Požadovat striktní ověření službou KDC

Toto nastavení zásad řídí chování klienta služby Kerberos při ověřování certifikátu KDC pro přihlášení pomocí čipových karet a systémových certifikátů.

Pokud toto nastavení zásad povolíte, klient služby Kerberos bude vyžadovat, aby certifikát X.509 služby KDC obsahoval klíčový identifikátor objektu KDC v rozšířeních EKU (Extended Key Usage) a aby certifikát X.509 služby KDC obsahoval příponu dNSName subjectAltName (SAN), která souhlasí s názvem DNS domény. Pokud bude počítač připojen k nějaké doméně, klient služby Kerberos bude vyžadovat, aby byl certifikát X.509 služby KDC podepsán certifikační autoritou v úložném prostoru NTAuth. Pokud počítač není připojen k doméně, klient služby Kerberos dovolí použít kořenový certifikát certifikační autority na čipové kartě v cestě ověření certifikátu X.509 služby KDC.

Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, klient služby Kerberos bude pouze požadovat, aby certifikát KDC obsahoval v rozšířeních EKU identifikátor objektu s účelem Ověření serveru, který může být vystaven pro jakýkoli server.

Podporováno na: Minimálně Windows Vista

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Value NameKdcValidation
Value TypeREG_DWORD
Enabled Value2
Disabled Value0

kerberos.admx

Šablony pro správu (počítače)

Šablony pro správu (uživatelé)