none
Cambiar la concesión del Ticket TGT de kerberos en Active Directory. RRS feed

  • Pregunta

  • Estimados, tengo un Directorio Activo  con muchas políticas, el problema seria que genere una GPO nueva para un determinado equipo y poder cambiar la renovación del ticket de kerberos pero no se aplica.

    Mi duda seria si la GPO  que cambia la concesión  del ticket de kerberos se debería aplicar al equipo que necesito modificar o al equipo que se encuentra el Domain Controller.

    Gracias desde ya

    jueves, 15 de junio de 2017 15:11

Todas las respuestas

  • Hola Galli13, las políticas de Kerberos son políticas de cuenta, y por lo tanto se pueden cambiar únicamente en la "Default Domain Policy", y serán efectivas para todos los usuarios y máquinas, no hay otra solución

    Es un parámetro que nunca he visto que sea necesario modificar, y además es de cuidado cualquier modificación sin comprender las implicancias

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M jueves, 15 de junio de 2017 19:03
    • Votado como útil Moderador M jueves, 22 de junio de 2017 15:56
    jueves, 15 de junio de 2017 15:52
    Moderador
  • Como andas Guillermo, gracias por responder. El tema sería con 802.1.x autenticación por usuario. El problema sería que si un usuario se va dos semanas y quiere logearse teniendo 802.1x no lo va a dejar porque la concesión de Kerberos por defecto es 7 días , va a intentar renovar al servidor Kerberos y nunca va a llegar porque lo tira a una vlan que no tiene conexión. Es por eso que quiero extender la renovación de Kerberos. Si te entendí bien es la única GPO que puede ser modificada y es aceptada por todos los equpos para la modificación de Kerberos. No existe crear otra Política con esas mismas opciones y que los equipos de la red apliquen el Cambio? no hay o no van a responder. Gracias
    sábado, 17 de junio de 2017 14:41
  • No tengo experiencia sobre el tema, pero no creo que sea solución

    Aunque el Ticket Kerberos tenga una vigencia de 7 días, se puede usar sin renovar sólo por 10 horas. Además qué sucede si la ausencia sea 15 días o aún más, no cre que se puedan cubrir todas las opciones de ausencia con este sistema

    Creo que primero que nada deberías preparar un ambiente de prueba, y hacer todas las verificaciones que te parezcan se puedan dar

    Quizás otro compañero pueda darte mejor información

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 19 de junio de 2017 17:09
    • Votado como útil Moderador M viernes, 23 de junio de 2017 16:19
    lunes, 19 de junio de 2017 10:10
    Moderador