Требовать обязательной проверки KDC

Этот параметр политики позволяет указать поведение клиента Kerberos при проверке сертификата KDC для смарт-карт и регистрации системного сертификата.

Если вы включаете этот параметр политики, клиент Kerberos будет требовать, чтобы в сертификате KDC X.509 в расширениях Extended Key Usage (EKU) содержался идентификатор объекта для ключа KDC, а также чтобы в сертификате KDC X.509 содержалось расширение dNSName subjectAltName (SAN), соответствующее DNS-имени домена. Если компьютер присоединен к домену, клиент Kerberos потребует, чтобы сертификат X.509 KDC был подписан центром сертификации в хранилище NTAuth. Если компьютер не присоединен к домену, клиент Kerberos позволит использовать корневой сертификат центра сертификации на смарт-карте для подтверждения пути сертификата KDC.

Если вы отключаете или не настраиваете этот параметр политики, клиент Kerberos будет требовать только, чтобы сертификат KDC содержал идентификатор объекта для проверки подлинности сервера в расширениях EKU, который может быть выдан любому серверу.

Поддерживается: Не ниже Windows Vista

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Value NameKdcValidation
Value TypeREG_DWORD
Enabled Value2
Disabled Value0

kerberos.admx

Административные шаблоны (компьютеры)

Административные шаблоны (пользователи)