2017-01-09 13 views
1

Windowsがロック画面に入った後にKerborosキャッシュチケットが削除されないようにする方法はありますか。Windowsロック画面を使用した後にKerborosキャッシュチケットが削除される

最初にWindowsにログインすると、klist.exeには2つのキャッシュチケットが表示されます。ただし、Windowsのlockscreenイベントが発生すると、klist.exeは0キャッシュチケットを表示します。

ありがとうございます。

+0

問題の進行状況を確認しています。あなたの質問に答えた場合は、それを他の人に役立つようにマークしてください。そうでない場合は、私たちに知らせてください。 –

答えて

1

これは仕様です。スクリーンロック後にKerberosサービスチケットがパージされないようにする方法はありません。新しいKerberos保護リソースに再びアクセスすると、新しい認証手順が実行され、新しいチケットが表示されます。 Kerberosチケットとチケット許可チケット(TGT)とサービスチケット(ST)の2種類があります。 Kerberos TGTがクライアントキャッシュに残っていて、画面ロック後にクリアされないようにすることができますコンピュータがActive Directoryドメインに参加している場合および変更するためにグループポリシーの変更を行います行動(下記の注を参照)。あなたがActive Directoryの管理者でない場合は、あなたに連絡して、これを行う必要があります。画面ロック後にTGTを保持するには、グループポリシー管理コンソールエディタを開き、マシンにリンクされているGPOを見つけて、マシンのロックを解除するためにドメインコントローラとの接触を要求しないようにポリシーを設定します。これにより、マシンは再認証のためにキャッシュされたKerberos TGTを保持します。このようにグループポリシーを構成しても、Webサーバー用に発行されたKerberosサービスチケットは保持されません。ここでも、このシナリオでは、ワークステーションのロックを解除した後にTGTだけがマシンKerberosキャッシュに残り、サービスチケット(ネットワークリソース用に発行されたものなど)は残りません。しかし、TGTを再要求する必要がないため、STの要求がより簡単になる可能性があります。アプリケーションサーバー側でこれをプログラムすることができますが、実際にアプリケーション側からクライアント側のKerberos全体的なセキュリティ動作を制御する方法はありません。

回答のこの部分の下のすべては、フォローアップのコメントに応じて作成されたEDITです。ポリシーはドメインコントローラのみに適用されるため、既定のドメインコントローラポリシーは編集しないでください。メモとして、Active Directoryドメインで個人的に新しいグループポリシーを変更するときは、特定の設定に精通していない限り、私は新しいGPOを作成したいと思います。それをOUにリンクして、コンピュータまたはユーザーオブジェクトが存在する場所にリンクします。また、変更が「安全」とみなされ、卸売りにならず、すべてのユーザーに悪影響を及ぼすことがないと思われる場合は、ドメインレベルでGPOをリンクすることもできます。

  1. これを行うには、グループポリシー管理コンソールエディタを開き、新しいGPOを作成します。
  2. 名前キャッシュされたログオン許可
  3. キャッシュされたログオンを許可する GPO。
  4. コンピュータの構成]> [ポリシー]> [Windowsの設定]> [セキュリティ設定]> [ローカルポリシー>セキュリティオプション>に移動して、次の両方を設定:

対話型ログオン:前回ログオンの数キャッシュには、(中場合ドメインコントローラ)は使用できません:1回のログオン

対話型ログオン:は、ワークステーションのロック解除にドメインコントローラの認証を必要とする:DISABLEDを

次に、クライアントワークステーションを2〜3回再起動します。技術的には、コマンドgpupdate/forceを実行することができますが、いくつかの設定、特にこの設定では、クライアントワークステーションの再起動だけでなく、場合によっては2回、さらには3回のリブートも必要ですGPOの設定は、高速ログオンの最適化と呼ばれます。とにかく、その話は別のスレッドのものです。

+0

それは奇妙です。私が使用しているJava Kerberosアプリケーションは、チケットキャッシュが0のときに新しいチケットを作成しません。なぜなら、Kinit.exeのようなパスワードを再入力する必要なしに、必要なチケットを作成するためにソースコードを変更できますか? – RemicoAL

+0

あなたの新しいコメントに対する回答を編集しました。 –

+0

GPOの手順で失われました。グループポリシー管理コンソールエディタを開いた後、マシンにリンクされているGPOが見つかりませんでした。最も近いのは、ドメインツリーの展開>グループポリシーオブジェクト>既定のドメインコントローラポリシーの編集>コンピュータの構成の展開>ポリシー> Windowsの設定>セキュリティの設定>セキュリティのオプション>対話型のログオンです。私はこのフィールドを無効に設定し、マシンのロックを解除した後にはまだ0のチケットを持っていました。私が間違っていることは本当にわかりません。 – RemicoAL

関連する問題