Ez a házirend-beállítás vezérli a Kerberos-ügyfél viselkedését a KDC tanúsítvány intelligens kártya és rendszertanúsítvány bejelentkezéshez történő érvényesítéséhez.
A házirend beállítás engedélyezésével a Kerberos-ügyfél előírja, hogy a KDC X.509 jelű tanúsítványa tartalmazza a kibővített kulcshasználat (EKU) kiegészítő mezőiben található KDC kulcscélobjektum azonosítóját, és tartalmazza a tartomány DNS-nevéhez illeszkedő DNSName subjectAltName (SAN) kiegészítő mezőt. Ha a számítógép csatlakoztatva van a tartományhoz, a Kerberos-ügyfél előírja, hogy a KDC X.509 tanúsítványa rendelkezzen az NTAuth tárolóban található hitelesítésszolgáltató (CA) aláírásával. Ha a számítógép nincs csatlakoztatva tartományhoz, a Kerberos-ügyfél lehetővé teszi az intelligens kártyán lévő felső szintű hitelesítésszolgáltatók tanúsítványainak használatát a KDC X.509-tanúsítványlánc érvényességének ellenőrzése közben.
Ha letiltja vagy nem konfigurálja a házirend-beállítást, a Kerberos-ügyfél előírása mindössze annyi, hogy a KDC tanúsítvány tartalmazza az EKU kiterjesztésekben található kiszolgálóhitelesítési célobjektum azonosítóját, amely bármelyik kiszolgálóra kiállítható.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Value Name | KdcValidation |
| Value Type | REG_DWORD |
| Enabled Value | 2 |
| Disabled Value | 0 |