Esta definição de política controla o comportamento do cliente Kerberos ao validar o certificado KDC.
Se activar esta definição de política, o cliente Kerberos requer que o certificado X.509 de KDC contenha o identificador de objecto de objectivo chave KDC nas extensões de Utilização Alargada de Chave (EKU) e que o certificado X.509 de KDC contenha uma extensão SAN (dNSName subjectAltName) que corresponda ao nome DNS do domínio. Se o computador fizer parte de um domínio, o cliente Kerberos requererá que o certificado X.509 de KDC seja assinado por uma Autoridade de Certificação (CA) no arquivo NTAUTH. Se o computador não fizer parte de um domínio, o cliente Kerberos permite que o certificado raiz de CA do smart card seja utilizado na validação do caminho do certificado X.509 de KDC.
Se desactivar ou não configurar esta definição de política, o cliente Kerberos necessitará apenas que o certificado KDC contenha o identificador de objecto de objectivo de Autenticação do Servidor nas extensões EKU.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Value Name | KdcValidation |
| Value Type | REG_DWORD |
| Enabled Value | 2 |
| Disabled Value | 0 |