對 PKInit Freshness 延伸模組的支援需要 Windows Server 2016 網域功能等級 (DFL)。若網域控制站的網域不是 Windows Server 2016 DFL 或更高,將不會套用此原則。
此原則設定可讓您設定網域控制站 (DC) 以支援 PKInit Freshness 延伸模組。
若啟用此原則設定,則支援下列選項:
支援: 當收到要求時支援 PKInit Freshness 延伸模組。使用 PKInit Freshness 延伸模組順利驗證的 Kerberos 用戶端將取得全新的公開金鑰身分識別 SID。
必要: 必須有 PKInit Freshness 延伸模組,才能順利進行驗證。使用公開金鑰認證時,不支援 PKInit Freshness 延伸模組的 Kerberos 用戶端將一律失敗。
若停用或未設定此原則設定,則網域控制站 (DC) 將一律不會提供 PKInit Freshness 延伸模組,而且將會接受有效的驗證要求而不會檢查有效性。使用者將一律不會接收新的公開金鑰身分識別 SID。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Value Name | PKINITFreshness |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Value Name | PKINITFreshness |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters |
Value Name | PKINITFreshness |
Value Type | REG_DWORD |
Value | 2 |