Diese Richtlinieneinstellung steuert das Verhalten des Kerberos-Clients bei der Überprüfung des KDC-Zertifikats für die Smart Card- und Systemzertifikatanmeldung.
Wenn Sie diese Richtlinieneinstellung aktivieren, setzt der Kerberos-Client voraus, dass das X.509-Zertifikat des KDCs in den EKU-Erweiterungen (Extended Key Usage) die KDC-Schlüsselzweck-Objekt-ID und das X.509-Zertifikat des KDCs eine dNSName subjectAltName-(SAN-)Erweiterung vom Typ "dNSName" enthält, die mit dem DNS-Namen der Domäne übereinstimmt. Wenn der Computer einer Domäne angehört, setzt der Kerberos-Client voraus, dass das X.509-Zertifikat des KDCs von einer Zertifizierungsstelle im NTAuth-Speicher signiert ist. Wenn der Computer keiner Domäne angehört, erlaubt der Kerberos-Client bei der Pfadüberprüfung des X.509-Zertifikats des KDCs die Verwendung des Stamm-Zertifizierungsstellenzertifikats für die Smartcard.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, setzt der Kerberos-Client nur voraus, dass das KDC-Zertifikat in den EKU-Erweiterungen die Serverauthentifizierungs-Zweckobjekt-ID enthält, die für alle Server ausgestellt werden kann.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Value Name | KdcValidation |
| Value Type | REG_DWORD |
| Enabled Value | 2 |
| Disabled Value | 0 |