O suporte para a Extensão de Atualização PKInit requer o nível funcional de domínio (DFL) do Windows Server 2016. Se o domínio do controlador de domínio não estiver no DFL do Windows Server 2016 ou superior, esta política não será aplicada.
Esta definição de política permite-lhe configurar um controlador de domínio (DC - Domain Controller) para fornecer suporte à Extensão de Atualização PKInit.
Se ativar esta definição de política, as opções seguintes têm suporte:
Com suporte: A Extensão de Atualização PKInit tem suporte mediante pedido. Os clientes de Kerberos cuja autenticação seja efetuada com êxito com a Extensão de Atualização PKInit obterão o SID de identidade de chave pública atualizado.
Obrigatório: A Extensão de Atualização PKInit é necessária para autenticação com êxito. Os clientes de Kerberos sem suporte para a Extensão de Atualização PKInit deparar-se-ão sempre com uma falha ao utilizar credenciais de chave pública.
Se desativar ou não definir esta definição de política, o DC nunca oferecerá a Extensão de Atualização PKInit e aceitará pedidos de autenticação válidos sem verificar a atualização. Os utilizadores nunca receberão o SID de identidade de chave pública atualizado.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Value Name | PKINITFreshness |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Value Name | PKINITFreshness |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Value Name | PKINITFreshness |
Value Type | REG_DWORD |
Value | 2 |