为什么 Active Directory 用户帐户不自动支持 Kerberos AES 身份验证？

Question 1

为用户勾选 Kerberos AES 复选框会导致 Vista 之前的客户端身份验证失败。这可能是它未默认设置的原因。

Kerberos AES 支持复选框对应于名为msDS-SupportedEncryptionTypes

要为多个用户更改此设置，您可以使用 PowerShell 和 ActiveDirectory 模块：

# The numerical values for Kerberos AES encryption types to support
$AES128 = 0x8
$AES256 = 0x10

# Fetch all users from an OU with their current support encryption types attribute
$Users = Get-ADUser -Filter * -SearchBase "OU=SecureUsers,OU=Users,DC=domain,DC=tld" -Properties "msDS-SupportedEncryptionTypes"
foreach($User in $Users)
{
    # If none are currently supported, enable AES256
    $encTypes = $User."msDS-SupportedEncryptionType"
    if(($encTypes -band $AES128) -ne $AES128 -and ($encTypes -band $AES256) -ne $AES256)
    {
        Set-ADUser $User -Replace @{"msDS-SupportedEncryptionTypes"=($encTypes -bor $AES256)}
    }
}

Answer

为用户勾选 Kerberos AES 复选框会导致 Vista 之前的客户端身份验证失败。这可能是它未默认设置的原因。

Kerberos AES 支持复选框对应于名为msDS-SupportedEncryptionTypes

要为多个用户更改此设置，您可以使用 PowerShell 和 ActiveDirectory 模块：

# The numerical values for Kerberos AES encryption types to support
$AES128 = 0x8
$AES256 = 0x10

# Fetch all users from an OU with their current support encryption types attribute
$Users = Get-ADUser -Filter * -SearchBase "OU=SecureUsers,OU=Users,DC=domain,DC=tld" -Properties "msDS-SupportedEncryptionTypes"
foreach($User in $Users)
{
    # If none are currently supported, enable AES256
    $encTypes = $User."msDS-SupportedEncryptionType"
    if(($encTypes -band $AES128) -ne $AES128 -and ($encTypes -band $AES256) -ne $AES256)
    {
        Set-ADUser $User -Replace @{"msDS-SupportedEncryptionTypes"=($encTypes -bor $AES256)}
    }
}

Question 2

使用 Active Directory 用户和计算机，您还可以突出显示多个用户，右键单击，选择属性，然后选择帐户，并选择应用于所有选定用户的选项。

Answer

使用 Active Directory 用户和计算机，您还可以突出显示多个用户，右键单击，选择属性，然后选择帐户，并选择应用于所有选定用户的选项。

为什么 Active Directory 用户帐户不自动支持 Kerberos AES 身份验证？

答案1

答案2

相关内容