Windows Server 2008 R2 - проблема группы криптографических операторов

Я столкнулся с той же проблемой, которая возникает только при изменении настроек IPsec брандмауэра Windows по умолчанию. Я делал это через C # и WMI, но также тестировал через PowerShell и через пользовательский интерфейс. Я мог читать данные от поставщиков WMI и писать для большинства из них, но при записи на конкретный (MSFT_NetIKEMMCryptoSet) я получал «Доступ запрещен». К счастью, через пользовательский интерфейс я получил более описательную ошибку:

Проблема заключалась в том, что мой пользователь входил в как группы администраторов, так и группы криптографических операторов. Я оказался в этой ситуации, потому что только администраторы имели права входа в систему, и я не предвидел конфликта (поскольку мне пришлось запускать свой код в контексте с повышенными правами администратора). Обычно кто-то, управляющий сертификатами / криптографией, будет отдельным пользователем от системного администратора (безопасное разделение обязанностей). Вероятно, существует групповая политика, которая запрещает доступ администраторам (у меня просто еще не было времени отследить это).

Я явно дал пользователю права входа в систему и удалил его из группы администраторов. Как только я вышел из системы и снова зашел с этим пользователем, они больше не получали сообщение «Доступ запрещен».