Requerir validación KDC estricta

Esta configuración de directiva controla el comportamiento del cliente Kerberos al validar el certificado KDC para el inicio de sesión de tarjetas inteligentes y certificados de sistema.

Si habilita esta configuración de directiva, el cliente Kerberos requerirá que el certificado X.509 de KDC contenga el identificador del objeto de propósito de la clave KDC en las extensiones de uso mejorado de clave (EKU) y una extensión dNSName subjectAltName (SAN) que coincida con el nombre DNS del dominio. Si el equipo está unido a un dominio, el cliente Kerberos requerirá que el certificado X.509 de KDC esté firmado por una entidad de certificación (CA) en el almacén NTAuth. Si el equipo no está unido a un dominio, el cliente Kerberos permitirá usar el certificado de CA raíz de la tarjeta inteligente en la validación de ruta del certificado X.509 de KDC.

Si deshabilita o no establece esta configuración de directiva, el cliente Kerberos solo requerirá que el certificado KDC contenga el identificador del objeto de propósito de autenticación de servidor en las extensiones EKU, el cual puede emitirse para cualquier servidor.

Compatible con: Al menos Windows Vista

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Value NameKdcValidation
Value TypeREG_DWORD
Enabled Value2
Disabled Value0

kerberos.admx

Plantillas administrativas (equipos)

Plantillas administrativas (usuarios)