Kerberos V5身份验证协议是用于确认用户或主机身份的身份验证机制，也是Windows 2000和Windows Server 2003系统默认的身份验证服务。Internet协议安全性（IPSec）可以使用Kerberos协议进行身份验证。

    对于在安装过程中所有加入到Windows Server 2003或Windows 2000域的计算机都默认启用Kerberos V5身份验证协议。Kerberos可对域内的资源和驻留在受信任的域中的资源提供单一登录。
    可通过那些作为帐户策略一部分的Kerberos安全设置来控制Kerberos配置的某些方面。例如，可设置用户的Kerberos 5票证生存周期。作为管理员，可以使用默认的kerberos策略，也可以更改它以适应环境的需要。使用Kerberos V5进行成功的身份验证需要两个客户端系统都必须运行Windows 2000、Windows Server 2003家族或Windows XP Professional操作系统。

    如果客户端系统尝试向运行其他操作系统的服务器进行身份验证，则使用NTLM协议作为身份验证机制。NTLM身份验证协议是用来处理两台计算机（其中至少有一台计算机运行Windows NT 4.0或更早版本）之间事务的协议。

    使用Kerberos进行身份验证的计算机必须使其时间设置在5分钟内与常规时间服务同步，否则身份验证将失败。运行Windows Server 2003家族成员、Windows XP Professional或Windows 2000的计算机将自动更新当前时间，并将域控制器用作网络时间服务。

    Kerberos策略用于域用户帐户，确定与Kerberos相关的设置，例如票证的有效期限和强制执行。   
    Kerberos策略不存在于本地计算机策略中。这部分包含以下几个方面：
    强制用户登录限制
    服务票证最长寿命
    用户票证最长寿命
    用户票证续订最长寿命
    计算机时钟同步的最大容差

    1. 强制用户登录限制
    本安全设置确定Kerberos V5密钥分发中心（KDC）是否要根据用户帐户的用户权限来验证每一个会话票证请求。验证每一个会话票证请求是可选的，因为额外的步骤需要花费时间，并可能降低服务的网络访问速度。默认值：已启用。

    2. 服务票证最长寿命
    该安全设置确定使用所授予的会话票证可访问特定服务的最长时间（以分钟为单位）。该设置必须大于10分钟并且小于或等于下面将要介绍的“用户票证最长寿命”选项中的设置。
    【说明】票证是用于安全原则的标识数据集，是为了进行用户身份验证而由域控制器发行的。
    Windows中的两种票证形式是票证授予式票证（TGT）和服务票证。
    票证授予式票证（TGT）是用户登录时，Kerberos密钥分发中心（KDC）颁发给用户的凭据。当服务要求会话票证时，用户必须向KDC递交TGT。因为TGT对于用户的登录会话活动通常是有效的，它有时称为“用户票证”。

    服务票证是由允许用户验证域中指定服务的KerberosV5票证授予服务（TGS）颁发的票证。如果客户端请求服务器连接时出示的会话票证已过期，服务器将返回错误消息。客户端必须从Kerberos V5密钥分发中心（KDC）请求新的会话票证。然而一旦连接通过了身份验证，该会话票证是否仍然有效就无关紧要了。会话票证仅用于验证和服务器的新建连接。如果用于验证连接的会话票证在连接时过期，则当前的操作不会中断。默认值：600分钟（10小时）。