Проблема с сертификатом сетевой разблокировки Bitlocker
Я пытаюсь включить функцию сетевой разблокировки Bitlocker. Я следил за этой статьей: https://technet.microsoft.com/en-us/library/jj574173 (v = ws.11) .aspx
Моя среда:
- Функциональный уровень домена: 2012
- Функциональный уровень леса : 2008 R2
- все контроллеры домена работают под управлением Windows 2012 R2
- WDS и функция разблокировки сети, работающая на Windows Server 2016 (WDS работает безупречно)
Следуя статье, я создал шаблон сертификата, скопировав шаблон «Пользователь» на мой CA. Шаблон опубликован, поэтому его можно запросить. Затем на моем сервере WDS я открываю консоль сертификатов как пользователь и запрашиваю новый сертификат. Запрос сертификата отображается как ожидающий в ЦС, который я принимаю вручную. Выданный сертификат никогда не отображается в «Личном» хранилище на сервере WDS, хотя в ЦС он отображается как выданный. Я считаю, что эта статья может быть неправильной, потому что хранилище сертификатов «Bitlocker Network Unlock» отображается только в консоли сертификатов, запущенной как локальный компьютер, а не как пользователь. Но текущий шаблон сертификата не разрешает запросы от учетных записей компьютеров. Что мне делать?
Оказывается, в технической статье пропущено одно. Чтобы выпущенный сертификат отображался в личном хранилище, пользователь, запрашивающий сертификат, должен иметь разрешения на автоматическую регистрацию. Это настраивается через GPO: Конфигурация пользователя> Параметры Windows> Параметры безопасности> Политики открытого ключа для пользователей. После того, как я применил этот объект групповой политики к своей учетной записи, выпущенный сертификат был автоматически помещен в соответствующее хранилище, и я мог продолжить действия.
Вы также можете открыть экспорт сертификата из центра сертификации, а затем импортировать его в личное хранилище на сервере WDS.
Для этого откройте выданный сертификат из центра сертификации и нажмите " Копировать в файл ... "на вкладке" Сведения ". Скопируйте сертификат на сервер WDS и затем импортируйте его.