无论如何,有没有办法阻止 Kerberos 缓存的票证在 Windows 进入锁定屏幕后被删除。
首次登录 Windows 时,klist.exe 显示 2 个缓存票证。但是,发生 Windows 锁屏事件后,klist.exe 显示 0 个缓存票证。
提前致谢。
这是设计使然。无法阻止屏幕锁定后清除 Kerberos 服务票证。一旦您再次访问新的受 Kerberos 保护的资源,就会发生新的身份验证过程并出现新的票证。了解 Kerberos 票证之间的区别非常重要 - 有两种类型 - 票证授予票证 (TGT) 和服务票证 (ST)。您可以确保 Kerberos TGT 保留在客户端缓存中,并且在屏幕锁定后不会清除if您的计算机正在加入 Active Directory 域and您进行所谓的组策略更改以更改行为(请参阅下面的注释)。如果您不是 Active Directory 管理员,则必须联系他们让他们为您执行此操作。要在屏幕锁定后保留 TGT,请打开组策略管理控制台编辑器,找到链接到计算机的 GPO,并将策略设置为不需要与域控制器联系即可解锁计算机。这样做将确保计算机保留缓存的 Kerberos TGT 以进行重新身份验证。即使您以这种方式配置组策略,为您的 Web 服务器颁发的 Kerberos 服务票证也不会保留。同样,在这种情况下,解锁工作站后,只有 TGT 保留在计算机 Kerberos 缓存中,不会保留任何服务票据(例如为网络资源颁发的票据)。但对您来说,这可以让您更轻松地请求 ST,因为不必重新请求 TGT。虽然您可以在应用程序服务器端尽可能多地尝试围绕此进行编程,但实际上没有办法从应用程序端控制客户端上的 Kerberos 整体安全行为。
这部分答案下面的所有内容都是针对后续评论所做的编辑。请避免对默认域控制器策略进行任何编辑,因为该策略仅适用于域控制器。请注意,每当我亲自在 Active Directory 域中进行新的组策略更改时,除非我非常熟悉特定设置,否则我喜欢创建一个全新的 GPO,根据我所更改的设置来命名它制作,然后将其链接到计算机或用户对象所在的 OU。或者,如果您认为更改被认为是“安全的”并且不会大规模地对每个人产生负面影响,您也可以在域级别链接 GPO。
- 为此,请打开组策略管理控制台编辑器,然后创建一个新的 GPO。
- Name it 允许缓存登录.
- 编辑允许缓存登录 GPO.
- 导航到计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 > 并配置以下两项:
交互式登录:先前登录到缓存的次数(如果域控制器不可用):1 次登录
交互式登录:需要域控制器身份验证才能解锁工作站:已禁用
接下来,重新启动客户端工作站 2-3 次。从技术上讲,您可以运行命令gp更新/强制为此,但我发现对于某些设置,尤其是这个设置,客户端工作站不仅需要重新启动,有时还需要重新启动 2 次,甚至可能 3 次重新启动,因为还有另一个名为快速登录优化。无论如何,这个故事是另一个线程。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
