Я пытаюсь включить функцию сетевой разблокировки Bitlocker. Я следил за этой статьей: https://technet.microsoft.com/en-us/library/jj574173(v=ws.11).aspx
Моя среда:
Следуя статье, я создал шаблон сертификата, скопировав шаблон «Пользователь» в свой ЦС. Шаблон опубликован, поэтому его можно запросить. Затем на моем сервере WDS я открываю консоль сертификатов как пользователь и запрашиваю новый сертификат. Запрос сертификата отображается как ожидающий в ЦС, который я принимаю вручную. Выданный сертификат никогда не отображается в «Личном» хранилище на сервере WDS, хотя в ЦС он отображается как выданный. Я считаю, что эта статья может быть неправильной, потому что хранилище сертификатов «Bitlocker Network Unlock» отображается только в консоли сертификатов, запущенной как локальный компьютер, а не как пользователь. Но текущий шаблон сертификата не разрешает запросы от учетных записей компьютеров. Что я должен делать?
Вы также можете открыть экспорт сертификата из центра сертификации, а затем импортировать его в личное хранилище на сервере WDS.
Для этого откройте выданный сертификат из ЦС и нажмите «Копировать в файл ...» на вкладке «Подробности». Скопируйте сертификат на сервер WDS и затем импортируйте его.
Оказывается, в технической статье пропущено одно. Чтобы выпущенный сертификат отображался в личном хранилище, пользователь, запрашивающий сертификат, должен иметь разрешения на автоматическую регистрацию. Это настраивается через GPO: Конфигурация пользователя> Параметры Windows> Параметры безопасности> Политики открытого ключа для пользователей. После того, как я применил этот объект групповой политики для своей учетной записи, выпущенный сертификат был автоматически помещен в соответствующее хранилище, и я мог продолжить действия.