Tämä käytäntöasetus määrittää sen, miten Kerberos-asiakas vahvistaa älykortin avaintenjakelukeskuksen varmenteen ja järjestelmävarmennekirjautumisen.
Jos otat tämän käytäntöasetuksen käyttöön, Kerberos-asiakas vaatii, että avaintenjakelukeskuksen X.509-varmenne sisältää avaintenjakelukeskuksen avaimen käyttötarkoituksen objektitunnuksen EKU (Extended Key Usage) -laajennukset ja että avaintenjakelukeskuksen X.509-varmenne sisältää SAN (DNSName subjectAltName) -tunnisteen, joka vastaa toimialueen DNS-nimeä. Jos tietokone on liitetty toimialueeseen, Kerberos-asiakas edellyttää, että avaintenjakelukeskuksen X.509-varmenteen on oltava varmenteen myöntäjän (CA) allekirjoittama NTAuth-säilössä. Jos tietokonetta ei ole liitetty toimialueelle, Kerberos-asiakas sallii, että älykortilla olevaa varmenteen myöntäjän päävarmennetta käytetään avaintenjakelukeskuksen X.509-varmenteen polun vahvistamiseen.
Jos poistat tämän käytäntöasetuksen käytöstä tai et määritä sitä, Kerberos-asiakas vaatii vain, että avaintenjakelukeskuksen varmenne sisältää palvelimen todennuksen käyttötarkoituksen objektitunnuksen EKU-laajennuksissa, jotka voidaan myöntää mille tahansa palvelimille.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
Value Name | KdcValidation |
Value Type | REG_DWORD |
Enabled Value | 2 |
Disabled Value | 0 |