若要使用認證漫遊,貴組織的所有網域控制站都應執行 Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 Service Pack 1 (SP1)。此外,用於認證漫遊的用戶端也必須執行 Windows 7、Windows Vista、Windows XP Service Pack 2 (SP2)、Windows Server 2003 SP1 或 Windows Server 2008。
若您的 Active Directory 環境中至少有一個執行 Windows Server 2008 R2 或 Windows Server 2008 的網域控制站,即可使用群組原則來設定認證漫遊。
如果沒有執行 Windows Server 2008 R2 或 Windows Server 2008 的網域控制站,則必須先完成下列程序,才能透過群組原則設定認證漫遊:
-
準備 Active Directory 網域服務 (AD DS)。需備妥 AD DS 以儲存使用者的憑證、金鑰及資料保護應用程式發展介面 (DPAPI) 主要金鑰。
-
排除漫遊設定檔中的目錄。如果使用漫遊設定檔,必須從漫遊中排除特定的目錄,以避免與認證漫遊發生衝突。
-
安裝群組原則 ADM 範本。認證漫遊可透過在用戶端電腦設定適當登錄值的群組原則 ADM 範本來啟用。
如需在仍執行 Windows Server 2003 之網域控制站的網路中設定這些預備步驟的協助,請參閱<設定和疑難排解憑證服務用戶端 - 認證漫遊>(
若要完成此程序,至少需要 Enterprise Admins 或 Domain Admins 的成員資格或同等權限。如需相關資訊,請參閱實作以角色為基礎的管理。
使用群組原則設定網域的認證漫遊 |
在執行 Windows Server 2008 R2 或 Windows Server 2008 的網域控制站上,按一下 [開始],指向 [系統管理工具],然後按一下 [群組原則管理]。
在主控台樹狀目錄中,請在內含您要編輯的 [預設網域原則] 群組原則物件 (GPO) 的樹系和網域中,按兩下 [群組原則物件]。
在 [預設網域原則] GPO 上按一下滑鼠右鍵,然後按一下 [編輯]。
在 [群組原則管理主控台] (GPMC) 中,依序移至 [使用者設定]、[Windows 設定]、[安全性設定],然後按一下 [公開金鑰原則]。
按兩下 [憑證服務用戶端 - 認證漫遊設定]。
按一下 [啟用] 以設定認證漫遊,或 [停用] 以封鎖它的使用。
如果您已按一下 [啟用],也可自訂下列選項:
-
[最長的標記認證存留期天數]。允許您定義漫遊認證將針對已在本機刪除的憑證或金鑰,在 AD DS 中保留多久。
-
[每個使用者漫遊認證的數目上限]。允許您定義認證漫遊可使用的憑證和金鑰數目上限。
-
[漫遊認證的大小上限 (位元組)]。允許您針對超過定義大小的認證限制漫遊。
-
[漫遊儲存的使用者名稱與密碼]。允許您包含或排除認證漫遊原則儲存的使用者名稱和密碼。
-
[最長的標記認證存留期天數]。允許您定義漫遊認證將針對已在本機刪除的憑證或金鑰,在 AD DS 中保留多久。
按一下 [確定] 以接受變更。
步驟 7 中的認證漫遊預設選項對許多組織而言是可接受的。不過,如果組織擁有大量的使用者和認證,則認證漫遊會影響 Active Directory 資料庫的大小。如需可協助您評估認證漫遊可能會對 Active Directory 資料庫造成之影響的相關資訊,請參閱<設定和疑難排解憑證服務用戶端 - 認證漫遊>(