此策略设置控制 Kerberos 客户端验证 KDC 证书的行为。
如果启用此策略设置,则 Kerberos 客户端要求 KDC 的 X.509 证书在扩展的密钥用法 (EKU) 扩展名中包含 KDC 密钥目的对象标识符,并且要求 KDC 的 X.509 证书包含与 DNS 域的名称匹配的 dNSName subjectAltName (SAN) 扩展名。 如果计算机加入到域,则 Kerberos 客户端要求 KDC 的 X.509 证书在 NTAUTH 存储中必须由证书颁发机构 (CA) 签署。 如果计算机不加入到域,则 Kerberos 客户端允许在 KDC 的 X.509 证书的路径验证中使用智能卡上的根 CA 证书。
如果禁用或不配置此策略设置,则 Kerberos 客户端将仅要求 KDC 证书在 EKU 扩展名中包含服务器身份验证目的对象标识符。
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Value Name | KdcValidation |
| Value Type | REG_DWORD |
| Enabled Value | 2 |
| Disabled Value | 0 |