Active Directory的Kerberos实现是否支持每个用户的票证生存期设置？

Question

使用MIT，kadmin实用程序支持创建具有显式最大票证生存期和更新生存期(添加的-maxlife和-max续期生命参数_(校长)的主体，这可能与领域的默认票证生存期和更新生存期不同。因此，如果您的领域的默认生命期为24小时，更新寿命为7天，则给定的主体可以分别为1小时和1天。

我试图弄清楚Active的Kerberos实现是否支持同样的东西。我的直觉是否定的，但我很难明确地证明这一点，而不是在一个账户上找不到任何明显的属性来实现这一能力。

有人能证实或否认我的直觉吗？

Answer 1

根据我的解读，没有。这就像密码策略--它是在域级别定义的。

http://technet.microsoft.com/en-us/library/cc757692(v=ws.10).aspx#w2k3tr_塞波尔_阿库_设置_hpjo

帐户策略下的策略设置是在域级别上实现的。

不能为此使用细粒度密码策略，因为它们不包括Kerberos设置。

http://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx

PSO具有所有可以在默认域策略中定义的设置的属性( Kerberos设置除外)。

很抱歉，看来你运气不好。