Diese Richtlinieneinstellung steuert das Verhalten des Kerberos-Clients bei der Überprüfung des KDC-Zertifikats. Wenn Sie ...

Diese Richtlinieneinstellung steuert das Verhalten des Kerberos-Clients bei der Überprüfung des KDC-Zertifikats.  
      
Wenn Sie diese Richtlinieneinstellung aktivieren, setzt der Kerberos-Client voraus, dass das X.509-Zertifikat des KDCs in den EKU-Erweiterungen (Extended Key Usage) die KDC-Schlüsselzweck-Objekt-ID und das X.509-Zertifikat des KDCs eine dNSName subjectAltName-(SAN-)Erweiterung vom Typ "dNSName" enthält, die mit dem DNS-Namen der Domäne übereinstimmt. Wenn der Computer einer Domäne angehört, setzt der Kerberos-Client voraus, dass das X.509-Zertifikat des KDCs von einer Zertifizierungsstelle im NTAUTH-Speicher signiert ist. Wenn der Computer keiner Domäne angehört, erlaubt der Kerberos-Client bei der Pfadüberprüfung des X.509-Zertifikats des KDCs die Verwendung des Stamm-Zertifizierungsstellenzertifikats für die Smartcard.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, setzt der Kerberos-Client nur voraus, dass das KDC-Zertifikat in den EKU-Erweiterungen die Serverauthentifizierungs-Zweckobjekt-ID enthält.