Deze beleidsinstelling bepaalt het gedrag van de client van Kerberos bij het valideren van het KDC-certificaat voor het aanmelden van de smartcard en het systeemcertificaat.
Als u deze beleidsinstelling inschakelt, wordt er door de Kerberos-client vereist dat het X.509-certificaat van de KDC de benodigde object-id in de EKU-extensies (Extended Key Usage) bevat en dat het X.509-certificaat van de KDC een SAN-extensie (dNSName subjectAltName) bevat die overeenkomt met de DNS-naam van het domein. Als de computer lid van een domein is, vergt de Kerberos-client dat het X.509-certificaat van de KDC is ondertekend door een certificeringsinstantie uit het NTAUTH-archief. Als de computer geen lid van een domein is, staat de Kerberos-client toe dat het basis-CA-certificaat op de smartcard wordt gebruikt tijdens de validatie van het pad van het X.509-certificaat van de KDC.
Als u deze beleidsinstelling uitschakelt of niet configureert, vergt de Kerberos-client alleen dat de object-id voor serververificatiedoeleinden in de EKU-extensies van het KDC-certificaat is opgenomen, die aan elke server kan worden uitgegeven.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Value Name | KdcValidation |
| Value Type | REG_DWORD |
| Enabled Value | 2 |
| Disabled Value | 0 |