Richiedi convalida KDC ristretta

Questa impostazione controlla il comportamento del client Kerberos durante la convalida del certificato KDC.

Se si abilita questa impostazione, il client Kerberos richiederà che il certificato X.509 di KDC contenga l'identificatore di oggetto con scopo delle chiavi KDC nelle estensioni EKU (utilizzo chiavi esteso) e che il certificato X.509 di KDC contenga un'estensione dNSName SAN (subjectAltName) corrispondente al nome DNS del dominio. Se il computer appartiene a un dominio, il client Kerberos richiederà che il certificato X.509 di KDC sia firmato da un'Autorità di certificazione nell'archivio NTAUTH. Se il computer non appartiene a un dominio, il client Kerberos consentirà l'utilizzo del certificato CA radice sulla smart card durante la convalida del percorso del certificato X.509 di KDC.

Se si disabilita o non si configura questa impostazione, il client Kerberos richiederà solo che il certificato KDC contenga l'identificatore di oggetto con scopo Autenticazione server nelle estensioni EKU.


Supportata in: Almeno Windows Vista
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Value NameKdcValidation
Value TypeREG_DWORD
Enabled Value2
Disabled Value0

kerberos.admx

Modelli amministrativi (Computer)

Modelli amministrativi (utenti)