3. 用户票证最长寿命
    该安全设置确定用户票证授予票证（TGT）的最长使用时间（单位为小时）。用户TGT期满后，必须请求新的或“续订”现有的用户票证。默认值：10小时。

    4. 用户票证续订最长寿命
    该安全设置确定可以续订用户票证授予票证（TGT）的期限（以天为单位）。默认值：7天。

    5. 计算机时钟同步的最大容差
    本安全设置确定Kerberos V5所允许的客户端时钟和提供Kerberos身份验证的Windows Server 2003域控制器上的时间的最大差值（以分钟为单位）。
    为防止“轮番攻击”，Kerberos V5在其协议定义中使用了时间戳。为使时间戳正常工作，客户端和域控制器的时钟应尽可能的保持同步。换言之，应该将这两台计算机设置成相同的时间和日期。因为两台计算机的时钟常常不同步，所以管理员可使用该策略来设置Kerberos V5所能接受的客户端时钟和域控制器时钟间的最大差值。如果客户端时钟和域控制器时钟间的差值小于该策略中指定的最大时间差，那么在这两台计算机的会话中使用的任何时间戳都将被认为是可信的。默认值：5分钟。
    【注意】该设置并不是永久性的。如果配置该设置后重新启动计算机，那么该设置将被还原为默认值。

    以上各Kerberos策略安全选项的配置方法如下：
    第1步，在组策略界面中，依次单击展开下列选项〖计算机设置〗→〖Windows设置〗→〖安全设置〗→〖用户策略〗→〖Kerberos策略〗，在右边详细信息窗口中将列出当前所有的Kerberos策略选项，如图所示。