Denne policyinnstillingen angir hvordan Kerberos-klienten validerer KDC-sertifikatet for pålogging med smartkort og systemsertifikat.
Hvis du aktiverer denne policyinnstillingen, krever Kerberos-klienten at X.509-sertifikatet for KDC inneholder KDC-nøkkelens objektidentifikator i EKU-utvidelsene (Extended Key Usage), og at X.509-sertifikatet for KDC inneholder en DNSName-SAN-utvidelse (SubjectAltName) som samsvarer med domenets DNS-navn. Hvis datamaskinen inngår i et domene, krever Kerberos-klienten at x.509-sertifikatet for KDC må signeres av en sertifiseringsinstans (CA) i NTAUTH-lageret. Hvis datamaskinen ikke inngår i et domene, tillater Kerberos-klienten at CA-rotsertifikatet på smartkortet brukes til å validere banen til X.509-sertifikatet for KDC.
Hvis du deaktiverer denne policyinnstillingen eller ikke konfigurerer den, krever Kerberos-klienten bare at KDC-sertifikatet inneholder objektidentifikatoren for servergodkjenning i EKU-utvidelsene, for utstedelse til en hvilken som helst server.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Value Name | KdcValidation |
| Value Type | REG_DWORD |
| Enabled Value | 2 |
| Disabled Value | 0 |