若要使用凭据漫游,您组织的所有域控制器都应运行 Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 Service Pack 1 (SP1)。而且,用于凭据漫游的客户端还必须运行 Windows 7、Windows Vista、Windows XP Service Pack 2 (SP2)、Windows Server 2003 SP1 或 Windows Server 2008。
如果在 Active Directory 环境中至少有一个域控制器运行 Windows Server 2008 R2 或 Windows Server 2008,则可以使用组策略配置凭据漫游。
如果没有运行 Windows Server 2008 R2 或 Windows Server 2008 的域控制器,则必须完成下列步骤才能通过组策略配置凭据漫游:
-
准备 Active Directory 域服务 (AD DS)。需要准备 AD DS 来存储用户的证书、密钥和数据保护应用程序编程接口 (DPAPI) 主密钥。
-
排除漫游配置文件中的目录。如果使用漫游配置文件,则需要将某些目录从漫游中排除,以避免与凭据漫游冲突。
-
安装组策略 ADM 模板.将通过在客户端计算机上设置适当注册值的组策略 ADM 模板来启用凭据漫游。
对于仍然运行 Windows Server 2003 的域控制器,若要从网络获得这些预备步骤的帮助,请参阅“配置证书服务客户端凭据漫游和疑难解答”(
Enterprise Admins 或 Domain Admins 中的成员身份或等效身份是完成此过程所需的最低要求。有关详细信息,请参阅实现基于角色的管理。
 | 使用组策略为域配置凭据漫游的步骤 |
在运行 Windows Server 2008 R2 或 Windows Server 2008 的域控制器上,单击「开始」,指向“管理工具”,然后单击“组策略管理”。
在控制台树中,双击包含要编辑的“默认域策略”组策略对象 (GPO) 的林和域中的“组策略对象”。
右键单击“默认域策略”GPO,然后单击“编辑”。
在组策略管理控制台 (GPMC) 中,依次转到“用户配置”、“Windows 设置”、“安全设置”,然后单击“公钥策略”。
双击“证书服务客户端 - 凭据漫游”。
单击“已启用”以配置凭据漫游,或单击“禁用”以阻止它的使用。
如果单击“已启用”,还可以自定义以下选项:
-
“以天为单位的逻辑删除凭据生存时间的最大值”。允许您为本地删除的证书或密钥定义漫游凭据在 AD DS 中保留的时间。
-
“每用户最多漫游凭据数”。允许您定义可以与凭据漫游一起使用的凭据和密钥的最大数量。
-
“漫游凭据的大小上限(以字节为单位)”。允许您限制超过定义大小的凭据的漫游。
-
“漫游已存储的用户名和密码”。允许您在凭据漫游策略中包括或从中排除存储的用户名和密码。
-
“以天为单位的逻辑删除凭据生存时间的最大值”。允许您为本地删除的证书或密钥定义漫游凭据在 AD DS 中保留的时间。
单击“确定”接受更改。
对于很多组织来说,步骤 7 中的凭据漫游的默认选项是可以接受的。不过,如果一个组织拥有大量的用户和凭据,则凭据漫游会影响 Active Directory 数据库的大小。有关帮助您评估凭据漫游可能对 Active Directory 数据库造成的影响的信息,请参阅“配置证书服务客户端凭据漫游和疑难解答”(