הגדרת מדיניות זו שולטת באופן הפעולה של לקוח Kerberos בעת אימות אישור KDC.
אם תהפוך הגדרת מדיניות זו לזמינה, לקוח Kerberos ידרוש שאישור X.509 של KDC יכיל את מזהה אובייקט מטרה של מפתח KDC בהרחבות שימוש במפתח מורחב (EKU), וכי אישור X.509 של KDC יכיל הרחבת dNSName subjectAltName (SAN) אשר תואמת לשם DNS של התחום. אם המחשב שייך לתחום, לקוח Kerberos ידרוש שאישור X.509 של KDC יהיה חתום על-ידי רשות אישורים (CA) במאגר NTAUTH. אם המחשב אינו שייך לתחום, לקוח Kerberos יאפשר לאישור בסיס של CA בכרטיס החכם לשמש באימות הנתיב של אישור X.509 של KDC.
אם תהפוך הגדרת מדיניות זו ללא זמינה או לא תקבע את תצורתה, לקוח Kerberos ידרוש רק שאישור KDC יכיל מזהה אובייקט מטרה של אימות שרת בהרחבות EKU.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Value Name | KdcValidation |
| Value Type | REG_DWORD |
| Enabled Value | 2 |
| Disabled Value | 0 |