Krev streng KDC-godkjenning

Denne policyinnstillingen angir hvordan Kerberos-klienten validerer KDC-sertifikatet for pålogging med smartkort og systemsertifikat.

Hvis du aktiverer denne policyinnstillingen, krever Kerberos-klienten at X.509-sertifikatet for KDC inneholder KDC-nøkkelens objektidentifikator i EKU-utvidelsene (Extended Key Usage), og at X.509-sertifikatet for KDC inneholder en DNSName-SAN-utvidelse (SubjectAltName) som samsvarer med domenets DNS-navn. Hvis datamaskinen inngår i et domene, krever Kerberos-klienten at x.509-sertifikatet for KDC må signeres av en sertifiseringsinstans (CA) i NTAUTH-lageret. Hvis datamaskinen ikke inngår i et domene, tillater Kerberos-klienten at CA-rotsertifikatet på smartkortet brukes til å validere banen til X.509-sertifikatet for KDC.

Hvis du deaktiverer denne policyinnstillingen eller ikke konfigurerer den, krever Kerberos-klienten bare at KDC-sertifikatet inneholder objektidentifikatoren for servergodkjenning i EKU-utvidelsene, for utstedelse til en hvilken som helst server.

Støttes av: Minst Windows Vista

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Value NameKdcValidation
Value TypeREG_DWORD
Enabled Value2
Disabled Value0

kerberos.admx

Administrative maler (datamaskiner)

Administrative maler (brukere)