Ищу обходной путь для установки личного сертификата в обязательном профиле
Недавно я настроил обязательные профили для образа ПК, который я создаю, и я смог настроить все, что мне нужно в профилях с помощью групповой политики, за исключением одного важного элемента. Очевидно, обязательные профили не позволяют устанавливать сертификаты в личном хранилище (сертификаты pfx / p12). Это нарушает условия сделки, потому что один из наших поставщиков требует установки личного сертификата. Я хотел бы избежать отхода от обязательных профилей из-за этого единственного предостережения, поэтому я пытаюсь сделать все возможное, чтобы обойти это. Я чувствую себя очень близко, но на последнем этапе я наткнулся на стену ... Вот то, что я придумал на данный момент:
- Я обнаружил, что вручную изменив значение состояния в подразделе реестра в HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ ProfileList \% userSID% с 21001 (что определяет его как обязательный профиль) на 0 (который обозначает его как локальный профиль). Я могу обмануть компьютер, чтобы он подумал, что это локальный профиль, и это позволит установить сертификат.
- У меня есть сценарий PowerShell, который запрашивает SID текущего пользователя, вошедшего в систему, а затем редактирует значение состояния для меня.
- Для запуска этого сценария требуются права администратора, но он должен работать под учетной записью без прав администратора на авторизоваться. В настоящее время я пытаюсь заставить это работать, развертывая запланированную задачу с помощью групповой политики, которая запускает сценарий при входе в систему с учетными данными администратора.
- для того, чтобы это работало, мне нужно установить " например -
Возможно, можно создать обязательный профиль таким образом, чтобы, хотя он действовал как обязательный профиль (удаляет профиль и загружает профиль по умолчанию на его место при входе пользователя в систему), состояние будет создано как " 0 "при создании профиля (а не 21001)
Возможно, можно написать что-нибудь (на языке, отличном от Powershell), что изменит для меня раздел реестра при входе в систему, который может быть установлен на" Запускать ли пользователь вошел в систему или нет "как администратор.
Возможно, есть способ вручную установить сертификат в мою систему, а не использовать программу установки сертификата или certutil. Мне кажется, что при установке сертификата в обязательном профиле сертификат будет установлен в личном хранилище, но веб-сайт не будет аутентифицироваться. Спасибо всем!
OP здесь - Я пытаюсь восстановить учетную запись, в которой я разместил этот вопрос, но до тех пор я отвечу этим ответом.
В моем первоначально удаленном ответе я заявил, что не все используют сертификат - существует более 300 сайтов с 4-5 компьютерами на каждом, у каждого из которых есть сертификат для конкретного сайта. Я намерен управлять установкой сертификата с помощью групповой политики.
Что касается общего сертификата - вот как я обнаружил, что этот процесс работает на практике.
На ПК есть «профиль шаблона», который я пользователям домена предлагается использовать в качестве профиля пользователя по умолчанию. Когда пользователь входит в систему, для этого конкретного пользователя создается профиль, отражающий настройки профиля шаблона. Затем групповая политика должна начать реализацию всех моих пользовательских объектов групповой политики, включая создание и выполнение сценария, который обновляет реестр для этого нового пользовательского профиля. при следующем входе в систему для этого пользователя профиль полностью стирается, и процесс повторяется. Итак, каждый пользователь записывает в свой собственный уникальный профиль после установки сертификата, и, таким образом, у меня может быть 3 разных пользователя, устанавливающих 3 разных сертификата на один и тот же компьютер без конфликтов. Сертификат устанавливается не в шаблоне, а в уникальном профиле, который создается при входе в систему (я подтвердил это с помощью обходного пути в реестре).
Дополнительное примечание: каждый компьютер использует только один сертификат для любого пользователя, который его использует. . Итак, предположим, что один сертификат используется для всех профилей на ПК, и это нормально. Я просто не могу убедить нашего поставщика выдать сертификаты ПК.