這個原則設定會控制 Kerberos 用戶端在驗證智慧卡和系統憑證登入的 KDC 憑證時的行為。
如果您啟用這個原則設定,Kerberos 用戶端會要求 KDC 的 X.509 憑證在擴充金鑰使用方法 (EKU) 延伸中必須包含 KDC 金鑰目的物件識別碼,而且 KDC 的 X.509 憑證必須包含符合網域 DNS 名稱的 dNSName subjectAltName (SAN) 延伸。如果電腦已加入網域,Kerberos 用戶端會要求 KDC 的 X.509 憑證必須由 NTAuth 存放區中的憑證授權單位 (CA) 簽署。如果電腦未加入網域,則 Kerberos 用戶端會允許在 KDC 之 X.509 憑證的路徑驗證中,使用智慧卡上的根 CA 憑證。
如果停用或未設定個原則設定,則 Kerberos 用戶端只會要求 KDC 憑證在可發行給任何伺服器的 EKU 延伸中必須包含「伺服器驗證」目的物件識別碼。
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Value Name | KdcValidation |
| Value Type | REG_DWORD |
| Enabled Value | 2 |
| Disabled Value | 0 |