红帽全球峰会5.2. 使用 GPO 在 Active Directory 中启用 AES 加密类型
使用组策略对象(GPO)在活动目录(AD)中启用 AES 加密类型。RHEL 上的某些功能(如在 IdM 客户端上运行 Samba 服务器)需要这个加密类型。
请注意,RHEL 不再支持弱 DES 和 RC4 加密类型。
先决条件
- 以可编辑组策略的用户身份登录到 AD。
- 计算机上安装了组策略管理控制台。
流程
- 打开 组策略管理控制台。
- 右键单击默认域策略,然后选择编辑。此时会打开 组策略管理编辑器。
-
导航到 计算机配置
策略 Windows 设置 安全设置 本地策略 安全选项。 - 双击 Network security:配置 Kerberos 策略允许的加密类型。
- 选择AES256_HMAC_SHA1和可选的未来加密类型。
- 点 OK。
- 关闭 组策略管理编辑器。
- 对默认域控制器策略重复上述步骤。
等待 Windows 域控制器(DC)自动应用组策略。或者,如果要在 DC 上手动应用 GPO,请使用具有管理员权限的帐户输入以下命令:
C:\> gpupdate /force /target:computer
