Zur Unterstützung von PKInit Freshness Extension ist eine Windows Server 2016-Domänenfunktionsebene erforderlich. Wenn die Domäne des Domänencontrollers keine Windows Server 2016-Domänenfunktionsebene (oder höher) ist, wird die Richtlinie nicht angewendet.
Mit dieser Richtlinieneinstellung kann ein Domänencontroller (DC) für die Unterstützung von PKInit Freshness Extension konfiguriert werden.
Wenn Sie die Richtlinieneinstellung aktivieren, werden die folgenden Optionen unterstützt:
Unterstützt: PKInit Freshness Extension wird auf Anforderung unterstützt. Kerberos-Clients, die erfolgreich mit PKInit Freshness Extension authentifiziert werden, erhalten die Identitäts-SID für den öffentlichen Schlüssel von Freshness.
Erforderlich: PKInit Freshness Extension ist für die erfolgreiche Authentifizierung erforderlich. Kerberos-Clients, die PKInit Freshness Extension nicht unterstützen, verursachen bei der Verwendung von Anmeldeinformationen mit öffentlichem Schlüssel immer einen Fehler.
Wenn Sie die Richtlinieneinstellung deaktivieren oder nicht konfigurieren, bietet der DC PKInit Freshness Extension nie an und akzeptiert gültige Authentifizierungsanforderungen ohne Freshness-Überprüfung. Benutzer empfangen nie die Identitäts-SID für den öffentlichen Schlüssel von Freshness.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Value Name | PKINITFreshness |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Value Name | PKINITFreshness |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Value Name | PKINITFreshness |
Value Type | REG_DWORD |
Value | 2 |