PKInit Yenilik Uzantısı desteği için Windows Server 2016 etki alanı işlev düzeyi (DFL) gereklidir. Etki alanı denetleyicisinin etki alanı Windows Server 2016 DFL veya daha yüksek değilse, bu ilke uygulanmaz.
Bu ilke ayarı, PKInit Yenilik Uzantısı'nı destekleyecek şekilde bir etki alanı denetleyicisi (DC) yapılandırmanıza olanak sağlar.
Bu ilke ayarını etkinleştirirseniz, aşağıdaki seçenekler desteklenir:
Desteklenen: PKInit Yenilik Uzantısı istenildiği takdirde desteklenir. PKInit Yenilik Uzantısı ile başarılı bir şekilde kimlik doğrulaması yapan Kerberos istemcileri, yeni ortak anahtar kimliği SID'sini alır.
Gerekli: PKInit Yenilik Uzantısı, başarılı kimlik doğrulama için gereklidir. PKInit Yenilik Uzantısı'nı desteklemeyen Kerberos işlemcileri, ortak anahtar kimlik bilgilerini her kullandığında başarısız olur.
Bu ilke ayarını devre dışı bırakır veya yapılandırmazsanız, DC, PKInit Yenilik Uzantısı'nı bir daha önermez ve yeniliğine bakmadan geçerli kimlik doğrulama isteklerini kabul eder. Kullanıcılar da bir daha yeni ortak anahtar kimlik SID'si almazlar.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Value Name | PKINITFreshness |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Value Name | PKINITFreshness |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Value Name | PKINITFreshness |
Value Type | REG_DWORD |
Value | 2 |