Ce paramètre de stratégie contrôle le comportement du client Kerberos durant la validation du certificat KDC pour l'ouverture de session à partir d'une carte à puce et d'un certificat système.
Si vous activez ce paramètre de stratégie, le client Kerberos exige que le certificat X.509 du contrôleur de domaine Kerberos (KDC) contienne l'identificateur d'objet du rôle de clé dans les extensions d'utilisation améliorée de la clé et que le certificat X.509 du contrôleur de domaine Kerberos contienne une extension dNSName subjectAltName (SAN) qui correspond au nom DNS du domaine. Si l'ordinateur est membre d'un domaine, le client Kerberos exige que le certificat X.509 du contrôleur de domaine Kerberos (KDC) soit signé par une autorité de certification du magasin NTAuth. Si l'ordinateur n'est pas membre d'un domaine, le client Kerberos permet l'utilisation du certificat de l'AC racine sur la carte à puce dans la validation de chemin d'accès du certificat X.509 du KDC.
Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, le client Kerberos exige seulement que le certificat KDC contienne l'identificateur d'objet du rôle de l'authentification du serveur dans les extensions d'utilisation améliorée de la clé qui peuvent être émises pour un serveur.
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters |
| Value Name | KdcValidation |
| Value Type | REG_DWORD |
| Enabled Value | 2 |
| Disabled Value | 0 |