Den här principinställningen styr Kerberos-klientens beteende vid verifiering av KDC-certifikatet för inloggning med smartkort och systemcertifikat.
Om du aktiverar den här principinställningen kräver Kerberos-klienten att KDC:ns X.509-certifikat innehåller huvudobjektidentifieraren för KDC i tilläggen Utökad nyckelanvändning, samt att KDC:ns X.509-certifikat innehåller ett dNSName subjectAltName-tillägg (SAN) som matchar domänens DNS-namn. Om datorn är ansluten till en domän kräver Kerberos-klienten att X.509-certifikatet för KDC signeras av en certifikatutfärdare i NTAuth-arkivet. Om datorn inte tillhör en domän tillåter Kerberos-klienten att rotcertifikatutfärdaren på smartkortet används i sökvägsvalideringen på KDC:ns X.509-certifikat.
Om du inaktiverar eller låter bli att konfigurera den här principinställningen kräver Kerberos-klienten bara att KDC-certifikatet innehåller objektidentifieraren för serverautentisering i EKU-tilläggen som kan utfärdas till valfri server.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Value Name | KdcValidation |
| Value Type | REG_DWORD |
| Enabled Value | 2 |
| Disabled Value | 0 |