请在此处输入显示名称 请在此处输入描述 允许分配默认凭据 此策略设置适用于使用 Cred SSP 组件的应用程序（例如远程桌面连接）。 此策略设置在使用受信任的 X509 证书或 Kerberos 实现服务器身份验证时适用。 如果启用此策略设置，则可以指定可向其分配用户的默认凭据的服务器（默认凭据是首次登录 Windows 时要使用的凭据）。 该策略在用户下次登录到运行 Windows 的计算机时生效。 如果禁用或未配置（默认情况下）此策略设置，则不允许向任何计算机分配默认凭据。依赖于此委派行为的应用程序可能无法通过身份验证。有关详细信息，请参阅 KB。 KB 的 FWlink 如下： http://go.microsoft.com/fwlink/?LinkId=301508 注意：可以将“允许分配默认凭据”策略设置设定为一个或多个服务主体名称 (SPN)。 SPN 表示可以向其分配用户凭据的目标服务器。 指定 SPN 时允许使用单个通配符。 例如: TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机 TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。 TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机 允许分配默认凭据用于仅 NTLM 服务器身份验证 此策略设置适用于使用 Cred SSP 组件的应用程序（例如远程桌面连接）。 此策略设置在通过 NTLM 实现服务器身份验证时适用。 如果启用此策略设置，则可以指定可向其分配用户的默认凭据的服务器（默认凭据是首次登录 Windows 时要使用的凭据）。 如果禁用或未配置（默认情况下）此策略设置，则不允许向任何计算机分配默认凭据。 注意: 可以将“允许分配默认凭据用于仅 NTLM 服务器身份验证”策略设置设置为一个或多个服务主体名称(SPN)。SPN 表示可以向其分配用户凭据的目标服务器。 指定 SPN 时允许使用单个通配符。 例如: TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机 TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。 TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机 允许分配新的凭据 此策略设置适用于使用 Cred SSP 组件的应用程序（例如远程桌面连接）。 此策略设置在通过受信任的 X509 证书或 Kerberos 实现服务器身份验证时适用。 如果启用此策略设置，则可以指定可向其中分配用户新凭据的服务器(新凭据是执行应用程序时提示你输入的凭据)。 如果未配置（默认情况下）此策略设置，则在正确的相互身份验证之后，允许向运行在任何计算机上的远程桌面会话主机 (TERMSRV/*) 分配新的凭据。 如果禁用此策略设置，则不允许对任何计算机分配新的凭据。 注意: 可以将“允许分配新的凭据”策略设置设置为一个或多个服务主体名称(SPN)。SPN 表示可以向其分配用户凭据的目标服务器。指定 SPN 时允许使用单个通配符。 例如: TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机 TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。 TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机 允许分配新的凭据用于仅 NTLM 服务器身份验证 此策略设置适用于使用 Cred SSP 组件的应用程序（例如远程桌面连接）。 此策略设置在通过 NTLM 实现服务器身份验证时适用。 如果启用此策略设置，则可以指定可向其中分配用户新凭据的服务器(新凭据是执行应用程序时提示你输入的凭据)。 如果未配置（默认情况下）此策略设置，则在正确的相互身份验证之后，允许向运行在任何计算机上的远程桌面会话主机 (TERMSRV/*) 分配新的凭据。 如果禁用此策略设置，则不允许对任何计算机分配新的凭据。 注意: 可以将“允许分配新的凭据用于仅 NTLM 服务器身份验证”策略设置设置为一个或多个服务主体名称(SPN)。SPN 表示可以向其分配用户凭据的目标服务器。指定 SPN 时允许使用单个通配符。 例如: TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机 TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。 TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机 允许分配保存的凭据 此策略设置适用于使用 Cred SSP 组件的应用程序（例如远程桌面连接）。 此策略设置在通过受信任的 X509 证书或 Kerberos 实现服务器身份验证时适用。 如果启用此策略设置，则可以指定可向其分配用户保存的凭据的服务器(保存的凭据是通过使用 Windows 凭据管理器来进行选择以保存/记忆的凭据)。 如果未配置（默认情况下）此策略设置，则在正确的相互身份验证之后，允许向运行在任何计算机上的远程桌面会话主机 (TERMSRV/*) 分配保存的凭据。 如果禁用此策略设置，则不允许对任何计算机分配保存的凭据。 注意: 可以将“允许分配保存的凭据”策略设置设置为一个或多个服务主体名称(SPN)。SPN 表示可以向其分配用户凭据的目标服务器。指定 SPN 时允许使用单个通配符。 例如: TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机 TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。 TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机 允许分配保存的凭据用于仅 NTLM 服务器身份验证 此策略设置适用于使用 Cred SSP 组件的应用程序（例如远程桌面连接）。 此策略设置在通过 NTLM 实现服务器身份验证时适用。 如果启用此策略设置，则可以指定可向其分配用户保存的凭据的服务器(保存的凭据是通过使用 Windows 凭据管理器来进行选择以保存/记忆的凭据)。 如果未配置（默认情况下）此策略设置，则在正确的相互身份验证之后，允许向运行在任何计算机上的远程桌面会话主机 (TERMSRV/*) 分配保存的凭据，但条件是，客户端计算机不是任何域的成员。如果客户端加入某个域，则默认情况下不允许向任何计算机分配保存的凭据。 如果禁用此策略设置，则不允许对任何计算机分配保存的凭据。 注意: 可以将“允许分配保存的凭据用于仅 NTLM 服务器身份验证”策略设置设置为一个或多个服务主体名称(SPN)。SPN 表示可以向其分配用户凭据的目标服务器。指定 SPN 时允许使用单个通配符。 例如: TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机 TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。 TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机 凭据分配 拒绝分配默认凭据 此策略设置适用于使用 Cred SSP 组件的应用程序（例如远程桌面连接）。 如果启用此策略设置，则可以指定不可向其分配用户的默认凭据的服务器（默认凭据是首次登录 Windows 时要使用的凭据）。 如果禁用或未配置（默认情况下）此策略设置，则此策略设置不会指定任何服务器。 注意: 可以将“拒绝分配默认凭据”策略设置设置为一个或多个服务主体名称(SPN)。SPN 表示不可向其分配用户凭据的目标服务器。指定 SPN 时允许使用单个通配符。 例如: TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机 TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。 TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机 此策略设置可与“允许分配默认凭据”策略设置配合使用，以便为在“允许分配默认凭据”服务器列表中使用通配符时例外允许的特定服务器定义例外。 拒绝分配新的凭据 此策略设置适用于使用 Cred SSP 组件的应用程序（例如远程桌面连接）。 如果启用此策略设置，则可以指定不可向其分配用户的新凭据的服务器(新的凭据是执行应用程序时提示你输入的凭据)。 如果禁用或未配置（默认情况下）此策略设置，则此策略设置不会指定任何服务器。 注意: 可以将“拒绝分配新的凭据”策略设置设置为一个或多个服务主体名称(SPN)。SPN 表示不可向其分配用户凭据的目标服务器。指定 SPN 时允许使用单个通配符。 例如: TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机 TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。 TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机 此策略设置可与“允许分配新的凭据”策略设置配合使用，以便为在“允许分配新的凭据”服务器列表中使用通配符时例外允许的特定服务器定义例外。 拒绝分配保存的凭据 此策略设置适用于使用 Cred SSP 组件的应用程序（例如远程桌面连接）。 如果启用此策略设置，则可以指定不可向其分配用户的保存的凭据的服务器(保存的凭据是通过使用 Windows 凭据管理器来进行选择以保存/记忆的凭据)。 如果禁用或未配置（默认情况下）此策略设置，则此策略设置不会指定任何服务器。 注意: 可以将“拒绝分配保存的凭据”策略设置设置为一个或多个服务主体名称(SPN)。SPN 表示不可向其分配用户凭据的目标服务器。指定 SPN 时允许使用单个通配符。 例如: TERMSRV/host.humanresources.fabrikam.com 表示在 host.humanresources.fabrikam.com 计算机上运行的远程桌面会话主机 TERMSRV/* 表示在所有计算机上运行的远程桌面会话主机。 TERMSRV/*.humanresources.fabrikam.com 表示在 humanresources.fabrikam.com 中的所有计算机上运行的远程桌面会话主机 此策略设置可与“允许分配保存的凭据”策略设置配合使用，以便为在“允许分配保存的凭据”服务器列表中使用通配符时例外允许的特定服务器定义例外。 限制向远程服务器分配凭据 在受限模式下运行时，参与应用不会向远程计算机暴露凭据（无论采用何种分配方法）。受限模式可能会限制访问目标计算机以外的其他服务器或网络上的资源，原因是未分配凭据。 参与应用： 远程桌面客户端 如果启用此策略设置，则会强制使用受限模式且参与应用不会向远程计算机分配凭据。 如果禁用或未配置此策略设置，则不会强制使用受限模式且参与应用可以向远程计算机分配凭据。 注意：若要禁用大部分凭据分配，在凭据安全支持提供程序 (CredSSP) 中拒绝分配足以达到目的，方法是修改管理模板设置（位于计算机配置\管理模板\系统\凭据分配）。 Windows Vista 将服务器添加到列表: 将 OS 默认值与上述输入连接起来 将服务器添加到列表: 将 OS 默认值与上述输入连接起来 将服务器添加到列表: 将 OS 默认值与上述输入连接起来 将服务器添加到列表: 将 OS 默认值与上述输入连接起来 将服务器添加到列表: 将 OS 默认值与上述输入连接起来 将服务器添加到列表: 将 OS 默认值与上述输入连接起来 将服务器添加到列表: 将 OS 默认值与上述输入连接起来 将服务器添加到列表: 将 OS 默认值与上述输入连接起来 将服务器添加到列表: 将 OS 默认值与上述输入连接起来