PKInit 鮮度拡張機能のサポートには、Windows Server 2016 のドメイン機能レベル (DFL) が必要です。ドメイン コントローラーのドメインが Windows Server 2016 DFL 以上でない場合、このポリシーは適用されません。
このポリシー設定では、PKInit 鮮度拡張機能をサポートするようにドメイン コントローラー (DC) を構成できます。
このポリシー設定を有効にした場合、次のオプションがサポートされます。
サポート: PKInit 鮮度拡張機能が要求に応じてサポートされます。PKInit 鮮度拡張機能で正常に認証された Kerberos クライアントは、最新の公開キー ID の SID を受け取ります。
必要: 認証には PKInit 鮮度拡張機能が必要です。PKInit 鮮度拡張機能をサポートしていない Kerberos クライアントが公開キー資格情報を使用すると、常に失敗します。
このポリシー設定を無効にした場合、または構成しなかった場合、DC で PKInit 鮮度拡張機能は提供されず、有効な認証要求が、最新かどうか確認されないまま受け付けられます。ユーザーは最新の公開キー ID の SID を受け取りません。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Value Name | PKINITFreshness |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Value Name | PKINITFreshness |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Value Name | PKINITFreshness |
Value Type | REG_DWORD |
Value | 2 |