Если Вы сделаете это, то пользователи не смогут сделать что-либо стоящее на той машине. Можно также просто отключить их логины.
Короче говоря, не делайте этого
Чего Вы действительно желаете достигнуть путем выполнения этого? Если Вы отправляете это, люди могут давать Вам более разумные решения.
Несколько вещей, которые необходимо проверить:
certmgr.msc
. HKLM \ Software \ Microsoft \ Cryptography \ AutoEnrollment \ AEDirectoryCache
, затем повторно запустите автоматическую регистрацию с помощью certutil -pulse
. «Я предпочитаю не использовать групповую политику для простого распространения ...»
Почему бы и нет? Это именно то, для чего был разработан GP - распространять общие настройки / конфигурацию на ПК домена. Просто импортируйте корневой сертификат в объект групповой политики в разделе Конфигурация компьютера> Политики> Параметры Windows> Параметры безопасности> Политики открытого ключа> Доверенные корневые центры сертификации