16 votes

orokusaki avatar

Pourquoi les comptes d'utilisateurs Active Directory ne prennent-ils pas automatiquement en charge l'authentification Kerberos AES ?

Demandé el 30 de Juillet, 2014
Quand la question a-t-elle été
24230 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je m'amuse avec un domaine de test sur Windows Server 2012 R2. J'opère au niveau fonctionnel le plus élevé possible et je n'ai aucun problème de rétrocompatibilité dans mon petit environnement de test. Cependant, je me suis rendu compte que malgré le fait que j'ai soutien pour l'authentification Kerberos AES, elle n'est pas activée par défaut pour les utilisateurs. Je dois aller dans les propriétés d'un utilisateur et cocher "Ce compte supporte le cryptage Kerberos AES 128 bits" et/ou "Ce compte supporte le cryptage Kerberos AES 256 bits" pour l'activer.

(Je m'en suis rendu compte pour la première fois lorsque j'ai ajouté un compte de test au groupe "Utilisateurs protégés", ce qui a pour effet d'imposer l'utilisation d'AES. Par la suite, toutes mes connexions au réseau ont commencé à échouer jusqu'à ce que je coche ces cases).

J'imagine que cela peut être désactivé par défaut pour assurer la compatibilité ascendante de certains systèmes, mais je ne trouve pas de moyen de l'activer pour tous les utilisateurs, ni même d'explication sur le comportement actuel.

Des idées ?

Demandé el 30 de Juillet, 2014 par orokusaki

Réponses

Trop de publicités?

18voto

Mathias R. Jessen avatar
Mathias R. Jessen Points 24807

Le fait de cocher les cases Kerberos AES pour les utilisateurs entraînerait des échecs d'authentification sur les clients pré-Vista. C'est probablement la raison pour laquelle cette option n'est pas activée par défaut.

Les cases à cocher relatives à la prise en charge de Kerberos AES correspondent à la valeur définie dans un attribut appelé msDS-SupportedEncryptionTypes

Pour modifier cela pour plusieurs utilisateurs, vous pouvez utiliser PowerShell et le module ActiveDirectory :

# The numerical values for Kerberos AES encryption types to support
$AES128 = 0x8
$AES256 = 0x10

# Fetch all users from an OU with their current support encryption types attribute
$Users = Get-ADUser -Filter * -SearchBase "OU=SecureUsers,OU=Users,DC=domain,DC=tld" -Properties "msDS-SupportedEncryptionTypes"
foreach($User in $Users)
{
    # If none are currently supported, enable AES256
    $encTypes = $User."msDS-SupportedEncryptionType"
    if(($encTypes -band $AES128) -ne $AES128 -and ($encTypes -band $AES256) -ne $AES256)
    {
        Set-ADUser $User -Replace @{"msDS-SupportedEncryptionTypes"=($encTypes -bor $AES256)}
    }
}
Répondu el 1 de Août, 2014 par Mathias R. Jessen (24807 Points )

1voto

user835020 avatar
user835020 Points 11

Avec Active Directory Users and Computers, vous pouvez également mettre en évidence plusieurs utilisateurs, faire un clic droit, choisir Propriétés, puis Compte, et sélectionner l'option à appliquer à tous les utilisateurs sélectionnés.

Répondu el 15 de Septembre, 2021 par user835020 (11 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X