PKInit Freshness 延伸模組的 KDC 支援

對 PKInit Freshness 延伸模組的支援需要 Windows Server 2016 網域功能等級 (DFL)。若網域控制站的網域不是 Windows Server 2016 DFL 或更高,將不會套用此原則。

此原則設定可讓您設定網域控制站 (DC) 以支援 PKInit Freshness 延伸模組。

若啟用此原則設定,則支援下列選項:

支援: 當收到要求時支援 PKInit Freshness 延伸模組。使用 PKInit Freshness 延伸模組順利驗證的 Kerberos 用戶端將取得全新的公開金鑰身分識別 SID。

必要: 必須有 PKInit Freshness 延伸模組,才能順利進行驗證。使用公開金鑰認證時,不支援 PKInit Freshness 延伸模組的 Kerberos 用戶端將一律失敗。

若停用或未設定此原則設定,則網域控制站 (DC) 將一律不會提供 PKInit Freshness 延伸模組,而且將會接受有效的驗證要求而不會檢查有效性。使用者將一律不會接收新的公開金鑰身分識別 SID。

支援的作業系統: 至少需要 Windows 10 Server、Windows 10 或 Windows 10 RT

PKInit Freshness 延伸模組選項:


  1. 已停用
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NamePKINITFreshness
    Value TypeREG_DWORD
    Value0
  2. 支援
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NamePKINITFreshness
    Value TypeREG_DWORD
    Value1
  3. 必要
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters
    Value NamePKINITFreshness
    Value TypeREG_DWORD
    Value2


kdc.admx

系統管理範本 (電腦)

系統管理範本 (使用者)