To ustawienie zasad steruje zachowaniem klienta protokołu Kerberos podczas sprawdzania poprawności certyfikatu centrum dystrybucji kluczy (KDC).
Jeżeli to ustawienie zasad zostanie włączone, klient protokołu Kerberos będzie wymagał, aby certyfikat X.509 centrum dystrybucji kluczy zawierał w rozszerzeniach rozszerzonego użycia klucza (Extended Key Usage, EKU) identyfikator obiektu celu klucza KDC oraz rozszerzenie subjectAltName (SAN) typu dNSName pasujące do nazwy DNS domeny. Jeżeli komputer należy do domeny, klient protokołu Kerberos będzie wymagał, aby certyfikat X.509 centrum dystrybucji kluczy był podpisany przez urząd certyfikacji zlokalizowany w magazynie NTAUTH. Jeżeli komputer nie należy do domeny, klient protokołu Kerberos będzie zezwalał, aby w procedurze sprawdzania poprawności ścieżki certyfikatu X.509 centrum dystrybucji kluczy był używany certyfikat głównego urzędu certyfikacji zapisany na karcie inteligentnej.
Jeżeli to ustawienie zasad zostanie wyłączone lub nie zostanie skonfigurowane, klient protokołu Kerberos będzie jedynie wymagał, aby certyfikat centrum dystrybucji kluczy zawierał w rozszerzeniach EKU identyfikator obiektu celu uwierzytelniania serwera.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Value Name | KdcValidation |
| Value Type | REG_DWORD |
| Enabled Value | 2 |
| Disabled Value | 0 |