Kræv restriktiv KDC-validering

Du kan bruge denne politikindstilling til at styre Kerberos-klientens funktionsmåde under validering af KDC-certifikatet for logon med chipkort og systemcertifikat.

Hvis du aktiverer denne politikindstilling, kræver Kerberos-klienten, at KDC'ens X.509-certifikat indeholder KDC'ens vigtigste formålsobjektidentifikator i EKU-udvidelser (Extended Key Usage), og at KDC'ens X.509-certifikat indeholder en SAN-udvidelse (dNSName subjectAltName), som svarer til domænets DNS-navn. Hvis computeren føjes til et domæne, kræver Kerberos-klienten, at KDC'ens X.509-certifikat skal signeres af et nøglecenter i NTAUTH-butikken. Hvis computeren ikke føjes til et domæne, tillader Kerberos-klienten, at certifikatet fra rodnøglecenteret på chipkortet bruges i stivalidering af KDC'ens X.509-certifikat.

Hvis du deaktiverer eller undlader at konfigurere denne politikindstilling, kræver Kerberos-klienten kun, at KDC-certifikatet indeholder formålsobjektidentifikatoren til servergodkendelse i EKU-udvidelserne, som kan udstedes til en hvilken som helst server.

Understøttet på: Mindst Windows Vista

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Value NameKdcValidation
Value TypeREG_DWORD
Enabled Value2
Disabled Value0

kerberos.admx

Administrative skabeloner (computere)

Administrative skabeloner (brugere)