请在此处输入显示名称 请在此处输入描述 允许分配默认凭据 此策略设置适用于使用 Cred SSP 组件的应用程序（例如远程桌面连接）。 此策略设置在使用受信任的 X509 证书或 Kerberos 实现服务器身份验证时适用。 如果启用此策略设置，则可以指定可向其分配用户的默认凭据的服务器（默认凭据是首次登录 Windows 时要使用的凭据）。 该策略在用户下次登录到运行 Windows 的计算机时生效。 如果禁用或未配置（默认情况下）此策略设置，则不允许向任何计算机分配默认凭据。依赖于此委派行为的应用程序可能无法通过身份验证。有关详细信息，请参阅 KB。 KB 的 FWlink 如下： http://go.microsoft.com/fwlink/?LinkId=301508 注意：可以将“允许分配默认凭据”策略设置设定为一个或多个服务主体名称 (SPN)。 SPN 表示可以向其分配用户凭据的目标服务器。 指定 SPN 时允许使用单个通配符。 例如: TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机 TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。 TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机 允许分配默认凭据用于仅 NTLM 服务器身份验证 此策略设置适用于使用 Cred SSP 组件的应用程序（例如远程桌面连接）。 此策略设置在通过 NTLM 实现服务器身份验证时适用。 如果启用此策略设置，则可以指定可向其分配用户的默认凭据的服务器（默认凭据是首次登录 Windows 时要使用的凭据）。 如果禁用或未配置（默认情况下）此策略设置，则不允许向任何计算机分配默认凭据。 注意: 可以将“允许分配默认凭据用于仅 NTLM 服务器身份验证”策略设置设置为一个或多个服务主体名称(SPN)。SPN 表示可以向其分配用户凭据的目标服务器。 指定 SPN 时允许使用单个通配符。 例如: TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机 TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。 TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机 允许分配新的凭据 此策略设置适用于使用 Cred SSP 组件的应用程序（例如远程桌面连接）。 此策略设置在通过受信任的 X509 证书或 Kerberos 实现服务器身份验证时适用。 如果启用此策略设置，则可以指定可向其中分配用户新凭据的服务器(新凭据是执行应用程序时提示你输入的凭据)。 如果未配置（默认情况下）此策略设置，则在正确的相互身份验证之后，允许向运行在任何计算机上的远程桌面会话主机 (TERMSRV/*) 分配新的凭据。 如果禁用此策略设置，则不允许对任何计算机分配新的凭据。 注意: 可以将“允许分配新的凭据”策略设置设置为一个或多个服务主体名称(SPN)。SPN 表示可以向其分配用户凭据的目标服务器。指定 SPN 时允许使用单个通配符。 例如: TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机 TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。 TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机 允许分配新的凭据用于仅 NTLM 服务器身份验证 此策略设置适用于使用 Cred SSP 组件的应用程序（例如远程桌面连接）。 此策略设置在通过 NTLM 实现服务器身份验证时适用。 如果启用此策略设置，则可以指定可向其中分配用户新凭据的服务器(新凭据是执行应用程序时提示你输入的凭据)。 如果未配置（默认情况下）此策略设置，则在正确的相互身份验证之后，允许向运行在任何计算机上的远程桌面会话主机 (TERMSRV/*) 分配新的凭据。 如果禁用此策略设置，则不允许对任何计算机分配新的凭据。 注意: 可以将“允许分配新的凭据用于仅 NTLM 服务器身份验证”策略设置设置为一个或多个服务主体名称(SPN)。SPN 表示可以向其分配用户凭据的目标服务器。指定 SPN 时允许使用单个通配符。 例如: TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机 TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。 TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机 允许分配保存的凭据 此策略设置适用于使用 Cred SSP 组件的应用程序（例如远程桌面连接）。 此策略设置在通过受信任的 X509 证书或 Kerberos 实现服务器身份验证时适用。 如果启用此策略设置，则可以指定可向其分配用户保存的凭据的服务器(保存的凭据是通过使用 Windows 凭据管理器来进行选择以保存/记忆的凭据)。 如果未配置（默认情况下）此策略设置，则在正确的相互身份验证之后，允许向运行在任何计算机上的远程桌面会话主机 (TERMSRV/*) 分配保存的凭据。 如果禁用此策略设置，则不允许对任何计算机分配保存的凭据。 注意: 可以将“允许分配保存的凭据”策略设置设置为一个或多个服务主体名称(SPN)。SPN 表示可以向其分配用户凭据的目标服务器。指定 SPN 时允许使用单个通配符。 例如: TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机 TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。 TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机 允许分配保存的凭据用于仅 NTLM 服务器身份验证 此策略设置适用于使用 Cred SSP 组件的应用程序（例如远程桌面连接）。 此策略设置在通过 NTLM 实现服务器身份验证时适用。 如果启用此策略设置，则可以指定可向其分配用户保存的凭据的服务器(保存的凭据是通过使用 Windows 凭据管理器来进行选择以保存/记忆的凭据)。 如果未配置（默认情况下）此策略设置，则在正确的相互身份验证之后，允许向运行在任何计算机上的远程桌面会话主机 (TERMSRV/*) 分配保存的凭据，但条件是，客户端计算机不是任何域的成员。如果客户端加入某个域，则默认情况下不允许向任何计算机分配保存的凭据。 如果禁用此策略设置，则不允许对任何计算机分配保存的凭据。 注意: 可以将“允许分配保存的凭据用于仅 NTLM 服务器身份验证”策略设置设置为一个或多个服务主体名称(SPN)。SPN 表示可以向其分配用户凭据的目标服务器。指定 SPN 时允许使用单个通配符。 例如: TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机 TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。 TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机 凭据分配 拒绝分配默认凭据 此策略设置适用于使用 Cred SSP 组件的应用程序（例如远程桌面连接）。 如果启用此策略设置，则可以指定不可向其分配用户的默认凭据的服务器（默认凭据是首次登录 Windows 时要使用的凭据）。 如果禁用或未配置（默认情况下）此策略设置，则此策略设置不会指定任何服务器。 注意: 可以将“拒绝分配默认凭据”策略设置设置为一个或多个服务主体名称(SPN)。SPN 表示不可向其分配用户凭据的目标服务器。指定 SPN 时允许使用单个通配符。 例如: TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机 TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。 TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机 此策略设置可与“允许分配默认凭据”策略设置配合使用，以便为在“允许分配默认凭据”服务器列表中使用通配符时例外允许的特定服务器定义例外。 拒绝分配新的凭据 此策略设置适用于使用 Cred SSP 组件的应用程序（例如远程桌面连接）。 如果启用此策略设置，则可以指定不可向其分配用户的新凭据的服务器(新的凭据是执行应用程序时提示你输入的凭据)。 如果禁用或未配置（默认情况下）此策略设置，则此策略设置不会指定任何服务器。 注意: 可以将“拒绝分配新的凭据”策略设置设置为一个或多个服务主体名称(SPN)。SPN 表示不可向其分配用户凭据的目标服务器。指定 SPN 时允许使用单个通配符。 例如: TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机 TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。 TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机 此策略设置可与“允许分配新的凭据”策略设置配合使用，以便为在“允许分配新的凭据”服务器列表中使用通配符时例外允许的特定服务器定义例外。 拒绝分配保存的凭据 此策略设置适用于使用 Cred SSP 组件的应用程序（例如远程桌面连接）。 如果启用此策略设置，则可以指定不可向其分配用户的保存的凭据的服务器(保存的凭据是通过使用 Windows 凭据管理器来进行选择以保存/记忆的凭据)。 如果禁用或未配置（默认情况下）此策略设置，则此策略设置不会指定任何服务器。 注意: 可以将“拒绝分配保存的凭据”策略设置设置为一个或多个服务主体名称(SPN)。SPN 表示不可向其分配用户凭据的目标服务器。指定 SPN 时允许使用单个通配符。 例如: TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机 TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。 TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机 此策略设置可与“允许分配保存的凭据”策略设置配合使用，以便为在“允许分配保存的凭据”服务器列表中使用通配符时例外允许的特定服务器定义例外。 限制向远程服务器分配凭据 在“受限管理”模式下运行时，或者设备使用的是远程 Credential Guard 时，参与应用不会向远程设备公开凭据(无论采用何种委派方法)。“受限管理”模式可能会限制对目标计算机以外的其他服务器或网络上的资源进行访问，因为未委派凭据。远程 Credential Guard 不会通过将所有请求重定向回客户端设备来限制对资源的访问。 参与应用: 远程桌面客户端 如果启用此策略设置，则会强制使用“受限管理”模式或远程 Credential Guard，参与应用不会向远程设备委派凭据。 如果禁用或未配置此策略设置，则不会强制使用“受限管理”模式或远程 Credential Guard，参与应用可以向远程设备委派凭据。 注意：修改管理模板设置(位于“计算机配置\管理模板\系统\凭据委派”中)即可在凭据安全支持提供程序 (CredSSP) 中拒绝委派，从而禁用大多数凭据委派。 注意: 在 Windows 8.1 和 Windows Server 2012 R2 中，启用此策略将强制使用“受限管理”模式，不管所选模式如何。这些版本不支持远程 Credential Guard。 Windows Vista 首选远程 Credential Guard 需要远程 Credential Guard 需要受限管理 加密 Oracle 修正 加密 Oracle 修复 此策略设置适用于使用 CredSSP 组件的应用程序(例如: 远程桌面连接)。 CredSSP 协议的某些版本容易受到针对客户端的加密 oracle 攻击。此策略控制与易受攻击的客户端和服务器的兼容性。此策略允许你设置加密 oracle 漏洞所需的保护级别。 如果启用此策略设置，将根据以下选项选择 CredSSP 版本支持: 强制更新的客户端: 使用 CredSSP 的客户端应用程序将无法回退到不安全的版本，使用 CredSSP 的服务将不接受未修补的客户端。注意: 在所有远程主机支持最新版本之前，不应部署此设置。 减轻: 使用 CredSSP 的客户端应用程序将无法回退到不安全的版本，但使用 CredSSP 的服务将接受未修补的客户端。有关剩余未修补客户端所造成的风险的重要信息，请参见下面的链接。 易受攻击: 如果使用 CredSSP 的客户端应用程序支持回退到不安全的版本，远程服务器将容易遭受攻击，使用 CredSSP 的服务将接受未修补的客户端。 有关保护的漏洞和服务要求的详细信息，请参阅 https://go.microsoft.com/fwlink/?linkid=866660 强制更新的客户端 已缓解 易受攻击 将服务器添加到列表: 将 OS 默认值与上述输入连接起来 将服务器添加到列表: 将 OS 默认值与上述输入连接起来 将服务器添加到列表: 将 OS 默认值与上述输入连接起来 将服务器添加到列表: 将 OS 默认值与上述输入连接起来 将服务器添加到列表: 将 OS 默认值与上述输入连接起来 将服务器添加到列表: 将 OS 默认值与上述输入连接起来 将服务器添加到列表: 将 OS 默认值与上述输入连接起来 将服务器添加到列表: 将 OS 默认值与上述输入连接起来 将服务器添加到列表: 将 OS 默认值与上述输入连接起来 使用以下受限模式: 保护级别: