Пропадает доверенный центр сертификации

xoxmodav · Отправлено: **13:39, 21-05-2007** | #2

Проверяй Журнал событий и результат выкладывай сюда.

sfap · Отправлено: **13:54, 21-05-2007** | #3

Ок, а то, что я этот сертификат добавляю под пользователем, а не под админом может повлиять? У всех новых пользователей (именно новых, а не мигрировавших из старого домена) вообще не сохранялись настройки: сетевые диски, ярлыки на рабочем столе, пока я не произвел минимум настроек в групповой политике и обновил параметры групповой политики на пользовательской машине. В следующий раз, когда отвалится отпишу в то, что будет в журнале.

Igor533 · Отправлено: **14:02, 21-05-2007** | #4

Попробуй добавить сертификат Центра сертификатов не в "user certificate store" but to "Computer account certificate store"
тогда он н икуда не исчезнет.

sfap · Отправлено: **14:21, 21-05-2007** | #5

Цитата:

Попробуй добавить сертификат Центра сертификатов не в "user certificate store" but to "Computer account certificate store"
тогда он н икуда не исчезнет.

Я попробую, а можно поподробней: где это в mmc найти, и как это: ("user certificate store" but to "Computer account certificate store") будет выглядеть в русскоязычной версии? (У меня с руссификацией система)

Igor533 · Отправлено: **16:42, 21-05-2007** | #6

Сорри, у меня проблема с руссификацией.
Попробуй:
1. mmc
2. add-remove snap-in
3. certificates
4. Computer acount. ( у тебя будет что-от вроде пользовательского эккаунта, служебного эккаунта, и компьютерного, всего 3 позицци, надеюсь- разберешься

)))))))

sfap · Отправлено: **13:16, 23-05-2007** | #7

Цитата:

Сорри, у меня проблема с руссификацией.
Попробуй:
1. mmc
2. add-remove snap-in
3. certificates
4. Computer acount. ( у тебя будет что-от вроде пользовательского эккаунта, служебного эккаунта, и компьютерного, всего 3 позицци, надеюсь- разберешься)))))))

Я знаю, именно там я вижу сертификат после того, как импортирую его. Но потом он пропадает сам у пользователя, причем пропадает не после перезагрузки, а через несколько дней, как было замечено. Я думаю, что дело в групповой политике, но не знаю какой именно параметр в ней нужно настроить, чтобы доверенный центр сертификации не отваливался самопроизвольно. Возможно нужно дать доступ на реестр, но я не уверен.

У одного из пользователей решил проблему таким способом: дал локальные администраторские права на машине его доменной учетной записи, зашел под этим пользователем и установил сертификат доверенного центра, потом зашел под админом и отключил админские права у этой учетной записи. После этих манипуляций все заработало, но обойти так все машины сложно.

Если есть люди, хорошо разбирающиеся в групповой политике, поделитесь своими соображениями на этот счет

Igor533 · Отправлено: **10:22, 24-05-2007** | #8

У тебя домен или коצпы врежиме станд-алоне?
Если одиночные, то тебе надо запустить скрипт на всех компах , такой примерно:
certutil -addstore -enterprise root RootCA.crt
где RootCA.crt сертификат Доверенного центра.
Если у тебя домен, то на ДК надо в DefaultDomainPolicy импортировать сертификат доверенного центра в
ComputerConfiguration\WindowsSetting\PublicKeyPolicies\TrustedRootCertificationAuthotities

sfap · Отправлено: **11:00, 24-05-2007** | #9

Цитата:

Если у тебя домен, то на ДК надо в DefaultDomainPolicy импортировать сертификат доверенного центра в
ComputerConfiguration\WindowsSetting\PublicKeyPolicies\TrustedRootCertificationAuthotities

У меня домен, но это новый домен, и групповую политику я почти не настраивал. Предложенное тобой решение возьму на заметку, но от себя могу добавть, что в старом домене до тех пор, пока я не провел миграцию пользователей все работало без этого, т.е сертификат доверенного центра хранился локально у каждого пользователя и все работало.

Еще хотелось бы узнать: сможет ли пользователь ноутбука, находясь у себя дома пользоваться данными, хранящимися на защищенном диске, или такой метод подразумевает полную зависимость от контроллера домена, и работать будет только в корпоративной сети?