Richiedi convalida KDC ristretta

Questa impostazione dei criteri controlla il comportamento del client Kerberos durante la convalida del certificato KDC per l'accesso tramite smart card e certificati di sistema.

Se si abilita questa impostazione dei criteri, il client Kerberos richiederà che il certificato X.509 di KDC contenga l'identificatore di oggetto con scopo delle chiavi KDC nelle estensioni EKU (utilizzo chiavi esteso) e che il certificato X.509 di KDC contenga un'estensione dNSName SAN (subjectAltName) corrispondente al nome DNS del dominio. Se il computer appartiene a un dominio, il client Kerberos richiederà che il certificato X.509 di KDC sia firmato da un'Autorità di certificazione nell'archivio NTAuth. Se il computer non appartiene a un dominio, il client Kerberos consentirà l'utilizzo del certificato CA radice sulla smart card durante la convalida del percorso del certificato X.509 di KDC.

Se si disabilita o non si configura questa impostazione dei criteri, il client Kerberos richiederà solo che il certificato KDC contenga l'identificatore di oggetto con scopo Autenticazione server nelle estensioni EKU, che è possibile rilasciare a qualsiasi server.

Supportata in: Almeno Windows Vista

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Value NameKdcValidation
Value TypeREG_DWORD
Enabled Value2
Disabled Value0

kerberos.admx

Modelli amministrativi (Computer)

Modelli amministrativi (utenti)