Поделиться через


Поставщик служб CSP политики — Kerberos

Совет

Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.

Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.

AllowForestSearchOrder

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1703 [10.0.15063] и более поздние
./Device/Vendor/MSFT/Policy/Config/Kerberos/AllowForestSearchOrder

Этот параметр политики определяет список доверенных лесов, в которые выполняется поиск клиента Kerberos при попытке разрешения двухкомпонентных имен субъектов-служб (SPN).

  • Если этот параметр политики включен, клиент Kerberos выполняет поиск лесов в этом списке, если ему не удается разрешить двухкомпонентное имя субъекта-службы. Если совпадение найдено, клиент Kerberos запрашивает запрос на реферальную ссылку в соответствующий домен.

  • Если этот параметр политики отключен или не настроен, клиент Kerberos не выполняет поиск в перечисленных лесах для разрешения имени субъекта-службы. Если клиенту Kerberos не удается разрешить имя субъекта-службы, так как имя не найдено, может использоваться проверка подлинности NTLM.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя ForestSearch
Понятное имя Использование порядка поиска в лесу
Location Конфигурация компьютера
Путь Системный > Kerberos
Имя раздела реестра Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Имя значения реестра UseForestSearch
Имя файла ADMX Kerberos.admx

CloudKerberosTicketRetrievalEnabled

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 21H2 [10.0.22000] и более поздние
./Device/Vendor/MSFT/Policy/Config/Kerberos/CloudKerberosTicketRetrievalEnabled

Этот параметр политики позволяет получить Microsoft Entra билет на предоставление билета Kerberos во время входа.

  • Если этот параметр политики отключен или не настроен, билет на предоставление билета Kerberos Microsoft Entra не будет получен во время входа.

  • Если этот параметр политики включен, Microsoft Entra билет на предоставление билета Kerberos извлекается во время входа.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Служба отключена.
1 Включено.

Сопоставление групповой политики:

Имя Значение
Имя CloudKerberosTicketRetrievalEnabled
Понятное имя Разрешить получение билета на предоставление Azure AD Kerberos во время входа
Location Конфигурация компьютера
Путь Системный > Kerberos
Имя раздела реестра Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Имя значения реестра CloudKerberosTicketRetrievalEnabled
Имя файла ADMX Kerberos.admx

KerberosClientSupportsClaimsCompoundArmor

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1703 [10.0.15063] и более поздние
./Device/Vendor/MSFT/Policy/Config/Kerberos/KerberosClientSupportsClaimsCompoundArmor

Этот параметр политики определяет, будет ли устройство запрашивать утверждения и составную проверку подлинности для динамической контроль доступа и защиты Kerberos с помощью проверки подлинности Kerberos с доменами, поддерживающими эти функции.

  • Если этот параметр политики включен, клиентские компьютеры будут запрашивать утверждения, предоставлять сведения, необходимые для создания составной проверки подлинности и защиты сообщений Kerberos в доменах, которые поддерживают утверждения и составную проверку подлинности для динамической контроль доступа и защиты Kerberos.

  • Если этот параметр политики отключен или не настроен, клиентские устройства не будут запрашивать утверждения, предоставляя сведения, необходимые для создания составной проверки подлинности и защиты сообщений Kerberos. Службы, размещенные на устройстве, не смогут получать утверждения для клиентов, использующих переход протокола Kerberos.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя EnableCbacAndArmor
Понятное имя Поддержка клиентов Kerberos для утверждений, составной проверки подлинности и защиты Kerberos
Location Конфигурация компьютера
Путь Системный > Kerberos
Имя раздела реестра Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Имя значения реестра EnableCbacAndArmor
Имя файла ADMX Kerberos.admx

PKInitHashAlgorithmConfiguration

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 22H2 [10.0.22621] и более поздние
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration

Этот параметр политики управляет алгоритмами хэша или контрольной суммы, используемыми клиентом Kerberos при проверке подлинности сертификата.

  • Если включить эту политику, вы сможете настроить одно из четырех состояний для каждого алгоритма:

  • Значение "По умолчанию" задает для алгоритма рекомендуемое состояние.

  • Параметр "Поддерживается" позволяет использовать алгоритм. Включение алгоритмов, отключенных по умолчанию, может снизить безопасность.

  • Audited позволяет использовать алгоритм и сообщает о событии (идентификатор 206) каждый раз при его использовании. Это состояние предназначено для проверки того, что алгоритм не используется и может быть безопасно отключен.

  • Параметр "Не поддерживается" отключает использование алгоритма. Это состояние предназначено для алгоритмов, которые считаются небезопасными.

  • Если вы отключите или не настроите эту политику, каждый алгоритм будет принимать состояние "По умолчанию".

События, созданные этой конфигурацией: 205, 206, 207, 208.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 0

Допустимые значения:

Значение Описание
0 (по умолчанию) Отключено или не настроено.
1 Включено.

Сопоставление групповой политики:

Имя Значение
Имя PKInitHashAlgorithmConfiguration
Понятное имя Настройка хэш-алгоритмов для входа в сертификат
Location Конфигурация компьютера
Путь Системный > Kerberos
Имя раздела реестра Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Имя значения реестра PKInitHashAlgorithmConfigurationEnabled
Имя файла ADMX Kerberos.admx

PKInitHashAlgorithmSHA1

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 22H2 [10.0.22621] и более поздние
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA1

Этот параметр политики управляет конфигурацией алгоритма SHA1, используемого клиентом Kerberos при проверке подлинности сертификата. Эта политика применяется только в том случае, если включена настройка Kerberos/PKInitHashAlgorithmConfiguration. Для этого алгоритма можно настроить одно из четырех состояний:

  • 0 — не поддерживается: это состояние отключает использование алгоритма. Это состояние предназначено для алгоритмов, которые считаются небезопасными.
  • 1 — по умолчанию. Это состояние задает для алгоритма рекомендуемое состояние.
  • 2 . Аудит: это состояние позволяет использовать алгоритм и сообщает о событии (идентификатор 206) каждый раз при его использовании. Это состояние предназначено для проверки того, что алгоритм не используется и может быть безопасно отключен.
  • 3. Поддерживается. Это состояние позволяет использовать алгоритм. Включение алгоритмов, отключенных по умолчанию, может снизить безопасность.

Если эта политика не настроена, алгоритм SHA1 будет принимать состояние по умолчанию .

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1
Зависимость [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Тип зависимости: DependsOn
URI зависимостей: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Допустимое значение зависимостей: [1]
Тип допустимого значения зависимостей: Range

Допустимые значения:

Значение Описание
0 Не поддерживается.
1 (по умолчанию) По умолчанию.
2 Аудит.
3 Поддерживается.

Сопоставление групповой политики:

Имя Значение
Имя PKInitHashAlgorithmConfiguration
Понятное имя Настройка хэш-алгоритмов для входа в сертификат
Location Конфигурация компьютера
Путь Системный > Kerberos
Имя раздела реестра Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Имя значения реестра PKInitHashAlgorithmConfigurationEnabled
Имя файла ADMX Kerberos.admx

PKInitHashAlgorithmSHA256

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 22H2 [10.0.22621] и более поздние
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA256

Этот параметр политики управляет конфигурацией алгоритма SHA256, используемого клиентом Kerberos при проверке подлинности сертификата. Эта политика применяется только в том случае, если включена настройка Kerberos/PKInitHashAlgorithmConfiguration. Для этого алгоритма можно настроить одно из четырех состояний:

  • 0 — не поддерживается: это состояние отключает использование алгоритма. Это состояние предназначено для алгоритмов, которые считаются небезопасными.
  • 1 — по умолчанию. Это состояние задает для алгоритма рекомендуемое состояние.
  • 2 . Аудит: это состояние позволяет использовать алгоритм и сообщает о событии (идентификатор 206) каждый раз при его использовании. Это состояние предназначено для проверки того, что алгоритм не используется и может быть безопасно отключен.
  • 3. Поддерживается. Это состояние позволяет использовать алгоритм. Включение алгоритмов, отключенных по умолчанию, может снизить безопасность.

Если не настроить эту политику, алгоритм SHA256 будет принимать состояние по умолчанию .

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1
Зависимость [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Тип зависимости: DependsOn
URI зависимостей: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Допустимое значение зависимостей: [1]
Тип допустимого значения зависимостей: Range

Допустимые значения:

Значение Описание
0 Не поддерживается.
1 (по умолчанию) По умолчанию.
2 Аудит.
3 Поддерживается.

Сопоставление групповой политики:

Имя Значение
Имя PKInitHashAlgorithmConfiguration
Понятное имя Настройка хэш-алгоритмов для входа в сертификат
Location Конфигурация компьютера
Путь Системный > Kerberos
Имя раздела реестра Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Имя значения реестра PKInitHashAlgorithmConfigurationEnabled
Имя файла ADMX Kerberos.admx

PKInitHashAlgorithmSHA384

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 22H2 [10.0.22621] и более поздние
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA384

Этот параметр политики управляет конфигурацией алгоритма SHA384, используемого клиентом Kerberos при проверке подлинности сертификата. Эта политика применяется только в том случае, если включена настройка Kerberos/PKInitHashAlgorithmConfiguration. Для этого алгоритма можно настроить одно из четырех состояний:

  • 0 — не поддерживается: это состояние отключает использование алгоритма. Это состояние предназначено для алгоритмов, которые считаются небезопасными.
  • 1 — по умолчанию. Это состояние задает для алгоритма рекомендуемое состояние.
  • 2 . Аудит: это состояние позволяет использовать алгоритм и сообщает о событии (идентификатор 206) каждый раз при его использовании. Это состояние предназначено для проверки того, что алгоритм не используется и может быть безопасно отключен.
  • 3. Поддерживается. Это состояние позволяет использовать алгоритм. Включение алгоритмов, отключенных по умолчанию, может снизить безопасность.

Если не настроить эту политику, алгоритм SHA384 будет принимать состояние по умолчанию .

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1
Зависимость [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Тип зависимости: DependsOn
URI зависимостей: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Допустимое значение зависимостей: [1]
Тип допустимого значения зависимостей: Range

Допустимые значения:

Значение Описание
0 Не поддерживается.
1 (по умолчанию) По умолчанию.
2 Аудит.
3 Поддерживается.

Сопоставление групповой политики:

Имя Значение
Имя PKInitHashAlgorithmConfiguration
Понятное имя Настройка хэш-алгоритмов для входа в сертификат
Location Конфигурация компьютера
Путь Системный > Kerberos
Имя раздела реестра Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Имя значения реестра PKInitHashAlgorithmConfigurationEnabled
Имя файла ADMX Kerberos.admx

PKInitHashAlgorithmSHA512

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 22H2 [10.0.22621] и более поздние
./Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmSHA512

Этот параметр политики управляет конфигурацией алгоритма SHA512, используемого клиентом Kerberos при проверке подлинности сертификата. Эта политика применяется только в том случае, если включена настройка Kerberos/PKInitHashAlgorithmConfiguration. Для этого алгоритма можно настроить одно из четырех состояний:

  • 0 — не поддерживается: это состояние отключает использование алгоритма. Это состояние предназначено для алгоритмов, которые считаются небезопасными.
  • 1 — по умолчанию. Это состояние задает для алгоритма рекомендуемое состояние.
  • 2 . Аудит: это состояние позволяет использовать алгоритм и сообщает о событии (идентификатор 206) каждый раз при его использовании. Это состояние предназначено для проверки того, что алгоритм не используется и может быть безопасно отключен.
  • 3. Поддерживается. Это состояние позволяет использовать алгоритм. Включение алгоритмов, отключенных по умолчанию, может снизить безопасность.

Если не настроить эту политику, алгоритм SHA512 будет принимать состояние по умолчанию .

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат int
Тип доступа Добавить, удалить, получить, заменить
Значение по умолчанию 1
Зависимость [PKINIT_Hash_Algorithm_Configuration_DependencyGroup] Тип зависимости: DependsOn
URI зависимостей: Device/Vendor/MSFT/Policy/Config/Kerberos/PKInitHashAlgorithmConfiguration
Допустимое значение зависимостей: [1]
Тип допустимого значения зависимостей: Range

Допустимые значения:

Значение Описание
0 Не поддерживается.
1 (по умолчанию) По умолчанию.
2 Аудит.
3 Поддерживается.

Сопоставление групповой политики:

Имя Значение
Имя PKInitHashAlgorithmConfiguration
Понятное имя Настройка хэш-алгоритмов для входа в сертификат
Location Конфигурация компьютера
Путь Системный > Kerberos
Имя раздела реестра Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Имя значения реестра PKInitHashAlgorithmConfigurationEnabled
Имя файла ADMX Kerberos.admx

RequireKerberosArmoring

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1703 [10.0.15063] и более поздние
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireKerberosArmoring

Этот параметр политики определяет, требуется ли для компьютера защита обмена сообщениями Kerberos при обмене данными с контроллером домена.

Warning

Если домен не поддерживает защиту Kerberos, включив параметр "Поддержка динамического контроль доступа и защиты Kerberos", вся проверка подлинности для всех пользователей завершится сбоем на компьютерах с включенным параметром политики.

  • Если этот параметр политики включен, клиентские компьютеры в домене принудительно применяют защиту Kerberos в обмене сообщениями службы проверки подлинности (AS) и службы предоставления билетов (TGS) с контроллерами домена.

Примечание.

Для поддержки защиты Kerberos также должна быть включена групповая политика "Поддержка клиентов Kerberos для утверждений, составная проверка подлинности и защита Kerberos".

  • Если этот параметр политики отключен или не настроен, клиентские компьютеры в домене по возможности применяют защиту Kerberos, поддерживаемую целевым доменом.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя ClientRequireFast
Понятное имя Сбой запросов проверки подлинности, если защита Kerberos недоступна
Location Конфигурация компьютера
Путь Системный > Kerberos
Имя раздела реестра Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Имя значения реестра RequireFast
Имя файла ADMX Kerberos.admx

RequireStrictKDCValidation

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1703 [10.0.15063] и более поздние
./Device/Vendor/MSFT/Policy/Config/Kerberos/RequireStrictKDCValidation

Этот параметр политики управляет поведением клиента Kerberos при проверке сертификата KDC для входа в систему интеллектуального карта и системного сертификата.

  • Если этот параметр политики включен, клиент Kerberos требует, чтобы сертификат KDC X.509 содержал идентификатор объекта назначения ключа KDC в расширениях расширенного использования ключей (EKU), а сертификат X.509 KDC содержал расширение dNSName subjectAltName (SAN), соответствующее DNS-имени домена. Если компьютер присоединен к домену, клиент Kerberos требует, чтобы сертификат KDC X.509 был подписан центром сертификации (ЦС) в хранилище NTAuth. Если компьютер не присоединен к домену, клиент Kerberos разрешает использовать сертификат корневого ЦС на смарт-карта при проверке пути сертификата X.509 KDC.

  • Если этот параметр политики отключен или не настроен, клиент Kerberos требует, чтобы сертификат KDC содержал идентификатор целевого объекта проверки подлинности сервера в расширениях EKU, которые могут быть выданы любому серверу.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя ValidateKDC
Понятное имя Требовать строгую проверку KDC
Location Конфигурация компьютера
Путь Системный > Kerberos
Имя раздела реестра Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Имя значения реестра KdcValidation
Имя файла ADMX Kerberos.admx

SetMaximumContextTokenSize

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1703 [10.0.15063] и более поздние
./Device/Vendor/MSFT/Policy/Config/Kerberos/SetMaximumContextTokenSize

Этот параметр политики позволяет задать значение, возвращаемое приложениям, которые запрашивают максимальный размер буфера маркеров контекста SSPI.

Размер буфера маркеров контекста определяет максимальный размер маркеров контекста SSPI, которые приложение ожидает и выделяет. В зависимости от обработки запросов проверки подлинности и членства в группах буфер может быть меньше фактического размера маркера контекста SSPI.

  • Если этот параметр политики включен, клиент или сервер Kerberos использует настроенное значение или локально допустимое максимальное значение в зависимости от того, какое значение меньше.

  • Если этот параметр политики отключен или не настроен, клиент или сервер Kerberos использует локально настроенное значение или значение по умолчанию.

Примечание.

Этот параметр политики настраивает существующее значение реестра MaxTokenSize в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters, добавленное в Windows XP и Windows Server 2003, со значением по умолчанию 12 000 байт. Начиная с Windows 8 значение по умолчанию — 48 000 байт. Из-за кодировки http base64 маркеров контекста проверки подлинности не рекомендуется устанавливать это значение более 48 000 байт.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить

Совет

Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.

Сопоставление ADMX:

Имя Значение
Имя Maxtokensize
Понятное имя Установка максимального размера буфера маркера контекста Kerberos SSPI
Location Конфигурация компьютера
Путь Системный > Kerberos
Имя раздела реестра System\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Имя значения реестра EnableMaxTokenSize
Имя файла ADMX Kerberos.admx

UPNNameHints

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1809 [10.0.17763] и более поздних версий
./Device/Vendor/MSFT/Policy/Config/Kerberos/UPNNameHints

Устройства, присоединенные к Microsoft Entra ID в гибридной среде, должны взаимодействовать с контроллерами домен Active Directory, но у них нет встроенной возможности для поиска контроллера домена, который имеет устройство, присоединенное к домену. Это может привести к сбоям, когда такому устройству необходимо разрешить Microsoft Entra имени участника-пользователя в субъект Active Directory. Этот параметр добавляет список доменов, с которыми должно пытаться связаться присоединенное к Microsoft Entra устройство, если в противном случае ему не удается разрешить имя участника-пользователя субъекту.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Поставщик служб конфигурации политики