Один из наших хостинг-провайдеров установил базовый раздел реестра «Отключить автоматическое обновление корневых сертификатов» как часть своей установки Windows по умолчанию. После того, как серверы присоединятся к нашему домену, мы хотели бы разрешить серверам запускать автоматическое обновление корневого сертификата. Однако простое создание объекта групповой политики и установка для параметра «Отключить автоматическое обновление корневых сертификатов» значения «Отключено» на самом деле не отменяют этого. Есть ли способ сделать это с помощью GPO? Или мне нужно запустить сценарий, который фактически переворачивает HKLM:\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate установка?
Если это важно, мы работаем с 2012 R2 и 2016. Однако функциональный уровень домена - 2012 год (вздох из соображений непонятной совместимости).
Вопрос: Однако простое создание объекта групповой политики и установка для параметра «Отключить автоматическое обновление корневых сертификатов» значения «Отключено» на самом деле не отменяют этого. Есть ли способ сделать это с помощью GPO? Или мне нужно запустить сценарий, который фактически переворачивает параметр HKLM: \ SOFTWARE \ Policies \ Microsoft \ SystemCertificates \ AuthRoot \ DisableRootAutoUpdate?
А: Групповая политика не собирается напрямую изменять этот ключ / значение реестра, поскольку групповая политика работает не так (по большей части). Групповая политика не изменяет напрямую (тату) параметры реестра.
Вам следует искать не состояние этого ключа / значения реестра, а то, изменилось ли поведение на желаемое.
Прочтите ссылку для получения дополнительной информации о групповой политике и реестре:
https://sdmsoftware.com/gpoguy/whitepapers/understanding-policy-tattooing/