Windows

如何以程式方式設置“其他域支持 Kerberos AES 加密”設置?

  • May 4, 2022

在 GUI(Active Directory 域和信任MMC 管理單元 ( domain.msc))中,您可以為信任關係設置“其他域支持 Kerberos AES 加密”設置:

其他域支持 Kerberos AES 加密

我正在尋找一種以程式方式設置此設置的方法。我已經查看了Install-ADDSDomainPowerShell cmdlet 以及該netdom TRUST工具,但兩者似乎都不包含設置Kerberos AES 加密設置的選項。

有人可以告訴我,如何以程式方式設置此設置?

這可以通過以下方式完成ksetup

ksetup /setenctypeattr <THE_OTHER_DOMAIN> AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96

另請參閱本文件。請注意您在哪里為哪個域執行此命令。您只能使用它來設置其他域的加密類型。因此,如果您在 的 DC 上child.contoso.com,您可以發出:

ksetup /setenctypeattr contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96

如果您在 的 DC 上contoso.com,您可以發出:

ksetup /setenctypeattr child.contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96

其他組合是不可能的,您可能會遇到以下問題:

引用自:https://serverfault.com/questions/1099053