Strikte KDC-validatie verplicht stellen

Deze beleidsinstelling bepaalt het gedrag van de client van Kerberos bij het valideren van het KDC-certificaat voor het aanmelden van de smartcard en het systeemcertificaat.

Als u deze beleidsinstelling inschakelt, wordt er door de Kerberos-client vereist dat het X.509-certificaat van de KDC de benodigde object-id in de EKU-extensies (Extended Key Usage) bevat en dat het X.509-certificaat van de KDC een SAN-extensie (dNSName subjectAltName) bevat die overeenkomt met de DNS-naam van het domein. Als de computer lid van een domein is, vergt de Kerberos-client dat het X.509-certificaat van de KDC is ondertekend door een certificeringsinstantie uit het NTAUTH-archief. Als de computer geen lid van een domein is, staat de Kerberos-client toe dat het basis-CA-certificaat op de smartcard wordt gebruikt tijdens de validatie van het pad van het X.509-certificaat van de KDC.

Als u deze beleidsinstelling uitschakelt of niet configureert, vergt de Kerberos-client alleen dat de object-id voor serververificatiedoeleinden in de EKU-extensies van het KDC-certificaat is opgenomen, die aan elke server kan worden uitgegeven.

Ondersteund op: Minimaal Windows Vista

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Value NameKdcValidation
Value TypeREG_DWORD
Enabled Value2
Disabled Value0

kerberos.admx

Beheersjablonen (computers)

Beheersjablonen (gebruikers)