此策略设置控制 Kerberos 客户端验证智能卡登录和系统证书登录的 KDC 证书的行为。
如果启用此策略设置,则 Kerberos 客户端要求 KDC 的 X.509 证书在扩展密钥用法(EKU)扩展中包含 KDC 密钥目的对象标识符,并且要求 KDC 的 X.509 证书包含与域的 DNS 名称匹配的 dNSName subjectAltName (SAN)扩展。如果计算机加入到域,则 Kerberos 客户端要求 KDC 的 X.509 证书在 NTAuth 存储中必须由证书颁发机构(CA)签署。如果计算机不加入到域,则 Kerberos 客户端允许在 KDC 的 X.509 证书的路径验证中使用智能卡上的根 CA 证书。
如果禁用或未配置此策略设置,则 Kerberos 客户端仅要求 KDC 证书在可颁发给任何服务器的 EKU 扩展中包含服务器身份验证目的对象标识符。
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Value Name | KdcValidation |
| Value Type | REG_DWORD |
| Enabled Value | 2 |
| Disabled Value | 0 |