Αυτή η ρύθμιση πολιτικής ελέγχει τη συμπεριφορά του προγράμματος-πελάτη Kerberos στην επικύρωση του πιστοποιητικού KDC, για τη σύνδεση έξυπνης κάρτας και πιστοποιητικού συστήματος.
Εάν ενεργοποιήσετε αυτήν τη ρύθμιση πολιτικής, το πρόγραμμα-πελάτης Kerberos απαιτεί το πιστοποιητικό X.509 του KDC να περιέχει το αναγνωριστικό αντικειμένου χρήσης κλειδιού KDC στις επεκτάσεις EKU (Extended Key Usage) και το πιστοποιητικό X.509 του KDC να περιέχει επέκταση dNSName subjectAltName (SAN) που συμφωνεί με το όνομα DNS του τομέα. Εάν ο υπολογιστής ανήκει σε τομέα, το πρόγραμμα-πελάτης Kerberos απαιτεί το πιστοποιητικό X.509 του KDC να είναι υπογεγραμμένο από αρχή έκδοσης πιστοποιητικών (CA) στο χώρο αποθήκευσης NTAuth. Εάν ο υπολογιστής δεν ανήκει σε τομέα, το πρόγραμμα-πελάτης Kerberos επιτρέπει να χρησιμοποιηθεί το πιστοποιητικό ρίζας της αρχής έκδοσης πιστοποιητικών στην έξυπνη κάρτα για την επικύρωση της διαδρομής του πιστοποιητικού X.509 του KDS.
Εάν απενεργοποιήσετε αυτήν την ρύθμιση πολιτικής ή δεν ρυθμίσετε τις παραμέτρους της, το πρόγραμμα-πελάτης Kerberos θα απαιτεί μόνο το πιστοποιητικό KDC να περιέχει το αναγνωριστικό αντικειμένου που στοχεύει στον έλεγχο ταυτότητας διακομιστή στις επεκτάσεις EKU, οι οποίες μπορούν να εκδοθούν σε οποιονδήποτε διακομιστή.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Value Name | KdcValidation |
| Value Type | REG_DWORD |
| Enabled Value | 2 |
| Disabled Value | 0 |