如果以域用户身份远程登录，PC 速度极慢

Question

Reid Rankin

Asked: 2014-07-30 20:19:41 +0800 CST2014-07-30 20:19:41 +0800 CST 2014-07-30 20:19:41 +0800 CST

为什么 Active Directory 用户帐户不自动支持 Kerberos AES 身份验证？

772

我正在使用 Windows Server 2012 R2 上的测试域。我在尽可能高的功能级别上运行，并且在我的小型测试环境中没有向后兼容性问题。但是，我已经意识到，尽管我支持Kerberos AES 身份验证，但默认情况下并未对任何用户启用它。我实际上必须进入用户的属性并选中“此帐户支持 Kerberos AES 128 位加密”和/或“此帐户支持 Kerberos AES 256 位加密”才能启用它。

（我在将测试帐户添加到“受保护的用户”组时首先意识到这一点，该组将策略设置为需要 AES。之后，我所有的网络登录都开始失败，直到我选中了这些框。）

我认为默认情况下可能会禁用此功能以确保某些系统的向后兼容性，但我找不到为所有用户启用此功能的方法，甚至无法解释当前行为。

有任何想法吗？

2 个回答

Voted

Mathias R. Jessen · Answer 1 · 2014-08-01T14:03:00+08:00

Best Answer

Mathias R. Jessen

2014-08-01T14:03:00+08:002014-08-01T14:03:00+08:00

选中用户的 Kerberos AES 复选框会导致 Vista 之前的客户端上的身份验证失败。这可能是默认情况下未设置的原因。

Kerberos AES 支持复选框对应于在名为的属性中设置的值msDS-SupportedEncryptionTypes

要为多个用户更改此设置，您可以使用 PowerShell 和 ActiveDirectory 模块：

# The numerical values for Kerberos AES encryption types to support
$AES128 = 0x8
$AES256 = 0x10

# Fetch all users from an OU with their current support encryption types attribute
$Users = Get-ADUser -Filter * -SearchBase "OU=SecureUsers,OU=Users,DC=domain,DC=tld" -Properties "msDS-SupportedEncryptionTypes"
foreach($User in $Users)
{
    # If none are currently supported, enable AES256
    $encTypes = $User."msDS-SupportedEncryptionType"
    if(($encTypes -band $AES128) -ne $AES128 -and ($encTypes -band $AES256) -ne $AES256)
    {
        Set-ADUser $User -Replace @{"msDS-SupportedEncryptionTypes"=($encTypes -bor $AES256)}
    }
}

14

Andrew Shobe · Answer 2 · 2021-09-16T06:12:17+08:00

Andrew Shobe

2021-09-16T06:12:17+08:002021-09-16T06:12:17+08:00

使用 Active Directory 用户和计算机，您还可以突出显示多个用户，右键单击，选择属性，然后选择帐户，然后选择适用于所有选定用户的选项。

0

为什么 Active Directory 用户帐户不自动支持 Kerberos AES 身份验证？

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

为什么 Active Directory 用户帐户不自动支持 Kerberos AES 身份验证？

2 个回答

相关问题