什么叫做“Kerberos策略限制”

17.1.8 组策略的管理（Kerberos策略的配置）

3. Kerberos策略的配置

Kerberos策略用于域用户账户，用于确定与Kerberos相关的设置，例如票证的有效期限和强制执行。但Kerberos策略只能应用于域中的计算机中。要设置Kerberos策略，可在“默认域安全设置”窗口中，依次选择“Windows设置”→“安全设置”→“账户策略”→“Kerberos 策略”选项。

（1）服务票证最长寿命

该策略用来设置确定使用所授予的会话票证可访问特定服务的最长时间（以分钟为单位）。该设置必须大于10分钟并且小于或等于用户票证最长寿命设置。

如果客户端请求服务器连接时出示的会话票证已过期，服务器将返回错误消息。客户端必须从Kerberos V5密钥分发中心（KDC）请求新的会话票证。然而一旦连接通过了身份验证，该会话票证是否仍然有效就无关紧要了。会话票证仅用于验证和服务器的新建连接。如果用于验证连接的会话票证在连接时过期，则当前的操作不会中断。

打开“服务票证最长寿命 属性”对话框，选中“定义这个策略设置”复选框（如图17-35所示），然后设置最长时间即可。其他几个策略的操作方式与此相同。

图17-35 “服务票证最长寿命 属性”对话框

该策略用来设置确定KerberosV5所允许的客户端时钟和提供Kerberos身份验证的Windows Server 2003域控制器上的时间的最大差值（以分钟为单位）。

为防止“轮番攻击”，KerberosV5在其协议定义中使用了时间戳。为使时间戳正常工作，客户端和域控制器的时钟应尽可能地保持同步。换言之，应该将这两台计算机设置成相同的时间和日期。因为两台计算机的时钟常常不同步，所以管理员可使用该策略来设置KerberosV5所能接受的客户端时钟和域控制器时钟间的最大差值。如果客户端时钟和域控制器时钟间的差值小于该策略中指定的最大时间差，那么在这两台计算机的会话中使用的任何时间戳都将被认为是可信的。

该设置并不是永久性的。如果配置该设置后重新启动计算机，那么该设置将被还原为默认值。
<