名稱Microsoft 網路伺服器:伺服器 SPN 目標名稱驗證層級
GPOComputer Settings
類別安全性選項\Microsoft network server
描述這項原則設定控制具有共用資料夾的電腦或印表機伺服器在服務主體名稱(SPN) 上執行的驗證層級, 選項如下:
(1) 關閉:SMB 伺服器不需要或不會驗證 SMB 用戶端的 SPN
(2) 如果是用戶端所提供則接受:SMB 伺服器將會接受與驗證 SMB 用戶端提供的 SPN, 並允許當該SPN符合SMB伺服器本身的 SPN 清單時, 建立工作階段。如果SPN不相符, 將會拒絕該SMB用戶端的工作階段要求
(3) 用戶端的要求:SMB 用戶端「必須」在工作階段設定中傳送 SPN 名稱, 而且提供的 SPN 名稱「必須」符合被要求建立連線的 SMB 伺服器。如果用戶端未提供任何SPN, 或是提供的 SPN 不相符, 則會拒絕該工作階段
設定1. 執行 gpedit.msc 打開本機群組原則編輯器
2. 選擇 [電腦設定\Windows 設定\安全性設定\本機原則\安全性選項]
3. 在右邊窗點擊 "Microsoft 網路伺服器:伺服器 SPN 目標名稱驗證層級".
4. 選擇 "如果是用戶端所提供則接受", 點擊 "確定" (GCB 設定值為 如果是用戶端所提供則接受)