Usuario
Cambiar la concesión del Ticket TGT de kerberos en Active Directory.

Pregunta
-
Estimados, tengo un Directorio Activo con muchas políticas, el problema seria que genere una GPO nueva para un determinado equipo y poder cambiar la renovación del ticket de kerberos pero no se aplica.
Mi duda seria si la GPO que cambia la concesión del ticket de kerberos se debería aplicar al equipo que necesito modificar o al equipo que se encuentra el Domain Controller.
Gracias desde ya
Todas las respuestas
-
Hola Galli13, las políticas de Kerberos son políticas de cuenta, y por lo tanto se pueden cambiar únicamente en la "Default Domain Policy", y serán efectivas para todos los usuarios y máquinas, no hay otra solución
Es un parámetro que nunca he visto que sea necesario modificar, y además es de cuidado cualquier modificación sin comprender las implicancias
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Moderador M jueves, 15 de junio de 2017 19:03
- Votado como útil Moderador M jueves, 22 de junio de 2017 15:56
-
Como andas Guillermo, gracias por responder. El tema sería con 802.1.x autenticación por usuario. El problema sería que si un usuario se va dos semanas y quiere logearse teniendo 802.1x no lo va a dejar porque la concesión de Kerberos por defecto es 7 días , va a intentar renovar al servidor Kerberos y nunca va a llegar porque lo tira a una vlan que no tiene conexión. Es por eso que quiero extender la renovación de Kerberos. Si te entendí bien es la única GPO que puede ser modificada y es aceptada por todos los equpos para la modificación de Kerberos. No existe crear otra Política con esas mismas opciones y que los equipos de la red apliquen el Cambio? no hay o no van a responder. Gracias
-
No tengo experiencia sobre el tema, pero no creo que sea solución
Aunque el Ticket Kerberos tenga una vigencia de 7 días, se puede usar sin renovar sólo por 10 horas. Además qué sucede si la ausencia sea 15 días o aún más, no cre que se puedan cubrir todas las opciones de ausencia con este sistema
Creo que primero que nada deberías preparar un ambiente de prueba, y hacer todas las verificaciones que te parezcan se puedan dar
Quizás otro compañero pueda darte mejor información
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Moderador M lunes, 19 de junio de 2017 17:09
- Votado como útil Moderador M viernes, 23 de junio de 2017 16:19