Criterio Kerberos – Group Policy

Le impostazioni che troviamo in Criterio Kerberos vengono utilizzate per gli account utente di un dominio.
Questi criteri definiscono le impostazioni relative al protocollo Kerberos e generalmente non devono essere modificati i valori predefiniti

Configurazione Computer\Impostazioni di Windows\Criteri account\Criterio Kerberos
(Computer Configuration\
Windows Settings\Security Settings\Account Policies\Kerberos Policy)

Durata massima rinnovo ticket utente (Maximum lifetime for user ticket renewal)
Questa impostazione specifica il numero di giorni durante il quale è possibile rinnovare il ticket di concessione ticket.
Impostazione predefinita
7 giorni

Durata massima ticket di servizio (Maximum lifetime for service ticket)
Questa impostazione specifica il numero massimo di minuti per cui è possibile utilizzare il ticket di sessione ottenuto per accedere a un determinato servizio.
Il server invia un messaggio di errore se il client presenta un ticket di sessione scaduto quando richiede la connessione.
In questo caso il client deve chiedere un nuovo ticket di sessione al centro distribuzione chiavi Kerberos.
La validità del ticket di sessione non viene più verificata dopo l’autenticazione quindi se il ticket di sessione scade durante la connessione le operazioni in corso non vengono interrotte.
Impostazione predefinita
600 minuti

Durata massima ticket utente (Maximum lifetime for user ticket)
Questa impostazione specifica il numero massimo di ore per cui è possibile utilizzare il ticket di concessione ticket di un utente.
Alla scadenza del ticket di concessione ticket è necessario richiederne un altro o rinnovare quello esistente.
Impostazione predefinita
10 ore

Imporre le restrizioni di accesso agli utenti (Enforce user logon restrictions)
Questa impostazione specifica se il centro distribuzione chiavi Kerberos deve convalidare ogni singola richiesta di ticket di sessione rispetto al criterio relativo ai diritti utente specificato per l’account utente.
Impostazione predefinita
Attivata

Tolleranza massima per la sincronizzazione dell’orologio del computer (Maximum tolerance for computer clock synchronization)
Questa impostazione specifica la differenza di tempo massima in minuti tollerata da Kerberos tra l’ora del client e quella del domain controller che fornisce l’autenticazione Kerberos.
Kerberos utilizza timestamp e per il corretto funzionamento è necessario che l’ora del client e del domain controller siano sincronizzate.
Impostazione predefinita
5 minuti