Users Guide
• Security(安全) - 安全组允许您管理用户并使用计算机访问共享资源以及筛选组策略设置。
• 分发 - 分发组仅供用于电子邮件分发列表。
请始终确保组类型为“安全”。您不能使用分发组来在任何对象上分配权限,但是可以使用它们来过滤组策略设置。
单一登录
SSO 登录在 Windows Server 2008 R2 x64 上失败。需要执行哪些设置才能解决此问题?
1. 为域控制器和域策略运行 technet.microsoft.com/en-us/library/dd560670(WS.10).aspx 中介绍的操作。
2. 配置计算机以使用 DES-CBC-MD5 密码组。
这些设置可能会影响环境中客户端计算机或服务以及应用程序的兼容性。Kerberos 策略允许的配置加密类型位于
Computer Conguration(计算机配置) → Security Settings(安全设置) → Local Policies(本地策略) → Security
Options(安全选项)下。
3. 请确保域客户端具有更新的 GPO。
4. 在命令行处,键入 gpupdate /force 并使用 klist purge 命令删除旧 Keytab。
5. 更新 GPO 后,创建新的 keytab。
6. 将 keytab 上载到 iDRAC。
现在可以使用 SSO 登录 iDRAC。
为什么在 Windows 7 和 Windows Server 2008 R2 上,Active Directory 用户进行单一登录失败?
您必须启用 Windows 7 和 Windows Server 2008 R2 的加密类型。要启用加密类型:
1. 以管理员或具有管理权限的用户身份登录。
2. 转至 Start(开始)并运行 gpedit.msc。随即会显示 Local Group Policy Editor(本地组策略编辑器)窗口。
3. 转至本地计算机设置 → Windows 设置 → 安全设置 → 本地策略 → 安全选项。
4. 右键单击 Network Security: Congure encryption types allowed for kerberos(网络安全:配置 Kerberos 允许的加密类
型)并选择 Properties(属性)。
5. 启用所有选项。
6. 单击确定。现在可以使用 SSO 登录 iDRAC。
对于 Extended Schema(扩展架构),执行以下附加设置:
1. 在 Local Group Policy Editor(本地组策略编辑器)窗口中,导航至 Local Computer Settings(本地计算机设置) →
Windows Settings(Windows 设置) → Security Settings(安全设置) → Local Policies(本地策略) → Security
Options
(安全选项)。
2. 右键单击 Network Security: Restrict NTLM: Outgoing NTLM trac to remote server(网络安全:限制 NTLM:发往远程
服务器的出站 NTLM 通信量)并选择 Properties(属性)。
3. 选择 Allow all(全部允许),单击 OK(确定),然后关闭 Local Group Policy Editor(本地组策略编辑器)窗口。
4. 转至 Start(开始)并运行 cmd。随即会显示命令提示窗口。
5. 运行命令 gpupdate /force。组策略即会更新。完成后,请关闭命令提示窗口。
6. 转至 Start(开始)并运行 regedit。随即会显示 Registry Editor(注册表编辑器)窗口。
7. 导航至 HKEY_LOCAL_MACHINE → System → CurrentControlSet → Control → LSA。
8. 在右侧窗格中,右键单击并选择 New(新建) → DWORD (32-bit) Value(DWORD [32 位] 值)。
9. 将新注册表项命名为 SuppressExtendedProtection。
10. 右键单击 SuppressExtendedProtection 并单击 Modify(修改)。
11. 在 Value data(值数据)字段中键入 1 并单击 OK(确定)。
12. 关闭注册表编辑器窗口。现在可以使用 SSO 登录 iDRAC。
如果为 iDRAC 启用了 SSO 并使用 Internet Explorer 登录 iDRAC,SSO 会失败并提示输入用户名和密码。如何解决此问题?
283