Com o MIT Kerberos, o utilitário kadmin suporta a criação de entidades que têm uma duração máxima explícita do ticket e um tempo de renovação (- argumentos maxlife e -maxrenewlife para add_principal) , que podem ser diferentes da vida útil do ticket e do tempo de renovação padrão do território. Portanto, se o seu território tiver uma duração padrão de 24 horas e uma duração de renovação de 7 dias, um determinado diretor poderá ser de 1 hora e 1 dia, respectivamente.
Estou tentando descobrir se a implementação do Kerberos do Active Directory suporta a mesma coisa. Meu instinto diz que não, mas estou tendo dificuldade em provar isso de forma definitiva, além de não poder encontrar nenhum atributo óbvio em uma conta que possa permitir essa habilidade.
Alguém pode confirmar ou negar minha resposta intestinal?
Por minha leitura, não. É como a Política de Senha - é definida no nível do domínio.
The policy settings under Account Policies are implemented at the domain level.
Políticas de senha refinadas não podem ser usadas para isso, porque não incluem as configurações do Kerberos.
A PSO has attributes for all the settings that can be defined in the Default Domain Policy (except Kerberos settings).
Desculpe, parece que você está sem sorte.
Tags active-directory kerberos