5.2. 使用 GPO 在 Active Directory 中启用 AES 加密类型
这部分描述了如何使用组策略对象(GPO)在 Active Directory(AD)中启用 AES 加密类型。RHEL 上的某些功能(如在 IdM 客户端上运行 Samba 服务器)需要这个加密类型。
请注意,RHEL 不再支持弱 DES 和 RC4 加密类型。
先决条件
- 以可编辑组策略的用户身份登录到 AD。
-
计算机上安装了
组策略管理控制台。
流程
-
打开
组策略管理控制台。 -
右键单击
默认域策略,然后选择编辑。打开组策略管理编辑器。 -
导航到
计算机配置策略Windows 设置安全设置本地策略安全选项。 -
双击
Network security:配置 Kerberos策略允许的加密类型。 -
选择
AES256_HMAC_SHA1和可选的未来加密类型。 - 点。
-
关闭
组策略管理编辑器。 -
对
默认域控制器策略重复上述步骤。 等待 Windows 域控制器(DC)自动应用组策略。或者,如果要在 DC 上手动应用 GPO,请使用具有管理员权限的帐户输入以下命令:
C:\> gpupdate /force /target:computer
