Bu ilke ayarı, akıllı kart ve sistem sertifikası oturumu için KDC sertifikasını doğrulama sırasında Kerberos istemcisinin davranışını denetler.
Bu ilke ayarını etkinleştirirseniz Kerberos istemcisi, KDC'nin X.509 sertifikasının Uzatılmış Anahtar Kullanımı (EKU) uzantıları içinde KDC anahtarı amacı nesne tanımlayıcı içermesini ve KDC'nin X.509 sertifikasının etki alanının DNS adıyla eşleşen bir dNSName subjectAltName (SAN) uzantısı içermesini gerektirir. Bilgisayar bir etki alanına katılmışsa, Kerberos istemcisi, KDC'nin X.509 sertifikasının NTAuth deposundaki bir Sertifika Yetkilisi (CA) tarafından imzalanmasını gerektirir. Bilgisayar etki alanına dahil değilse, Kerberos istemcisi, akıllı karttaki kök CA sertifikasının KDC'nin X.509 sertifikasının yol doğrulamasında kullanılmasına izin verir.
Bu ilke ayarını devre dışı bırakırsanız veya yapılandırmazsanız Kerberos istemcisi yalnızca KDC sertifikasının EKU uzantılarında Sunucu Kimlik Doğrulaması amaçlı nesne tanımlayıcısını bulundurmasını ister.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Value Name | KdcValidation |
| Value Type | REG_DWORD |
| Enabled Value | 2 |
| Disabled Value | 0 |