Remove From My Forums

Cambiar la concesión del Ticket TGT de kerberos en Active Directory.

Pregunta
0

Inicie sesión para votar

Estimados, tengo un Directorio Activo con muchas políticas, el problema seria que genere una GPO nueva para un determinado equipo y poder cambiar la renovación del ticket de kerberos pero no se aplica.

Mi duda seria si la GPO que cambia la concesión del ticket de kerberos se debería aplicar al equipo que necesito modificar o al equipo que se encuentra el Domain Controller.

Gracias desde ya

jueves, 15 de junio de 2017 15:11

Responder

|

Citar

Todas las respuestas

2

Inicie sesión para votar
Hola Galli13, las políticas de Kerberos son políticas de cuenta, y por lo tanto se pueden cambiar únicamente en la "Default Domain Policy", y serán efectivas para todos los usuarios y máquinas, no hay otra solución

Es un parámetro que nunca he visto que sea necesario modificar, y además es de cuidado cualquier modificación sin comprender las implicancias

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MVP - MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Moderador M jueves, 15 de junio de 2017 19:03
- Votado como útil Moderador M jueves, 22 de junio de 2017 15:56
jueves, 15 de junio de 2017 15:52

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Como andas Guillermo, gracias por responder. El tema sería con 802.1.x autenticación por usuario. El problema sería que si un usuario se va dos semanas y quiere logearse teniendo 802.1x no lo va a dejar porque la concesión de Kerberos por defecto es 7 días , va a intentar renovar al servidor Kerberos y nunca va a llegar porque lo tira a una vlan que no tiene conexión. Es por eso que quiero extender la renovación de Kerberos. Si te entendí bien es la única GPO que puede ser modificada y es aceptada por todos los equpos para la modificación de Kerberos. No existe crear otra Política con esas mismas opciones y que los equipos de la red apliquen el Cambio? no hay o no van a responder. Gracias

sábado, 17 de junio de 2017 14:41

Responder

|

Citar
1

Inicie sesión para votar
No tengo experiencia sobre el tema, pero no creo que sea solución

Aunque el Ticket Kerberos tenga una vigencia de 7 días, se puede usar sin renovar sólo por 10 horas. Además qué sucede si la ausencia sea 15 días o aún más, no cre que se puedan cubrir todas las opciones de ausencia con este sistema

Creo que primero que nada deberías preparar un ambiente de prueba, y hacer todas las verificaciones que te parezcan se puedan dar

Quizás otro compañero pueda darte mejor información

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MVP - MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Moderador M lunes, 19 de junio de 2017 17:09
- Votado como útil Moderador M viernes, 23 de junio de 2017 16:19
lunes, 19 de junio de 2017 10:10

Responder

|

Citar

Moderador