Du kan bruge denne politikindstilling til at styre Kerberos-klientens funktionsmåde under validering af KDC-certifikatet for logon med chipkort og systemcertifikat.
Hvis du aktiverer denne politikindstilling, kræver Kerberos-klienten, at KDC'ens X.509-certifikat indeholder KDC'ens vigtigste formålsobjektidentifikator i EKU-udvidelser (Extended Key Usage), og at KDC'ens X.509-certifikat indeholder en SAN-udvidelse (dNSName subjectAltName), som svarer til domænets DNS-navn. Hvis computeren føjes til et domæne, kræver Kerberos-klienten, at KDC'ens X.509-certifikat skal signeres af et nøglecenter i NTAUTH-butikken. Hvis computeren ikke føjes til et domæne, tillader Kerberos-klienten, at certifikatet fra rodnøglecenteret på chipkortet bruges i stivalidering af KDC'ens X.509-certifikat.
Hvis du deaktiverer eller undlader at konfigurere denne politikindstilling, kræver Kerberos-klienten kun, at KDC-certifikatet indeholder formålsobjektidentifikatoren til servergodkendelse i EKU-udvidelserne, som kan udstedes til en hvilken som helst server.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Value Name | KdcValidation |
| Value Type | REG_DWORD |
| Enabled Value | 2 |
| Disabled Value | 0 |