est introuvable, lâ??authentification NTLM peut être utilisée.</string> <string id="hosttorealm">Définir les mappages de noms dâ??hôtes à un domaine Kerberos</string> <string id="hosttorealm_explain">Ce paramètre de stratégie permet de spécifier les noms dâ??hôtes DNS et les suffixes DNS mappés à un domaine Kerberos. Si vous activez ce paramètre de stratégie, vous pouvez afficher et modifier la liste des noms dâ??hôtes DNS et des suffixes DNS mappés à un domaine Kerberos, conformément à la définition de la stratégie de groupe. Pour afficher la liste des mappages, activez le paramètre de stratégie et cliquez sur le bouton Afficher. Pour ajouter un mappage, activez le paramètre de stratégie, notez la syntaxe, puis cliquez sur Afficher. Dans la boîte de dialogue Afficher le contenu, dans la colonne Valeur, tapez le nom dâ??un domaine. Dans la colonne Valeur, tapez la liste des noms dâ??hôtes DNS et des suffixes DNS en respectant la syntaxe appropriée. Pour supprimer un mappage de la liste, cliquez sur lâ??entrée à supprimer, puis appuyez sur la touche Suppr. Pour modifier un mappage, supprimez lâ??entrée actuelle de la liste, puis ajoutez-en une avec dâ??autres paramètres. Si vous désactivez ce paramètre de stratégie, la liste des mappages de noms dâ??hôtes au domaine Kerberos, définie par la stratégie de groupe, est supprimée. Si vous ne configurez pas ce paramètre de stratégie, le système utilise les mappages de noms dâ??hôtes au domaine Kerberos qui sont définis dans le Registre local, sâ??ils existent.</string> <string id="MitRealms">Définir les paramètres des domaines interopérables Kerberos V5</string> <string id="MitRealms_explain">Ce paramètre de stratégie configure le client Kerberos pour quâ??il puisse sâ??authentifier à des domaines interopérables Kerberos V5, tel que défini par ce paramètre de stratégie. Si vous activez ce paramètre de stratégie, vous pourrez afficher et modifier la liste des domaines interopérables Kerberos V5 et leurs paramètres. Pour afficher la liste des domaines interopérables Kerberos V5, activez le paramètre de stratégie et cliquez sur le bouton Afficher. Pour ajouter un domaine interopérable Kerberos V5, activez le paramètre de stratégie, notez la syntaxe, puis cliquez sur le bouton Afficher. Dans la boîte de dialogue Afficher le contenu, dans la colonne Nom de valeur, tapez le nom du domaine interopérable Kerberos V5. Dans la colonne Valeur, tapez les indicateurs de domaine et les noms dâ??hôtes des contrôleurs de domaine Kerberos (KDC) hôtes en respectant la syntaxe appropriée. Pour supprimer une entrée Nom de valeur ou Valeur du domaine interopérable Kerberos V5, cliquez sur son entrée, puis appuyez sur la touche Suppr. Pour modifier un mappage, supprimez lâ??entrée actuelle de la liste, puis ajoutez-en une avec dâ??autres paramètres. Si vous désactivez ce paramètre de stratégie, les paramètres des domaines interopérables Kerberos V5 définis par la stratégie de groupe sont supprimés. Si vous ne configurez pas ce paramètre de stratégie, le système utilise les paramètres des domaines interopérables Kerberos V5 qui sont définis dans le Registre local, sâ??ils existent.</string> <string id="ValidateKDC">Exiger une validation KDC stricte</string> <string id="ValidateKDC_explain">Ce paramètre de stratégie contrôle le comportement du client Kerberos durant la validation du certificat KDC pour lâ??ouverture de session à partir dâ??une carte à puce et dâ??un certificat système. Si vous activez ce paramètre de stratégie, le client Kerberos exige que le certificat X.509 du contrôleur de domaine Kerberos (KDC) contienne lâ??identificateur dâ??objet du rôle de clé dans les extensions dâ??utilisation améliorée de la clé et que le certificat X.509 du contrôleur de domaine Kerberos contienne une extension dNSName subjectAltName (SAN) qui correspond au nom DNS du domaine. Si lâ??ordinateur est membre dâ??un domaine, le client Kerberos exige que le certificat X.509 du contrôleur de domaine Kerberos (KDC) soit signé par une autorité de certification du magasin NTAuth. Si lâ??ordinateur nâ??est pas membre dâ??un domaine, le client Kerberos permet lâ??utilisation du certificat de lâ??AC racine sur la carte à puce dans la validation de chemin dâ??accès du certificat X.509 du KDC. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, le client Kerberos exige seulement que le certificat KDC contienne lâ??identificateur dâ??objet du rôle de lâ??authentification du serveur dans les extensions dâ??utilisation améliorée de la clé qui peuvent être émises pour un serveur. </string> <string id="StrictTarget">Exiger une correspondance stricte des noms de principaux du service cibles dans les appels de procédure distante</string> <string id="StrictTarget_explain"> Ce paramètre de stratégie vous permet de configurer ce serveur de sorte que Kerberos puisse déchiffrer un ticket contenant le nom de principal du service généré par le système. Lorsquâ??une application essaie dâ??effectuer un appel de procédure distante vers ce serveur avec une valeur NULL en tant que nom de principal du service, les ordinateurs exécutant Windows 7 essaient dâ??utiliser Kerberos en générant un nom de principal du service. Si vous activez ce paramètre de stratégie, seuls les services sâ??exécutant en tant que LocalSystem ou NetworkService sont autorisés à accepter ces connexions. Les services qui sâ??exécutent avec une autre identité que LocalSystem ou NetworkService peuvent ne pas être authentifiés. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, tous les services sont autorisés à accepter les connexions entrantes en utilisant le nom de principal du service généré par le système.</string> <string id="KdcProxyServer">Spécifier les serveurs proxy KDC pour les clients Kerberos</string> <string id="KdcProxyServer_explain">Ce paramètre de stratégie configure le mappage du client Kerberos aux serveurs proxy KDC pour les domaines dâ??après leur nom de suffixe DNS. Si vous activez ce paramètre de stratégie, le client Kerberos utilise le serveur proxy KDC pour un domaine sâ??il est impossible de déterminer lâ??emplacement dâ??un contrôleur de domaine dâ??après les mappages configurés. Pour mapper un serveur proxy KDC à un domaine, activez le paramètre de stratégie, cliquez sur Afficher, puis mappez le ou les noms de serveurs proxy KDC au nom DNS pour le domaine à lâ??aide de la syntaxe décrite dans le volet des options. Dans la boîte de dialogue Afficher le contenu, puis dans la colonne Valeur, tapez le nom dâ??un suffixe DNS. Dans la colonne Valeur, tapez la liste des serveurs proxy en respectant la syntaxe appropriée. Pour afficher la liste des mappages, activez le paramètre de stratégie et cliquez sur le bouton Afficher. Pour supprimer un mappage de la liste, cliquez sur lâ??entrée à supprimer, puis appuyez sur la touche Suppr. Pour modifier un mappage, supprimez lâ??entrée actuelle de la liste, puis ajoutez-en une avec dâ??autres paramètres. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, le client Kerberos ne dispose pas des paramètres des serveurs proxy KDC définis par la stratégie de groupe. </string> <string id="KdcProxyDisableServerRevocationCheck">Désactiver la vérification de la révocation pour le certificat SSL des serveurs proxy KDC</string> <string id="KdcProxyDisableServerRevocationCheck_explain">Ce paramètre de stratégie vous permet de désactiver la vérification de la révocation pour le certificat SSL du serveur proxy KDC ciblé. Si vous activez ce paramètre de stratégie, la vérification de la révocation du certificat SSL du serveur proxy KDC est ignorée par le client Kerberos. Ce paramètre de stratégie ne doit être utilisé que pour résoudre les problèmes liés aux connexions des serveurs proxy KDC. Avertissement : lorsque la vérification de la révocation est ignorée, le serveur représenté par le certificat nâ??est pas considéré comme valide de façon sûre. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, le client Kerberos applique la vérification de la révocation du certificat SSL. La connexion au serveur proxy KDC nâ??est pas établie en cas dâ??échec de la vérification de la révocation. </string> <string id="ClientRequireFast">Faire échouer les demandes dâ??authentification lorsque le blindage Kerberos nâ??est pas disponible</string> <string id="ClientRequireFast_explain">Ce paramètre de stratégie détermine si un ordinateur exige que les échanges de messages Kerberos soient blindés durant la communication avec un contrôleur de domaine. Avertissement : lorsquâ??un domaine ne prend pas en charge le blindage Kerberos à travers le paramètre de stratégie « Prendre en charge le contrôle dâ??accès dynamique et le blindage Kerberos », toutes les authentifications de ses utilisateurs échouent à partir des ordinateurs où ce paramètre de stratégie est activé. Si vous activez ce paramètre de stratégie, les ordinateurs clients du domaine appliquent lâ??utilisation du blindage Kerberos uniquement durant les échanges de messages du service dâ??authentification (AS) et du service dâ??accord de tickets (TGS) avec les contrôleurs de domaine. Remarque : la stratégie de groupe Kerberos Prise en charge du client Kerberos pour les revendications, lâ??authentification composée et le blindage Kerberos doit également être activée pour prendre en charge le blindage Kerberos. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, les ordinateurs clients du domaine appliquent lâ??utilisation du blindage Kerberos lorsque cela est possible, en fonction de la prise en charge par le domaine cible. </string> <string id="ServerAcceptsCompound">Prendre en charge lâ??authentification composée</string> <string id="ServerAcceptsCompound_explain">Ce paramètre de stratégie contrôle la configuration du compte Active Directory du périphérique pour lâ??authentification composée. La prise en charge de lâ??authentification composée qui permet le contrôle dâ??accès nécessite quâ??un nombre suffisant de contrôleurs de domaine prennent en charge les demandes dans les domaines de comptes de ressources. Lâ??administrateur de domaine doit configurer la stratégie « Prendre en charge le contrôle dâ??accès dynamique et le blindage Kerberos » sur tous les contrôleurs de domaine pour permettre la prise en charge de cette stratégie. Si vous activez ce paramètre de stratégie, le compte Active Directory du périphérique est alors configuré pour lâ??authentification composée à lâ??aide des options suivantes : Jamais : lâ??authentification composée nâ??est jamais fournie pour ce compte dâ??ordinateur. Automatique : lâ??authentification composée est assurée pour ce compte dâ??ordinateur lorsquâ??une ou plusieurs applications sont configurées pour le contrôle dâ??accès dynamique. Toujours : lâ??authentification composée est toujours fournie pour ce compte dâ??ordinateur. Si vous désactivez ce paramètre de stratégie, lâ??option Jamais est utilisée. Si vous ne configurez pas ce paramètre de stratégie, lâ??option Automatique est utilisée. </string> <string id="CompoundIdEnable_No">Jamais</string> <string id="CompoundIdEnable_Auto">Automatique</string> <string id="CompoundIdEnable_Yes">Toujours</string> <string id="MaxTokenSize">Définir la taille maximale de la mémoire tampon des jetons de contexte SSPI Kerberos</string> <string id="MaxTokenSize_explain">Ce paramètre de stratégie vous permet de définir la valeur retournée aux applications qui demandent la limite maximale de la taille de la mémoire tampon pour les jetons de contexte SSPI. La taille de la mémoire tampon des jetons de contexte détermine la taille maximale des jetons de contexte SSPI quâ??une application doit prévoir et allouer. Selon le traitement des demandes dâ??authentification et selon les appartenances aux groupes, la mémoire tampon peut être plus petite que la taille réelle des jetons de contexte SSPI. Si vous activez ce paramètre de stratégie, le client ou le serveur Kerberos utilise soit la valeur configurée, soit la valeur maximale autorisée localement, en fonction de celle qui est la plus faible. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, le client ou le serveur Kerberos utilise la valeur configurée localement ou la valeur par défaut. Remarque : ce paramètre de stratégie configure la valeur de Registre existante MaxTokenSize dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters, ajoutée à Windows XP et Windows Server 2003 avec une valeur par défaut de 12 000 octets. Ã? partir de Windows 8, la valeur par défaut est de 48 000 octets. En raison de lâ??encodage base64 du protocole HTTP pour les jetons de contexte dâ??authentification, il est déconseillé de définir cette valeur au-delà de 48 000 octets. </string> <string id="EnableCbacAndArmor">Prise en charge du client Kerberos pour les revendications, lâ??authentification composée et le blindage Kerberos</string> <string id="EnableCbacAndArmor_explain">Ce paramètre de stratégie détermine si un périphérique demande des revendications et lâ??authentification composée pour le contrôle dâ??accès dynamique et le blindage Kerberos à lâ??aide de lâ??authentification Kerberos auprès des domaines qui prennent en charge ces fonctionnalités. Si vous activez ce paramètre de stratégie, les ordinateurs clients demandent des revendications, fournissent les informations nécessaires pour créer lâ??authentification composée et blinder les messages Kerberos dans les domaines qui prennent en charge les revendications et lâ??authentification composée pour le contrôle dâ??accès dynamique et le blindage Kerberos. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, les périphériques clients ne demandent pas de revendications, ne fournissent pas les informations nécessaires pour créer lâ??authentification composée et ne blindent pas les messages Kerberos. Les services hébergés sur le périphérique ne sont alors pas en mesure de récupérer les revendications des clients qui utilisent la transition du protocole Kerberos. </string> <string id="AlwaysSendCompoundId">Toujours envoyer lâ??authentification composée en premier</string> <string id="AlwaysSendCompoundId_explain">Ce paramètre de stratégie détermine si un périphérique envoie toujours une demande dâ??authentification composée quand le domaine de ressource demande lâ??identité composée. Remarque : pour quâ??un contrôleur de domaine demande lâ??authentification composée, les stratégies « Prise en charge du contrôleur de domaine Kerberos pour les revendications, lâ??authentification composée et le blindage Kerberos » et « Demander lâ??authentification composée » doivent être configurées et activées dans le domaine du compte de ressource. Si vous activez ce paramètre de stratégie et que le domaine de ressource demande lâ??authentification composée, les périphériques qui prennent en charge lâ??authentification composée envoient toujours une demande dâ??authentification composée. Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas et que le domaine de ressource demande lâ??authentification composée, les périphériques envoient dâ??abord une demande dâ??authentification non composée, puis une demande dâ??authentification composée quand le service demande lâ??authentification composée. </string> </stringTable> <presentationTable> <presentation id="hosttorealm"> <listBox refId="hosttorealm">Définir les mappages de noms dâ??hôtes à un domaine :</listBox> <text></text> <text>Syntaxe :</text> <text>Entrez le nom du domaine Kerberos en tant que Nom de valeur.</text> <text>Entrez les noms dâ??hôtes et les suffixes DNS à mapper</text> <text>au domaine Kerberos en tant que Valeur. Pour ajouter plusieurs</text> <text>noms, séparez les entrées par des points-virgules « ; ».</text> <text></text> <text>Remarque : pour spécifier un suffixe DNS, faites précéder lâ??entrée par un point « . ».</text> <text>Pour lâ??entrée dâ??un nom dâ??hôte, ne spécifiez pas de point « . » au début.</text> <text></text> <text>Exemple :</text> <text>Nom de valeur : MICROSOFT.COM</text> <text>Valeur : .microsoft.com; .ms.com; ordinateur1.fabrikam.com;</text> <text></text> <text>Dans lâ??exemple ci-dessus. Tous les principaux comportant le suffixe</text> <text>DNS *.microsoft.com ou *.ms.com seront mappés au</text> <text>domaine Kerberos MICROSOFT.COM. En outre, le nom dâ??hôte</text> <text>ordinateur1.fabrikam.com est également mappé au </text> <text>domaine Kerberos MICROSOFT.COM.</text> </presentation> <presentation id="MitRealms"> <listBox refId="MitRealms">Définir les paramètres des domaines interopérables Kerberos V5 :</listBox> <text></text> <text>Syntaxe :</text> <text>Entrez le nom du domaine interopérable Kerberos V5 en tant que Nom de valeur.</text> <text>Entrez les indicateurs de domaine et les noms dâ??hôtes des contrôleurs</text> <text>de domaine Kerberos (KDC) en tant que Valeur. Placez les indicateurs de domaine entre</text> <text>les balises <f> </f>. Placez la liste des contrôleurs de domaine Kerberos entre les balises<k> </k>.</text> <text>Pour ajouter plusieurs noms de contrôleurs de domaine Kerberos, séparez</text> <text>les entrées par un point-virgule « ; ».</text> <text></text> <text>Exemple :</text> <text>Nom de valeur : TEST.COM</text> <text>Valeur : <f>0x00000004</f><k>kdc1.test.com; kdc2.test.com</k></text> <text></text> <text>Autre exemple :</text> <text>Nom de valeur : REALM.FABRIKAM.COM</text> <text>Valeur : <f>0x0000000E</f></text> </presentation> <presentation id="ValidateKDC"> <dropdownList refId="ValidateKDCOp" noSort="true" defaultItem="0">Mode :</dropdownList> </presentation> <presentation id="ForestSearch"> <textBox refId="ForestSearchList"> <label>Forêts dans lesquelles effectuer la recherche</label> </textBox> <text>Syntaxe :</text> <text>Entrez la liste des forêts dans lesquelles effectuer la recherche lorsque ce paramètre de stratégie est activé.</text> <text>Utilisez le format de nom de domaine complet.</text> <text>Séparez les entrées à rechercher par des points-virgules (;).</text> <text>Détails :</text> <text>Il nâ??est pas nécessaire de répertorier la forêt actuelle, car lâ??ordre de recherche de la forêt utilise dâ??abord le catalogue global, puis effectue la recherche dans lâ??ordre de la liste.</text> <text>Il nâ??est pas nécessaire de répertorier séparément tous les domaines de la forêt.</text> <text>Si une forêt autorisée à approuver est répertoriée, la recherche est effectuée sur tous les domaines de cette forêt.</text> <text>Pour de meilleures performances, répertoriez les forêts dans lâ??ordre de probabilité de réussite. </text> </presentation> <presentation id="KdcProxyServer"> <listBox refId="KdcProxyServer">Définir les paramètres des serveurs proxy KDC :</listBox> <text></text> <text>Syntaxe :</text> <text></text> <text>Entrez le nom de suffixe DNS en tant que Nom de valeur.</text> <text>Le nom de suffixe DNS autorise trois formats selon lâ??ordre de préférence suivant :</text> <text>Correspondance complète : host.contoso.com</text> <text>Correspondance du suffixe : .contoso.com</text> <text>Correspondance par défaut : *</text> <text></text> <text>Entrez les noms de serveurs proxy en tant que Valeur.</text> <text>Les noms de serveurs proxy doivent être placés dans les balises <https /></text> <text>Pour ajouter plusieurs noms de serveurs proxy, séparez les entrées par un espace ou une virgule « , »</text> <text></text> <text>Exemple :</text> <text>Nom de valeur : .contoso.com</text> <text>Valeur : <https proxy1.contoso.com proxy2.contoso.com /></text> <text></text> <text>Autre exemple :</text> <text>Nom de valeur : *</text> <text>Valeur : <https proxy.contoso.com /></text> </presentation> <presentation id="ClientRequireFast"> </presentation> <presentation id="ServerAcceptsCompound"> <dropdownList refId="CompoundIdEnabled" noSort="true" defaultItem="2">Prendre en charge lâ??autorisation à lâ??aide des informations du périphérique client :</dropdownList> </presentation> <presentation id="MaxTokenSize"> <decimalTextBox refId="MaxTokenSize" defaultValue="48000" spinStep="1000">Taille maximale</decimalTextBox> </presentation> <presentation id="EnableCbacAndArmor"> </presentation> </presentationTable> </resources> </policyDefinitionResources>
Ms-Dos/Windows
Unix
Write backup
jsp File Browser version 1.2 by
www.vonloesch.de