kerberos tgt默认有效期为8小时,由域控制器策略中“maximum lifetime for user ticket”参数控制,对应注册表项hkey_local_machine\system\currentcontrolset\services\kdc\parameters\maxticketage;其续期截止时间renew_till通常为ticket_lifetime的2–3倍,但受“maximum lifetime for user ticket renewal”上限约束。
windows运维中,kerberos的tgt(ticket granting ticket)有效期默认为8小时,由域控制器(dc)上的域安全策略统一控制。
TGT有效期的来源与位置
该值并非客户端或应用自行设定,而是由Active Directory域策略中的“Maximum lifetime for user ticket”参数决定,路径通常为:
- 组策略管理 → 域控制器策略 → 计算机配置 → 策略 → Windows设置 → 安全设置 → 账户策略 → Kerberos策略
- 对应注册表项(DC上):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc\Parameters\MaxTicketAge,单位为小时
常见取值与适用场景
不同环境对安全和便利性的权衡,导致TGT有效期存在差异:
- 生产域环境:普遍设为8小时(微软默认值),兼顾可用性与基础防护
- 高安全域(如金融、政务):常调低至2–4小时,缩短票据暴露窗口
- 测试/开发域:可设为1–2小时,便于快速验证票据行为与续期逻辑
- 极敏感系统(如特权访问工作站PAW):部分组织启用30分钟–1小时,配合强制重认证
有效期之外的关键限制:renew_till
TGT不仅受ticket_lifetime约束,还受renew_till(可续期截止时间)限制。后者通常设为ticket_lifetime的2–3倍(如8小时TGT配24小时renew_till),但不能超过域策略中“Maximum lifetime for user ticket renewal”设定值。这意味着即使TGT未过期,若已超出renew_till,也无法刷新,必须重新登录。
运维注意事项
调整后需注意实际生效条件:
- 策略修改后,DC需执行
gpupdate /force,且新TGT在用户下次登录时才应用 - 已签发的TGT不会因策略变更而提前失效,其生命周期以签发时刻为准
- 使用
klist命令可查看当前TGT的Issued、Expires、Renew until三项时间戳 - 若用户长时间锁屏未操作,TGT可能自然过期;此时唤醒后访问资源会触发自动续期(若仍在renew_till内),否则弹出凭据提示
