Назад | Перейти на главную страницу

Ищем обходной путь для установки личного сертификата в обязательный профиль

Я недавно настроил обязательные профили для образа ПК, который я создаю, и я смог настроить все, что мне нужно в профилях с помощью групповой политики, за исключением одного основного элемента. Очевидно, обязательные профили не позволяют устанавливать сертификаты в личном хранилище (сертификаты pfx / p12). Это нарушает условия сделки, потому что один из наших поставщиков требует установки личного сертификата. Я хотел бы избежать отхода от обязательных профилей из-за этого единственного предостережения, поэтому я пытаюсь сделать все, что могу, чтобы обойти это. Я чувствую себя очень близко, но на последнем этапе я наткнулся на стену ... Вот то, что я придумал на данный момент:

Я обнаружил, что вручную отредактировав значение State раздела реестра в HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ ProfileList \% userSID% от 21001 (что определяет его как обязательный профиль) до 0 (что обозначает это как локальный профиль) Я могу заставить компьютер думать, что это локальный профиль, и он позволит установить сертификат.
У меня есть сценарий PowerShell, который запрашивает SID текущего пользователя, вошедшего в систему, а затем редактирует значение состояния для меня.
Для запуска этого сценария требуются права администратора, но при входе он должен запускаться под учетной записью без прав администратора. В настоящее время я пытаюсь заставить это работать, развертывая запланированную задачу с помощью групповой политики, которая запускает сценарий при входе в систему с учетными данными администратора.
для того, чтобы это сработало, мне нужно установить «Запускать независимо от того, вошел ли пользователь в систему или нет» в запланированной задаче, но при этом сценарий запускается, но не работает. (Ключ реестра не обновляется.)

Мне кажется, что проблема в том, что планировщик задач не может запустить интерактивный скрипт с запуском, независимо от того, вошел ли пользователь в систему или нет. Есть ли у кого-нибудь идеи, что я могу сделать, чтобы это работало? Я недостаточно знаком со сценариями, чтобы знать, можно ли обновить мой сценарий, чтобы он был неинтерактивным сценарием, который может обновлять этот раздел реестра.

Я также ни в коем случае не привязан к сценарию - если есть другой способ автоматически установить этот сертификат. Спасибо всем и всем за поддержку. У меня есть еще пара идей, которые, как мне кажется, могут сработать, а могут и не сработать, но отсутствие опыта оставляет меня неуверенным, например:

Возможно, можно создать обязательный профиль таким образом, чтобы, хотя он действовал как обязательный профиль (удаляет профиль и загружает профиль по умолчанию на его место при входе пользователя в систему), состояние будет создано как «0», когда профиль является создан (а не 21001)
Возможно, можно написать что-нибудь (на языке, отличном от Powershell), что изменит раздел реестра для меня при входе в систему, который можно установить на «Запускать независимо от того, вошел ли пользователь в систему или нет» в качестве администратора.
Возможно, есть способ вручную установить сертификат в мою систему, а не использовать программу установки сертификата или certutil. Мне кажется, что при установке сертификата в обязательном профиле сертификат будет установлен в личном хранилище, но веб-сайт не будет аутентифицироваться. Может это неправильно хранится пароль сертификатов?

Мы очень ценим любые советы или идеи, я чувствую себя так близко, но так далеко ... Всем спасибо!

OP здесь - я пытаюсь восстановить учетную запись, в которой я разместил этот вопрос, но до тех пор я отвечу этим ответом.

В моем первоначально удаленном ответе я заявил, что не все используют сертификат - существует более 300 сайтов с 4-5 компьютерами на каждом, у каждого из которых есть сертификат для конкретного сайта. Я собираюсь управлять установкой сертификата через групповую политику.

Что касается общего сертификата - вот как я обнаружил, что этот процесс работает на практике.

На ПК есть «шаблонный профиль», который пользователи моего домена должны использовать в качестве профиля пользователя по умолчанию. Когда пользователь входит в систему, для этого конкретного пользователя создается профиль, отражающий настройки профиля шаблона. Затем групповая политика должна начать реализацию всех моих пользовательских объектов групповой политики, включая создание и выполнение сценария, который обновляет реестр для этого нового пользовательского профиля. при следующем входе в систему для этого пользователя профиль полностью очищается, и процесс повторяется. Итак, каждый пользователь записывает в свой собственный уникальный профиль после установки сертификата, и, таким образом, у меня могут быть 3 разных пользователя, устанавливающих 3 разных сертификата на одном компьютере без конфликтов. Сертификат устанавливается не в шаблоне, а в уникальном профиле, который создается при входе в систему (я подтвердил это с помощью обходного пути в реестре).

Дополнительное примечание: каждый компьютер использует только один сертификат для любого пользователя, который его использует. Итак, предположим, что один сертификат был использован для всех профилей на ПК, что было бы хорошо. Я просто не могу убедить нашего поставщика выдать сертификаты ПК.