To ustawienie zasad kontroluje zachowanie klienta protokołu Kerberos podczas weryfikowania certyfikatu centrum dystrybucji kluczy (KDC) dla karty inteligentnej i logowania przy użyciu certyfikatu systemu.
Jeśli to ustawienie zasad zostanie włączone, klient protokołu Kerberos będzie wymagał, aby certyfikat X.509 centrum dystrybucji kluczy zawierał w rozszerzeniach rozszerzonego użycia klucza (Extended Key Usage, EKU) identyfikator obiektu celu klucza KDC oraz rozszerzenie subjectAltName (SAN) typu dNSName pasujące do nazwy DNS domeny. Jeśli komputer należy do domeny, klient protokołu Kerberos będzie wymagał, aby certyfikat X.509 centrum dystrybucji kluczy był podpisany przez urząd certyfikacji zlokalizowany w magazynie NTAuth. Jeśli komputer nie należy do domeny, klient protokołu Kerberos będzie zezwalał, aby w procedurze weryfikacji ścieżki certyfikatu X.509 centrum dystrybucji kluczy był używany certyfikat głównego urzędu certyfikacji zapisany na karcie inteligentnej.
Jeśli to ustawienie zasad zostanie wyłączone lub pozostanie nieskonfigurowane, klient protokołu Kerberos będzie jedynie wymagał, aby certyfikat centrum dystrybucji kluczy zawierał w rozszerzeniach EKU identyfikator obiektu celu uwierzytelniania serwera, który można wydać dla dowolnego serwera.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Value Name | KdcValidation |
| Value Type | REG_DWORD |
| Enabled Value | 2 |
| Disabled Value | 0 |