如何在 Windows 上找出我的 Kerberos 主体？

一个人也会使用klist. 您的主体名称位于每张工单的“客户：”字段中。

H:\> klist

Current LogonId is 0:0x494539

Cached Tickets: (2)

#0>     Client: fred @ AD.EXAMPLE.COM
        Server: krbtgt/AD.EXAMPLE.COM @ AD.EXAMPLE.COM
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40e00000 -> forwardable renewable initial pre_authent
        Start Time: 11/11/2020 17:49:42 (local)
        End Time:   11/12/2020 3:49:42 (local)
        Renew Time: 11/18/2020 17:49:42 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0x1 -> PRIMARY
        Kdc Called: dc1.ad.example.com

#1>     Client: fred @ AD.EXAMPLE.COM
        Server: ldap/dc1.ad.example.com @ AD.EXAMPLE.COM
        ...

请注意，Kerberos 主体名称与 Active Directory UPN 不同（您可以使用 来查看whoami /upn）。一个 AD 域始终只有一个 Kerberos 领域，而其用户可以有多个 UPN 后缀。

该命令在所有最新的 Windows 版本中都可用——自 Windows Vista 或 Win7（大约）以来内置，但它也可作为“Server 2003 资源工具包”的一部分下载到 XP 和 Server 2003。旧版本需要一个子命令，例如klist ticketsor klist tgt。

安装 Java 可能会覆盖该命令，因为 Java 有自己的 Kerberos 实现（与 MIT Krb5 不同）。正确的在 中找到\Windows\System32。

C:\Users> where klist

C:\Program Files\AdoptOpenJDK\jre-14.0.2.12-hotspot\bin\klist.exe
C:\Windows\System32\klist.exe